EnHacke

Desmantelan la segunda botnet Hlux/Kelihos Botnet

Publicado por el marzo 30, 2012 · Dejar un comentario 

La nueva botnet triplica el tamaño de la primera versión. Se han neutralizado ya más de 109.000 servidores infectados cuando la primera sólo afectó a 40.000.

En su continua persecución contra los operadores de botnets y delitos cibernéticos, los expertos de Kaspersky Lab, junto con CrowdStrike Intelligence Team, Dell SecureWorks y los miembros del Honeynet Project, han trabajado de forma conjunta para poner fin a la segunda botnet Hlux (también conocida como Kelihos). Esta botnet ha triplicado el tamaño de la primera Hlux/Kelihos que se desactivó en el mes de septiembre de 2011. Kaspersky Lab ha neutralizado ya más de 109.000 sistemas infectados cuando en la versión inicial sólo se infectaron 40.000 hosts.

La primera botnet Hlux/Kelihos
Esta no es la primera vez que Kaspersky Lab detecta versiones de la botnet Hlux/Kelihos. En septiembre de 2011, Kaspersky Lab junto a la Unidad de Crimen Digital de Microsoft, SURFnet y Kyrus Tech, Inc., desactivaron con éxito la primera versión de la botnet.

Durante este periodo, Kaspersky Lab llevó a cabo una operación de sinkholing (sistema que hace que todas las comunicaciones que hace de “cabeza” al resto de los bots, no lleguen a su destino, destruyendo la comunicación interna y tomando el control) que desactivó la botnet y su infraestructura de backup desde el servidor Command & Control (C&C).

A pesar de que la botnet original estaba neutralizada y bajo control, los expertos de Kaspersky Lab emprendieron una nueva investigación en enero descubriendo que un segundo Hlux / Kelihos estaba operando. A pesar de que la botnet es nueva, el malware ha sido construido utilizando los mismos códigos que la botnet original. Al igual que la primera versión, la botnet también utilizó la red de ordenadores infectados para enviar spam, robar datos personales, y llevar a cabo el ataque DDoS hacia objetivos específicos.

Cómo se ha desactivado la segunda Hlux/Kelihos
Durante la semana del 19 de marzo, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project pusieron en marcha una operación de sinkholing que logró deshabilitar la botnet.

Ambas redes eran botnets peer-to-peer (P2P), lo que significa que cada miembro de la red podía actuar como un servidor y/o cliente, a diferencia de las botnets tradicionales que se basan en un único mando y control del servidor C&C. Para neutralizar esta botnet P2P flexible, el grupo de expertos en seguridad ha creado una red global de equipos distribuidos que se han instalado en la infraestructura de la botnet. A medida que más máquinas infectadas se neutralizaban, la arquitectura P2P debilitaba su fuerza de forma exponencial perdiendo el control de los equipos.

Con la mayoría de las redes de bots conectados al sinkholing, los expertos de Kaspersky Lab pueden utilizar la minería de datos para realizar un seguimiento de las infecciones por el número y su ubicación geográfica. Hasta la fecha, Kaspersky Lab ha contado con 109.000 direcciones IP infectadas. La mayoría de las direcciones IP infectadas se encuentra en Polonia.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , ,

Nuevo caso de malware en una aplicación para Android

Publicado por el marzo 29, 2012 · Dejar un comentario 

Las previsiones de los expertos en seguridad sobre la proliferación de malware en Android no paran de cumplirse. El sistema operativo móvil de Google sigue sumando nuevos casos de malware en aplicaciones. 

El último caso aprovecha las tiendas alternativas de aplicaciones Android para su distribución. Lo cierto es que Google ha mejorado la seguridad de Google Play, su tienda de apps, y por ello los ciberdelincuentes recurren a tiendas alternativas.

El último ejemplo de malware para Android lo dio a conocer Sophos. La compañía, a través de su blog oficial Naked Security, alertó sobre los riesgos de una aplicación denominada The Roar of the Pharaoh. Se trata de un juego que se está distribuyendo en varias tiendas de apps y que contiene un troyano que obtiene el control de los dispositivos.

Hay versiones oficiales del juego seguras y los cibercriminales intentan aprovechar la confusión para engañar a los consumidores.  Según Sophos, en este caso el troyano tiene una doble función. Al instalar la app, los usuarios dan todos los permisos necesarios, facilitando el camino para su infección. Una vez instalado, este software permite a los cibercriminales recibir todo tipo de información sobre los equipos de, datos como el IMEI, tamaño de la pantalla y datos de los usuarios.

La segunda función de este troyano es conseguir un rendimiento económico para sus responsables. Para ello, Sophos asegura que el malware es capaz de efectuar el envío de mensajes SMS a servicios de tarificación especial. Los usuarios afectados no son conscientes de que el troyano está afectando y de esta forma consigue realizar el envío de mensajes de este tipo.

 La recomendación es que se extremen las precauciones a la hora de instalar aplicaciones de tiendas que no sean la oficial de Google y sobre todo, que lean bien los permisos que le conceden a cada aplicación.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , ,

Symantec alerta sobre el falso antivirus Windows Risk Minimizer

Publicado por el marzo 28, 2012 · Dejar un comentario 

Symantec informó sobre una campaña de malware que pretende estafar a los usuarios a través de un supuesto antivirus denominado Windows Risk Minimizer. Según las investigaciones, el antivirus es falso y el objetivo es engañar a las víctimas para que paguen 99,99 dólares por una versión completa de la solución, que en realidad no tiene ninguna utilidad.

El malware y las estafas toman muchas formas y los cibercriminales no paran de innovar para encontrar los puntos débiles en los sistemas y los usuarios. Ahora que hay un gran número de virus, que los ataques aumentan y que la seguridad se ha convertido en una prioridad para empresas y particulares, los cibercriminales están apostando, como ya lo hicieron en el pasado, por intentar asustar a los usuarios con supuestos virus e infecciones.

El objetivo de esta estrategia es promover la adquisición de sistemas antivirus falsos, que solucionan problemas inexistentes. Symantec identificó una de estas amenazas en un sistema identificado como Windows Risk Minimizer. Al parecer, esta supuesta solución antivirus se está distribuyendo en la Red y su finalidad es engañar a los usuarios.

Para realizar la estafa, el supuesto antivirus ejecuta un análisis de los sistemas. Utilizando Flash, aparece un cuatro de diálogo que parece confirmar el análisis. En realidad no se está realizando ninguna comprobación. Al acabar, el sistema alerta sobre importantes virus en distintos servicios, como Chorme o BitTorrent, y se avisa a los usuarios sobre la necesidad de reparar el sistema por la gravedad de la incidencia.

Para completar la estafa, los cibercriminales hicieron que Windows Risk Minimizer ofrezca un sistema para comprar la versión completa del antivirus, que sería la solución para los falsos problemas registrados. De esta forma, se facilita a los usuarios la compra de Windows Risk Minimizer por 99,99 dólares.

Se trata de una estafa ya que los problemas identificados no existen y el antivirus no cuenta con ninguna protección para los usuarios.  Ante esta amenaza, en Symantec recomiendan estar alerta ante Windows Risk Minimizer. Para evitar que los equipos puedan verse afectados por este malware y que los usuarios tengan que afrontar la estafa, la recomendación es mantener todos los sistemas tradicionales, navegadores y sistema operativo, totalmente actualizados.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , ,

Bitdefender detecta un nuevo troyano bancario muy difícil de rastrear

Publicado por el marzo 23, 2012 · Dejar un comentario 

El virus, que ha sido detectado por Bitdefender, pone en marcha una complicada serie de descargas e instalaciones y, tras robar datos de las cuentas bancarias de la víctima, borra su rastro.

El proceso se inicia con la infección de webs muy visitadas con “applets” de Java maliciosos difundidos por ciberdelincuentes. Estos componentes de malware han sido detectados por Bitdefender como Trojan.Downloader.Java.OpenConnection.BA, y se disfrazan de Adobe Flash Player, anteponiéndose a los archivos html limpios para asegurarse su ejecución al abrir la página html infectada. Una vez que se ha ejecutado, este código malicioso descarga e instala otros archivos infectados en el ordenador del usuario.

El archivo descargado (Trojan.Generic.KD.218227) se guarda en el pc del usuario con el nombre temp_flash_file.phx. Descarga e instala malware desde una lista (codificada en el programa de descarga) de una docena de enlaces que remiten a diferentes troyanos bancarios.

Para asegurarse la ejecución automática, el virus crea un acceso directo a sí mismo en “%Start Menu%\Programs\Startup” con un nombre vacío con extensión “.lnk”. Cada vez que el sistema se abre, todos los programas con accesos directos presentes en la carpeta se inician automáticamente, incluido el malware.

Una vez que está en el sistema, el virus se actualiza por sí solo descargando nuevas versiones de otra lista de enlaces. Esas actualizaciones se esconden en diferentes ubicaciones para asegurar su continuidad incluso si se detecta algún archivo.

Este troyano es muy difícil de rastrear ya que solo se puede acceder a los enlaces de la segunda lista a través del virus, lo que dificulta a las empresas de seguridad rastrear el origen del malware.

Es decir, cuando un proveedor de antivirus se hace con una lista actualizada, normalmente puede seguir los enlaces, bloquearlos y añadir sus rutinas antimalware. Pero en esta ocasión solo tiene una lista con enlaces que no puede rastrear ya que una vez que el troyano descarga el malware se elimina automáticamente borrando cualquier resto tras él.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , ,

El troyano Duqu al descubierto

Publicado por el marzo 21, 2012 · 1 Comment 

El troyano Duqu ha traído de cabeza a varias compañías de seguridad dado que podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión.

Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet.

El anuncio de que el troyano Duqu estaba desarrollado en un lenguaje de programación ‘desconocido’ desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo.

Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital.

Así, Duqu estaría escrito en lenguaje ‘C’ y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.

Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la ‘vieja escuela’ que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.

Es seguro que fue realizado ‘por encargo’ con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. Se sigue pensando que en origen estaba destinado a robar información de infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows.

El análisis del código de Duqu parece descartar como creían los investigadores relación con Stuxnet a pesar de sus coincidencias. Y es un alivio porque se considera a éste como “el arma cibernética más sofisticada jamás creada”, seguramente en Israel, para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Un virus que llegó a infectar miles de equipos en 155 países.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

El troyano Hydraq vuelve a atacar tres años después

Publicado por el marzo 20, 2012 · Dejar un comentario 

Investigadores de Symantec han alertado sobre el regreso de Hydraq, un troyano que atacó a empresas de Estados Unidos en 2009. Los nuevos ataques de este malware presentan diferencias con los del pasado. En esta ocasión, Hydraq aprovecha vulnerabilidades en varios sistemas y parece que ha ampliado su radio de acción a 20 países de todo el mundo.

Los ciberdelincuentes están llevando a cabo una serie de campaña de reciclaje de malware que vuelve a poner de actualidad sistemas que se creían olvidados. El último ejemplo es Hydraq, un troyano que se hizo muy popular en 2009 por atacar a empresas de Estados Unidos como Google. Aunque se creía que Hydraq había desaparecido, investigadores de Symantec han alertado sobre un nuevo brote detectado.

Parece que ciberdelincuentes han rescatado este troyano y están realizando campañas para su difusión cada 6 u 8 semanas. En un principio, Hydraq aprovechaba una vulnerabilidad en Internet Explorer para infectar los equipos y sus objetivos eran empresas estadounidenses de gran nivel. Sin embargo, en su regreso, parece que los hackers han decidido cambiar su estrategia para que Hydraq tenga éxito.

Desde Symantec han asegurado que “Hydraq nunca se fue” y que actualmente está atacando a empresas de todos los ámbitos. Los ciberdelincuentes están aprovechando distintas vulnerabilidades para intentar infectar los equipos y han ampliado los países y las empresas a las que dirigen la amenaza. En concreto ya se han detectados casos de Hydraq en 20 países de todo el mundo, lo que confirma el cambio en la estrategia.

Este malware intenta robar documentos que contengan contenidos de propiedad intelectual de las empresas y los datos que podría conseguir son de naturaleza muy sensible. Al parecer, los últimos ataques se están distribuyendo a través de correos electrónicos que contienen enlaces a un exploit que tras su descarga permitiría la instalación del troyano. Las campañas de spam con Hydraq por el momento están espaciadas pero son una señal inequívoca del regreso de este troyano.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , ,

Reaparace un troyano de Mac OS X

Publicado por el marzo 20, 2012 · Dejar un comentario 

La existencia de malware para Mac OS es mínima si se compara con otros sistemas operativos, pero los ciberdelincuentes no olvidan la plataforma de Apple.

El pasado otoño se descubrió un malware bautizado como ‘Revir and Imuler’ que intentaba forzar a los usuarios de Mac a instalar el malware en sus sistemas y después enviaba la información personal que encontraba a servidores remotos.

La estafa utilizaba un programa troyano llamado OS X/Revir.A que cuando funcionaba descargaba PDF con contenido político ofensivo en idiomas extranjeros y después instalaba un agente de puerta trasera llamado OS X/Imuler.A. De esta forma se conectaba a los servidores remotos y enviaba información sobre el sistema del usuario.

El malware no funcionaba bien y parecía estar en base beta, pero tenía el potencial de hacer daño. Ahora Eset informa de que ha encontrado una nueva variante del malware Imuler, que en lugar de utilizar un ataque en dos partes se disfraza de archivos ZIP que tienen imágenes eróticas. Cuando se abre, el ZIP muestra una serie de archivos, la mayoría de los cuales son archivos de imágenes fijas que no dañan el sistema, pero en medio está un archivo de aplicación  disfrazado como una imagen.

Si el usuario abre el programa, el malware se conectará directamente a los servidores remotos y descarga un programa llamado CurlUpload, que empaqueta las capturas de pantalla y otra información en un archivo comprimido que después sube. La acción se repite cada vez que se abre el malware.

A esta nueva variante se la ha identificado como OSX/Imuler.C y se ha añadido a las definiciones de virus de las soluciones de seguridad. La naturaleza de la amenaza hace que evitarla sea relativamente fácil, ya que sólo hay que esquivar los archivos desconocidos, sobre todo si están en formato Zip y tienen contenido erótico.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , ,

Fileless el nuevo malware que ataca la RAM en Windows y Mac

Publicado por el marzo 20, 2012 · Dejar un comentario 

El malware Fileless o Trojan-Spy.Win32.Lurk, explota una vulnerabilidad Java (CVE-2011-3544) como parte de una serie de ataques que han empezado a tener lugar recientemente.

Llama la atención que Fileless inyecta una dll (dynamic link library) cifrada de la web directamente en la memoria del proceso javaw.exe de forma que no crea nuevos archivos en el disco duro cuando infectan los ordenadores a los que ataca. Además al ejecutarse dentro de un proceso considerado como de confianza, su detección es muy difícil para la mayoría de soluciones antivirus.

Una vez que el malware Fileless se instala en el sistema, ataca al control de cuentas de usuarios de Windows para instalar el troyano Lurk y hacer que el sistema forme parte de una red ordenadores “zombie” o Botnet.

Hasta el momento el único método conocido para la propagación de Fileless ha sido a través de banners de varios sitios entre los que destaca la versión online de un popular periodico ruso y otras agencia del mismo país. No obstante los investigadores señalan la posibilidad de que esta amenaza se extienda a otros países.

Respecto a la protección contra esta amenaza, es altamente recomendable que todos los usuarios instalen un parche que cierra la vulnerabilidad CVE-2011-3544 en Java. Ésta esactualmente la única forma segura de prevenir la infección.

Fileless afecta a usuarios de sistemas Windows y Mac OS X. Interesados pueden encontrar completa información sobre este nuevo malware desde la página del investigador de Kaspersky que ha dado a conocer la noticia.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab descubre malware

Publicado por el marzo 20, 2012 · Dejar un comentario 

La compañía de seguridad, Kaspersky Lab, ha identificado un programa malicioso que parece hacer uso del certificado digital Symantec Verisign, expedido a Conpavi AG, que es conocida por trabajar con las agencias del gobierno suizo.

Kaspersky Lab asegura que ha pedido a Symantec Verisign que revoque los certificados comprometidos.

Según la compañía, el malware contiene lo que se ha denominado como Trojan-Dropper.Win32.Mediyes. Un archivo “dropper” es un tipo de malware utilizado con frecuencia por piratas para desperdigar por computadoras concretas otro tipo de virus dentro de él y utilizarlo en el futuro para todo tipo de propósitos.

El investigador de Kaspersky Lab, Vyacheslav Zakorzhevsky, ha escrito en un blog que el malware DLL Trojan.Win32.Mediyes se detectó en las computadoras de unos cinco mil usuarios, principalmente en Europa Occidental, incluyendo Alemania, Suecia, Suiza, Francia e Italia.

El malware fue encontrado entre diciembre del pasado año y el 7 de marzo del 2012, y en todos los casos estaba suscrito con un certificado expedido por la compañía suiza Conpavi, según el mismo experto.

“Un objetivo principal de este ejemplar es facilitar la intercepción de peticiones de navegadores en los motores de búsqueda Google, Yahoo! y Bing y obtener beneficios de los programas de promoción que premian el número de clics recibidos”, asegura Zakorzhevsky. Los piratas parece que trabajan con un servidor en Alemania.

“El malware está claramente dirigido a usuarios de Europa”, asegura el experto. “Esto está respaldado por otras evidencias: el certificado de una compañía suiza, el servidor en Alemania y solo se han interceptado preguntas en los principales motores de búsqueda internacionales”.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , ,

INTECO alerta de un nuevo malware para móviles que bloquea la galería de fotos

Publicado por el marzo 19, 2012 · Dejar un comentario 

El troyano llega al equipo al instalar una aplicación llamada ‘LockGallery’, lo que bloquea la galería de fotos y permite a atacantes remotos controlar el dispositivo.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha informado de la existencia de un nuevo virus informático para teléfonos móviles que bloquea, mediante contraseña, la galería de fotos de los dispositivos móviles Android.

El troyano, denominado ‘Android.Gonfu.B’, llega al equipo al instalar una aplicación llamada ‘LockGallery’, lo que bloquea la galería de fotos y permite a atacantes remotos controlar el dispositivo, según ha detallado un comunicado remitido por INTECO.

Este nuevo virus, que se ejecuta cada vez que se reinicia el teléfono móvil, intenta obtener la administración del dispositivo ‘aprovechándose de la vulnerabilidad de Android’.

Posteriormente, el virus hace una copia de sí mismo con el nombre de una librería del sistema, con lo que intenta prevenir que el troyano sea eliminado del aparato.

Este troyano es uno de los once virus que el Centro de Respuesta a Incidentes de Seguridad TIC (CERT) de INTECO ha publicado en la última semana.

Contra estas amenazas, INTECO recomienda utilizar un antivirus actualizado para el móvil con el fin de evitar ser infectado por este programa, además de no descargar aplicaciones o juegos de sitios de los que se desconfíe.

Asimismo, INTECO recomienda no habilitar las funciones de ejecución automática de ficheros en red y unidades extraíbles de los dispositivos móviles, y también desaconseja la compartición de ficheros si no se utilizan.

Archivado en Sin categoría · Etiquetado con , , , , , , , , ,

« Página anteriorPágina siguiente »