EnHacke

Captan en vídeo troyano que vulnera CAPTCHA

Publicado por el febrero 3, 2012 · Dejar un comentario 

Websense Security Labs grabó una secuencia de video de la variante Cridex del troyano que está infectando a las computadoras y rompiendo los CAPTCHAs para replicarse automáticamente.

Cridex es un troyano que roba información y que se parece a Zeus en la forma en que opera – registra el contenido de las sesiones en línea y las altera para recopilar más información del usuario al que infectó. Una vez que ha infectado el troyano se pone a trabajar, usando a esa computadora para crear cuentas falsas adicionales de email gratuito para enviar correo no deseado a otras cuentas y replicarse.

Para crear nuevas cuentas la variante utiliza un servidor automático para romper los CAPTCHAs. El blog completo y el video correspondiente muestran a este troyano rompiendo un CAPTCHA en sólo seis intentos.

“Las variantes de troyanos como Cridex están incrementando su sofisticación y la facilidad con la que se propagan para infectar a más usuarios y robar una importante cantidad de información personal. Esto incluye a los medios sociales y las credenciales bancarias y otra información valiosa”, señaló Elad Sharf, investigador de seguridad de Websense Security Labs.

“Estos tipos de infecciones, variantes del tristemente célebre troyano Zeus, son responsables de los intentos de robo de cientos de millones de dólares a través de cuentas bancarias en línea a escala mundial. Esta variante del troyano refuerza que los CAPTCHAs siguen siendo un problema de seguridad real. Los hackers ya están adaptando rápidamente las variantes para romper fácilmente los CAPTCHAs para autoreplicarse”.

Video:

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , ,

Aparece una nueva versión del troyano Carberp, con similitudes a Zeus pero más peligroso

Publicado por el enero 23, 2012 · Dejar un comentario 

Se trata de una nueva versión de Carberp, que puede ser utilizado para robar datos y para realizar estafas entre los usuarios. Expertos de seguridad aseguran que la nueva versión de Carberp tiene similitudes con el malware Zeus, pero cuenta con características que podrían evitar su identificación con antivirus. Las primeras estafas con Carberp ya se han localizado en Facebook.

Carberp es uno de los troyanos que más problemas ha dado en los últimos años. Ya en 2010 este malware, concentrado en el robo de datos bancarios, fue una seria amenaza para los usuarios. Dos años después, los hackers están utilizando una nueva versión de Carberp para volver a realizar sus actividades, que van desde el robo de datos a las estafas económicas.

En concreto, la nueva versión de Carberp tiene cierta similitud con el virus Zeus, uno de las amenazas que más problemas ha generado recientemente. La similitud ha sido identificada por un investigador de seguridad, Nicholls Marcos, citado por Infosecurity.

“Carberp presenta una funcionalidad similar a la de Zeus. Carberp incluye una funcionalidad para el robo de datos y la recolección de credenciales de los sistemas infectados. Además de ser un troyano para robar datos, también puede crear una botnet que ofrece control total sobre los servidores infectados. Aunque originalmente fue diseñado para ataques financieros, sus mecanismos de infección lo convierten en un candidato ideal para los ataques dirigidos”, ha explicado Nicholls Marcos.

De esta forma, los hackers han ampliado las posibilidades de Carberp, que además de tener cierta similitud con Zeus se ha perfeccionado para pasar desapercibido. Según Infosecurity, Carberp puede superar los antivirus sin ser identificado gracias a las novedades que le han incorporado. Además, este malware consigue ocultarse de los análisis de seguridad de los sistemas, lo que hace que sea aún más peligroso.

La compañía Trusteer ha confirmado la aparición de esta nueva versión de Carberp y ha asegurado que los ciberdelincuentes ya están utilizándolo en una estafa en Facebook. El troyano suplanta a las páginas de Facebook, de forma que redirige constantemente a los usuarios a una página de Facebook en la que aseguran que las cuentas han sido cerradas. Para volver a activar las cuentas, el sistema solicita el pago de 20 dólares y los datos de los usuarios. Todo el proceso se regula por medio de Carberp, que además recopila los datos de los usuarios.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

El FBI alerta sobre un nuevo tipo de phishing

Publicado por el enero 9, 2012 · Dejar un comentario 

El FBI acaba de publicar una alerta sobre un nuevo tipo de infección en Internet, llamado “Gameover” que, una vez alojado en una computadora, puede robar nombres de usuario y contraseñas y replicar métodos habituales de autenticación que utilizan las entidades financieras.

