martes, 29 de mayo de 2012

Flame, el software de espionaje mas complejo hasta el momento

Un malware muy sofisticado y masivo llamado “Flame” fue identificado recientemente infectando sistemas iraníes y de algunos otros países, y se cree que es parte de una operación internacional de espionaje (en un capítulo más de la ciberguerra).

El malware fue descubierto por la compañía rusa Kaspersky Lab, y se trataría de una herramienta que tiene por objetivo conseguir datos desde Irán, el Líbano, Siria, Sudán y otros países de Medio Oriente y el Norte de África. El malware habría sido creado hace dos años.

Según las primeras investigaciones, Flame estaría diseñado para espiar a los usuarios de los computadores infectados y robar datos, incluyendo documentos, conversaciones grabadas y las secuencias de tecleado. También abre una puerta trasera en los sistemas infectados para permitir a los atacantes modificar la herramienta y añadir nuevas funciones.
Espionaje

Cuando está totalmente instalado, Flame pesa 20 MB y contiene múltiples bibliotecas, bases de datos SQLite3 y varios niveles de cifrado, además de 20 plugins que pueden ser intercambiados para proveer diferentes funcionalidades a los atacantes. Llamó la atención que incluye una máquina virtual LUA, un lenguaje de programación inusual cuando se trata de malware. Según Kaspersky Lab, es “una de las amenazas más complejas jamás descubiertas”.

Según la compañía, Flame es mucho más grande que Stuxnet, virus que saboteó el funcionamiento de plantas nucleares en Irán en 2009 y 2010. Aunque Flame tiene otro propósito y parece haber sido escrito por programadores diferentes a los de Stuxnet, el área geográfica y el comportamiento que tiene serían indicadores de que hay un país detrás de Flame. “No está diseñado prar robar dinero de las cuentas bancarias”, y tampoco cumple con las características de las herramientas usadas por hacktivistas. Así, esta sería otra herramienta de ciberguerra encargada por un Estado.

Kaspersky dice que Flame podría haber sido encargado por las mismas personas que encargaron Stuxnet y quizás DuQu, pero como un proyecto paralelo a otro equipo de desarrolladores.

“Stuxnet y DuQu eran parte de una misma cadena de ataques, que aumentó las preocupaciones de ciberguerra en el mundo. El malware Flame parece ser otra fase en esta guerra, y es importante entender que una ciberarma como ésta puede ser fácilmente usada contra cualquier país”, dijo Eugene Kaspersky, co-fundador y CEO de la empresa.
Ataque sofisticado

Flame parece haber comenzado a operar en marzo de 2010, y permaneció fuera del radar de las compañías de antivirus hasta ahora. Kaspersky descubrió el malware hace unas dos semanas, cuando la comisión de Telecomunicaciones de la ONU le pidió a la empresa revisar unos informes de abril, donde se indicaba que computadores del Ministerio del Petróleo y de la Compañía Nacional de Petróleo de Irán habían sido infectados con malware que estaba robando y eliminando información de los sistemas. El malware mencionado entonces era llamado “Viper”.

Cuando los investigadores de Kaspersky se pusieron a revisar, encontraron que había algo más que Viper, identificando componentes que corresponderían a Flame y que esto se trataría de una infección separada y más profunda que el malware que les habían pedido revisar.

Uno de los módulos de Flame, por ejemplo, permite encender el micrófono de un equipo infectado para grabar conversaciones que ocurran alrededor del equipo, o a través de Skype. Las conversaciones son almacenadas y enviadas regularmente a los servidores de comando y control. También hay un módulo que usa el Bluetooth para detectar otros equipos en las cercanías y robar los nombres y números de los contactos, y un módulo que toma pantallazos de la máquina y los envía a los servidores de comando y control de los atacantes. De forma interesante, Flame toma pantallazos más seguidos cuando el usuario está utilizando aplicaciones “interesantes”, como mensajería instantánea.

Aunque no parece haber sido desarrollado por los mismos que crearon Stuxnet y Duqu, hay algunos indicadores de que quienes crearon Flame tenían acceso a la tecnología usada en el proyecto Stuxnet, como métodos de infección, y explotar las mismas vulnerabilidades usadas por Stuxnet. Sin embargo, no se puede descartar que haya sido desarrollado después de Stuxnet, y que los autores de Flame hubiesen aprendido de la información que se hizo pública sobre Stuxnet.

Fuente: fayerwayer
Imagen: geekets

viernes, 23 de marzo de 2012

Cuatro mil pesos por una noche con Andrea Rincón

Hace algunas horas que un mail con el nombre de Andrea Rincón anda circulando por Internet en donde se ofrece una noche con la vedette a cambio de cuatro mil pesos.

"Me enteré porque me empezó a llamar todo el mundo. Me hachearon la cuenta, parece que alguien estaba aburrido", dijo Andrea en Informadísimos.

En el servicio que indicaba el correo, también aparecían otras chicas para elegir con distintos precios.

"Encima me dejaron como una madama, porque mostraba otras chicas para trabajar", se sorprendió Rincón.
Aparte del falso ofrecimiento de  servicios sexuales, el mail contenía un archivo adjunto con un virus.

Este es el mail que circula:

Hola, mis servicio por una hora es de 4000 pesos, no hago sexo anal, después lo que gustes. Por favor no comentar nada a nadie, mirá que me cagás la vida.
Si te interesa te dejo los aranceles de Vale Degenaro, Noe Derek, Cinthia Fernández, y las demás modelos. (Adjunta link para ver a las chicas)
Por favor discreción.
Besos
Andrea.
Fuente: infobae

martes, 6 de marzo de 2012

Video censurado de Rafael Correa

Hace unas semanas atrás comentaba sobre un mail que había recibido sobre un supuesto video porno de la cantante Jenifer Lopez, cuya noticia provenía supuestamente desde un importante diario online de Panamá. Este supuesto video se trataba en realidad de una variante del gusano Dorkbot para plataformas Windows, el cual convierte al equipo en parte de una red botnet.

Hoy recibo un mail bastante parecido al caso anterior, el cual supuestamente proviene de la pagina de Yahoo Noticias como para darle mas credibilidad al mismo y que el usuario no sospeche nada.
En este mail, nos informa de un supuesto video censurado del Presidente de Ecuador, Rafael Correa, tal como se observa en la captura.

Al intentar visualizar el mismo, comienza la descarga de un archivo ejecutable llamado “video_xxx.exe” el cual nada tiene que ver con un archivo de video, y que en realidad se trata de un troyano detectado solo por 2/43 motores AV en el reporte de VirusTotal.
Al observar el mail, se puede ver que hay enlaces a otros supuestos videos XXX de otras celebridades y políticos, como así también el supuesto video de la cantante Jenifer Lopez que comentaba al comienzo. Pero al intentar acceder a algunos de estos link, todos nos redirigen al mismo sitio desde el cual se descarga el archivo malicioso y que se encuentra alojado en una web de productos informáticos de habla árabe.

Es muy fácil engañar a los usuarios para que descarguen y ejecuten supuestos videos prohibidos apelando a la curiosidad del mismo por medio de correos con títulos y contenidos bien elaborados como en estos casos, ya que al observarlos no levantan sospechas por que proviene supuestamente de sitios reconocidos y están bien armados como para que la persona que lo vea, deje de lado el sentido común y caiga en la tentación de querer ver algo prohibido de algún personaje conocido del mundo de la política o del espectáculo, pero que en realidad lo único que vera, sera como su computadora termina infectada y su información privada comprometida por no tener mayor cuidado con este tipo de correos.

viernes, 17 de febrero de 2012

Virus muestra un falso mensaje del Cuerpo Nacional de Policía


Desde las oficina de OSI (oficina de seguridad del internauta), están alertando de la aparición de una nueva muestra de rasomware que dice provenir de la Policía Nacional de España.

El año pasado ya había aparecido una muestra similar que al igual que esta, despliega un falso mensaje supuestamente proveniente del Cuerpo Nacional de Policía que, con la excusa de que se han realizado actividades delictivas desde el ordenador, lo bloquea y solicita el pago de dinero para desbloquearlo.

Desinfectar el equipo:

Para desinfectar el equipo se pueden realizar los siguientes pasos:
  • Reiniciar el equipo .
  • Presionar F8 (antes de que aparezca la pantalla de inicio de Windows) para entrar en el menú de opciones avanzadas de Windows.
  • Seleccionar la opción: "Modo seguro con funciones de red" (Safe Mode with Networking).
Descargar y ejecutar rkill con el fin de intentar detener todos los procesos relacionados con el malware. (esta herramienta no elimina el malware, sino que detiene todos los procesos relacionados con el para poder ejecutar luego otras herramientas de desinfección).

Ejecutar rkill con el fin de intentar detener todos los procesos dañinos. Tras la ejecución aparece una ventana como la siguiente:

Posteriormente, descargar e instalar la herramienta Malwarebytes'Anti-malware para desinfectar nuestro equipo.
También existen otras herramientas como el Spyboot o SUPERAantiSpyware que son bastante buenas para tener en consideración, y por supuesto tener un buen antivirus instalado y actualizado para evitar este tipo de infecciones.

martes, 14 de febrero de 2012

Video de la muerte de Whitney Houston conduce a una estafa

Los  cibercriminales a menudo tratan de despertar el interés de los usuarios con falsas noticias de la muerte de una celebridad; sin embargo, desafortunadamente, algunas veces no son mentiras del todo. 

La diva del pop Whitney Houston murió el sábado, y los estafadores no perdieron tiempo en aprovecharse de la triste noticia para que los curiosos completaran una serie de encuestas fraudulentas.
Los usuarios de Facebook son atraídos por mensajes publicados en los muros de sus amigos en los que se lee: "Lloré al ver este video. RIP Whitney Houston", y ofrecen un enlace a un "video exclusivo de la muerte de Whitney Houston".
Al hacer clic en el enlace, los usuarios son dirigidos a una página de Facebook que contiene otro enlace al video, el cual los lleva al sitio falso de una encuesta a través de una serie de redirecciones.
Los usuarios de Twitter sufren un ataque similar. Al hacer clic en un enlace incluido en un tweet diciendo "RIP Whitney Houston", son inicialmente llevados a un blog dedicado a Houston, pero son redirigidos a otro sitio que ofrece una serie de fondos de pantalla de Whitney Houston para descargar.
                                               Créditos: Help Net Security

Una vez que el usuario decide descargar un fondo de pantalla, aparecerá una ventana emergente que solicita a los usuarios descargar algunos de los tonos de Whitney Houston, y cualquiera que sea su elección, si los usuarios eligen dejar la página o permanecer en la página, serán redirigidos a un sito de una encuesta que pregunta por los números celulares.

Fuente: seguridad.unam.mx

lunes, 13 de febrero de 2012

Supuesto video porno de JLO, propaga Malware


Ya es conocido el tema de los correos con enlaces a supuestos videos hot de diversas personalidades del mundo del espectáculo dando vueltas por ahí, muchos de los cuales son reales, pero son aprovechado por los delincuentes para infectar a sus víctimas con Malware haciéndolos creer que pueden acceder a los mismo.

Este es el caso del video prohibido de la cantante Jenifer Lopez del que se hablo mucho hace tiempo atrás y del cual recibí estos días un mail en el cual lo promocionaban.
 
Lo primero que llama la atención del correo, es que supuestamente lo promociona un importante diario de Panamá, ya que se observa el logotipo de la empresa en el cuerpo del correo, algo que no es nuevo y que se utiliza muy a menudo para que el usuario que observa el correo no sospeche nada raro al ver la marca de una empresa reconocida en el.

Al intentar descargar el supuesto video, vemos que en realidad no se trata de un video, sino de un archivo ejecutable utilizando el engaño de la doble extensión por si el usuario tiene activado la opción de “ocultar extensiones para archivos conocidos” en su sistema.
 
Algo que también  se observa al momento de la descarga, es que el mismo no proviene de la pagina del diario, sino que desde el servidor de una pagina de una imprenta colombiana, el cual se encuentra comprometido y cuya plataforma es utilizada para alojar el archivo malicioso y realizar las infecciones.

El archivo que se descarga, se trata de una variante del gusano Dorkbot para plataformas Windows, el cual convierte al equipo en parte de una red botnet, y que es detectado por un buen número de motores AV como lo pueden observar en el reporte de VirusTotal.

Esto de utilizar el logotipo de alguna marca o empresa reconocida no es nuevo, pero es bastante efectivo a la hora de brindar una mayor sensación de seguridad y que el usuario que lo ve no sospeche nada raro y descargue algún archivo que  infecte su equipo. Por eso es importante no dejarse llevar por la curiosidad y tener un buen antivirus instalado y actualizado en su sistema.

miércoles, 7 de diciembre de 2011

Continúa enviando Email luego de 2 años de fallecer

Algo curioso y de lo que se está comenzando a debatir en estos tiempos que corren, es que sucede con nuestra vida online una vez que ya dejamos de existir en lo terrenal. Existen muchos casos de personas que fallecieron y nadie sabe sus credenciales para darlos de baja en las redes sociales o casillas de correos. Pero en EE.UU una familia vive un caso muy particular, ya que reciben mail de su madre la cual falleció hace ya 2 años.

Los mails con spam son algo común y molesto para la mayoría de la gente, pero para una familia en Estados Unidos se convirtió en algo doloroso, ya que los mails llegan desde la casilla de un familiar que falleció hace dos años y no pueden cerrar la cuenta.

"No es justo que mi hermana y yo recibamos este tipo de correos después de ver sufrir a mi madre antes de morir", relató una de las hijas de Woods a la cadena estadounidense 10News.

Cassie falleció como consecuencia de una larga enfermedad y hace un par de meses su familia empezó a recibir emails desde su cuenta de correo, una dirección que un hacker tiene secuestrada.

Jarrod Woods, viudo de Cassie, intentó ponerse en contacto con el hacker pidiéndole que eliminara la dirección de correo de su difunta esposa pero no tuvo éxito. Así que decidió ponerse en contacto con Yahoo, la compañía que alberga el servicio de correo electrónico, pero la empresa le exigió el certificado de defunción de su esposa, documento del que todavía no dispone.

"Los correos siguen llegando", explicó Jarrod. Y según informó la cadena de noticias estadounidense, un portavoz de Yahoo comunicó que la compañía está trabajando con la familia para cerrar la cuenta.

Fuente: minutouno

miércoles, 16 de noviembre de 2011

Alumnos filman y suben a Internet la agresión a un compañero por ser gordo

La madre de un adolescente de la ciudad cordobesa de Jesús María denunció que su hijo fue golpeado por un compañero de estudios en su escuela porque es “gordo” y que el ataque fue filmado, posteriormente difundido por un sitio de internet, sin que ningún adulto evitara la paliza.


El alumno de 15 años fue golpeado hasta quedar tendido en el piso y desmayado, antes de una clase de gimnasia que tuvo lugar el martes en una escuela de Jesús María, donde hoy la denuncia quedó radicada en una fiscalía de la ciudad cordobesa.
La agresión fue filmada por varios compañeros o compañeras que subieron el video a la red YouTube desde donde lo levantaron los medios de comunicación social, tras lo cual el portal de internet clausuró la publicación.

La madre del alumno golpeado contó hoy que el martes por la mañana el atacante le dijo a su hijo: "Che, gordo, vos vas a ser aguatero'".

"Como mi hijo es gordito, las discriminaciones están desde siempre", señaló la mujer a radio Jesús María y remarcó que ese martes los alumnos "iban a jugar un campeonato de fútbol a la tarde por el colegio".

El caso fue tomado por la Fiscalía de Instrucción de Jesús María que escuchó la declaración del menor y a su madre sobre lo sucedido. La mujer se mostró preocupada porque al momento del ataque no había ninguna persona mayor que se hiciera responsable por lo que sucedió dentro del establecimiento escolar.

En la filmación se ve como el alumno es golpeado con patadas y trompadas por el agresor, sin oponer resistencia, y también se escuchan las risas de otros compañeros y ninguno de ellos se interpone para frenar la seguidilla de golpes.
El agresor, que sabría artes marciales, fue suspendido del colegio por 48 horas, mientras que el chico agredido tuvo que ser asistido por un médico y un psicólogo, según explicó su mamá.

En tanto, la directora de la escuela, Adriana Panero, dijo en declaraciones a Cadena 3: “Vienen a contra turno a educación física. Para que no se queden en la puerta y no sufran algún percance, los dejamos ingresar al patio. Fue 10 minutos antes de que comenzara la clase de educación física”.

Fuente: Clarin

martes, 15 de noviembre de 2011

Los Muros de miles de usuarios de Facebook se llenan de imágenes de pornografía y violencia

En la web de alt1040 advierten sobre las quejas en twitter  de miles usuarios de Facebook que vieron sus timelines llenos de imágenes pornográficas, automutilación o de violencia en lo que se piensa es un hackeo a gran escala hacia la red social del cual todavía no se sabe su autoría.

Todo comenzó hace 48 y la mayoría explican que desde el muro de las noticias se muestran todo tipo de imágenes de brutalidad sin su consentimiento. Otros explican que incluso se les ha añadido un “me gusta” a estas fotografías desde sus cuentas. Enlaces a vídeos, mensajes falsos de chat o fotos etiquetadas con sus nombres son varias de las acciones que parecen estar ocurriendo.

Todo apunta a un tipo de spam que se ha expandido a gran escala y que parece ciertamente planeado con anterioridad. Tampoco se sabe por el gran volumen de demandas y quejas si el spam se genera haciendo click sobre los enlaces o si se trata de un ataque real que se ha aprovechado de algún tipo de vulnerabilidad en el código del servicio.

En lo personal creo que habría que ver si es realmente un ataque a los servidores o infraestructura tal como muchos lo imaginan, o si se trata de miles de cuentas comprometidas previamente mediante casos de phishing, enlaces maliciosos o falsas aplicaciones con los cuales obtuvieron los datos de acceso a las mismas para ahora publicar  estos contenidos sin el consentimiento de los usuarios afectados.

Actualización: Facebook a confirmado que no se trató de un hackeo, sino de un ataque de SPAM coordinado, mediante la ejecución de un script malicioso en la barra de navegación engañando al usuario para que haga esto.

miércoles, 2 de noviembre de 2011

Falsos SMS en donde nos premian con una camioneta 4x4

Estos días charlando con un compañero de trabajo, me enseña un SMS que recibió en el cual salió sorteado como supuesto ganador de una camioneta Nissan 4x4.
La imagen no es muy clara porque es una fotografía de su pantalla, pero a continuación detallo su contenido.

“Sr. Cliente:
Telefonica  Argentina a beneficiado tu línea activa con una 4x4 NISSAN FRONTIER
para mas info comunícate y disfruta  FELICITACIONES”

Mi compañero enseguida supo que esto es un engaño y  mando un SMS para saber cómo tenía que hacer para retirar su  camioneta y esta fue la respuesta.

“Sr. Cliente comuniquece ala empresa gracias”

Creo que esta demás decir que esto es un completo engaño, pero lastimosamente se ha expandido mucho este tipo de estafas en nuestro país, y por mucho que se hable  de la misma son muchas las personas engañadas y timadas con este método en donde le solicitan que se les envíen los códigos de tarjetas telefónicas para cubrir supuestos gastos administrativos o de fletes.

En este caso, el número de teléfono desde el que se mandó el mensaje corresponde a la provincia de San Juan, y mi compañero me comentaba sobre un amigo suyo al cual lo premiaron con un coche Peugeot 307, en donde también le solicitarón que compre tarjetas telefónicas por un monto de $1000 y les envíe sus respectivos códigos. Esta persona se comunicó con ellos para llevarle el dinero personalmente en vez de pasarle los códigos, pero  estos se negaban en todo momento a acceder a un encuentro personal hasta que no lo atendieron  más debido a su insistencia de verlos en persona.

Hay que tener cuidado con este tipo de mensajes, en especial con las personas mayores, las cuales pueden ser más fáciles de embaucar, ya que prometen espectaculares coches o fabulosos electrodomésticos con lo cual para muchos es difícil no caer en el engaño y simplemente hay  ignorarlos o borrarlos.

Actualización 12/03:

Estos días recibí otro sms supuestamente proveniente de Fiat Argentina. A continuación lo transcribo por que es medio largo para tomar una captura del mismo.

FIAT TE PRE ADJUDICA UN 0KM EN CUOTA 2 X CONTRATO, RESPONDE TU NOMBRE Y APELLIDO, NOS COMUNICAMOS EN BREVE, PROMO EXCLUSIVA PARA USUARIOS DE TARJETA DE CREDITO¡

Por supuesto no me quede con la curiosidad y respondí con datos falsos y después de varios días me llamaron. Como justo estaba ocupado en mi trabajo le pedí a la señorita que si podía llamarme mas tarde, y acá viene lo gracioso.
Me dice que no hay problema, corto y en menos de un minuto me vuelve a llamar pero esta vez preguntando por otra persona, a lo cual le respondo que no era esa persona y que recién me acaba de llamar. Su respuesta ha esto fue "Ha".

Creo que ahí para alguien que no hubiese sospechado nada desde un comienzo, con esto ya tendría que haberlo hecho.

Tal como se lo pedí a esta señorita de nombre Aldana, al rato me llama, pero esta vez desde otro numero diferente desde el cual me llamo la primera vez y que era el mismo numero desde el que enviaron el sms. Me explica de que se trata el plan, a lo cual le digo que me deje pensarlo y que cualquier cosa le mando otro sms. Ella me contesta que el viernes vence el plazo de esta promo así que ese día queda en volver a llamarme.

Como ya sabia que todo esto era una farsa, igualmente mando un mail desde el formulario para consultas en la web oficial de Fiat Argentina, detallando lo sucedido y solicitando saber si esto proviene efectivamente de ellos. A continuación dejo la captura de la respuesta de la Empresa.


Mas clarito imposible no ¡¡. Llegado el viernes de esa semana, vuelve a sonar mi celu, pero esta vez era un numero privado y como lo sospeche era Aldana, pero preguntando por otra persona como la primera vez, a lo cual le respondo que no, y ahí me vuelve a preguntar si era el del nombre falso que di, y al decirle que si, quería saber si  estaba interesado en el plan, pero esta vez le pregunte de donde consiguió mi numero a lo que me responde que por medio de un programa de discado automático en donde disca 7 números al azar en cada provincia para premiarlos con la supuesta promo.

Como justo las veces que llamaban estaba en mi trabajo, no podía hablar mucho así que le dije que por ahora no y corte la llamada, pero me quede con la intriga de saber hasta donde podía llegar esta farsa, pero bueno,  ya con esto es mas que suficiente para darse cuenta de lo que son capaces estas personas y de lo fácil que es caer en este tipo de engaños si no se es precavido.

Así que  espero que les sea útil esto y si reciben este tipo de sms con fabulosos premios, piensen en el refrán que dice que cuando la promesa es muy grande, hasta los santos se asustan.

lunes, 31 de octubre de 2011

Si olvidaste tu contraseña de Facebook, tus amigos pueden ayudarte a recuperarla

Facebook acaba de introducir un nuevo método para acceder a tu cuenta si pierdes tu password y es por medio de tus “amigos de más confianza”. La red social estará probando esta herramienta las próximas semanas y en ella podrás designar a tres de los amigos en quienes más confías por si pierdes tu password o no puedes acceder a tu correo electrónico. Facebook le enviará un código a estos amigos para que te lo entreguen cuando eso ocurra.
Seguro muchos de ustedes han estado en ese caso en el que olvidas tu password y a pesar de que ya realizaste todas las acciones designadas para recuperarlo, no recuerdas la respuesta a tu pregunta secreta o se presenta cualquier otro inconveniente por lo que ahora con este código que ofrece Facebook, tus amigos tendrán una llave para que lo recuperes.

Este sistema sin embargo no es más eficiente que el proceso normal de recuperación, pero puede resultar muy útil si tu cuenta es hackeada y no puedes entrar a tu correo para esperar que te manden el link para restaurar tu password. Esto además añade una capa más de seguridad a tu cuenta  pues funciona bajo el principio de que tus amigos pueden identificarte más fácilmente que un email automatizado.

Sin embargo un problema de este sistema que encontró la compañía de seguridad Sophos es que un hacker puede cambiar fácilmente tus amigos de confianza y usar el método normal de restablecimiento de password. Aún así, Facebook ofrece otras herramientas de seguridad como salir de tu cuenta de manera remota y recibir un password temporal para usarlo en computadoras públicas.

También esta semana se está ofreciendo una opción nueva para usar passwords diferentes para apps externas. Para hacerlo tienes que ir a Configuración de cuenta y en la ficha de Seguridad, abrir la sección de Aplicaciones.

Fuente: conecti.ca
Imagen: sophos.com

martes, 25 de octubre de 2011

Correo para inscribirse a Gran Hermano 2012 con Trojano incluido

La utilización de Ingeniería Social es indispensable para muchos ataques de malware, tal es así, que los atacantes crean maneras ingeniosas, utilizando tendencias y novedades, un por ejemplo de ello es el que publican en Blog de Eset sobre el lanzamiento de Gran Hermano 2012 donde ofrecen la posibilidad de inscribirte para participar de sorteos y del casting para seleccionar a los que ingresarán a la casa de GH.

Estos ataques, en sus inicios no fueron preparados para llegar al público con un lenguaje distinto del inglés, evidenciado en sus malas traducciones por ejemplo, pero a través del tiempo estos han ido evolucionando y se han empezado a generar en distintos lenguajes y de manera local.

Un ejemplo de esto es lo que está sucediendo en Argentina, donde hace dos semanas con la aparición de las fotomultas contenedoras de malware, y ahora, con la aparición de una nueva amenaza, la cual utiliza Ingeniería Social para encubrirse como una oportunidad para “ingresar en la casa más famosa del país”, es decir, la casa de Gran Hermano 2012.

Este ataque es realizado a través de una casilla de correo, la cual podrá parecer legítima, pero al igual que el ataque anterior de las fotomultas, no se trata realmente de el correo del cual fue enviado, sino que se trata de un encubrimiento del mismo:
Una forma fácil de verificar esto es presionando el botón Responder, el cual mostrará realmente la casilla de correo de la cual ha sido enviado el correo:
Al recibir el correo se incita a la víctima a