El FBI señala que ha detectado un creciente uso de Gameover, un correo fraudulento que utiliza los nombres de conocidas instituciones financieras del gobierno, como la Reserva Federal. Se trata de una nueva variante del malware Zeus, creado hace años y especializado en obtener información bancaria.

La autoridad federal describe el engaño y asegura que normalmente el usuario recibe un correo no solicitado de una autoridad bancaria oficial, alertando sobre problemas con su cuenta corriente o con una reciente transacción realizada. El envío incluye un enlace en el que supuestamente es posible conseguir ayuda para resolver el problema. Sin embargo, el enlace conduce a una web telefónica y, una vez allí, el usuario descarga el malware sin darse cuenta, lo que infecta su computadora y permite el robo de su información bancaria.

Una vez perpetrado el acceso a la cuenta, el usuario es conducido a lo que se denomina una denegación de servicio distribuida o ataque DDoS, utilizando una botnet que incluye a múltiples computadoras que colapsan el servidor de la institución financiera para impedir el acceso al sitio de los clientes legítimos, probablemente en un intento de desviar la atención sobre lo que están haciendo realmente los ladrones.

El FBI ha detectado que algunos de los fondos robados de esta forma se han utilizado para adquirir joyas y piedras preciosas en joyerías de alto nivel. Los criminales contactan con estos establecimientos de prestigio y eligen las joyas y aseguran que en breve enviarán el pago. Al día siguiente, otra persona involucrada en el crimen y llamada “mula” entra en la tienda para recoger la mercancía. Después de verificar que el dinero está en la cuenta de la tienda, el joyero entrega la mercancía que es posteriormente entregada a los cerebros de la operación, para convertirla finalmente en dinero que es lavado mediante una simple transferencia legal.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , ,

La evolución del malware Ramnit

Publicado por el enero 9, 2012 · Dejar un comentario 

Aunque lleva un buen tiempo en la Web, el malware conocido como Ramnit ha recibido la atención de los medios después de su aventura enFacebook, a través de la cual logró robar cerca de45 mil nombres de usuario y contraseñas, principalmente en el Reino Unido y Francia. Sin embargo, su historia parece estar lejos de terminar. Con la ayuda de un poco del código de la botnet Zeus, Ramnit ahora puede ser más flexible, dejando atrás su rol de simple gusano. ¿Tenemosun nuevo Conficker en puerta, o lo atraparemos antes de que incendie todo?

Si tenemos en cuenta a la base de datos de Symantec, el gusano Ramnit fue originalmente detectado a mediados de enero de 2010 (Microsoft anuncia que su descubrimiento fue en abril de ese año). Pero su forma original es poco relevante frente a lo que pueden hacer sus variantes. Una de ellas apareció en marzo de 2011, con la capacidad de infectar documentos de Office, además de clásicos como ejecutables y bibliotecas, y el hecho de copiarse a unidades extraíbles para aumentar aún más su rango de infección. En el verano pasado, las infecciones detectadas de Ramnit aumentaron de forma significativa. Symantec reportó que más del 17 por ciento de todo el malware que sus productos bloquearon entre junio y julio de 2011 estaba representado por Ramnit. En agosto, Ramnit recibió cierto perfil fraudulento a partir del filtrado del código Zeus. Y entre septiembre y diciembre de 2011, se confirmó la infección de 800 mil sistemas.

Como si fuera poco, la última variante de Ramnit logró adquirir unas 45 mil contraseñas de Facebook, con una especial concentración sobre usuarios del Reino Unido y Francia. En promedio, Facebook debe lidiar con unas 600 mil cuentas “comprometidas” diariamente, pero es lógico asumir que múltiples formas de malware están incrementando su presión sobre la red social para incrementar tanto la velocidad de las infecciones como su alcance, y Ramnit no es la excepción. Lo que hace peligroso a este gusano es que, con la integración del código Zeus, Ramnit puede ser “personalizado” a través de varios módulos, aunque el objetivo final continúa siendo el mismo: Obtener cualquier información relacionada con tarjetas de crédito y/o cuentas bancarias, para “limpiar” a los usuarios afectados.

Las recomendaciones generales para los usuarios finales se mantienen intactas. Con un antivirus actualizado, un firewall activo y un comportamiento coherente a la hora de navegar por la Web y revisar el perfil de Facebook (el gusano afecta a plataformas Windows, pero hoy nadie debe descuidarse), deberíamos permanecer lejos de las garras de Ramnit y cualquier otro malware similar. Cualquier enlace o mensaje extraño que recibas en Facebook debe ser bloqueado y reportado de inmediato, ya que es probable que uno de tus contactos tenga el ordenador infectado y ni siquiera esté consciente de ello.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , ,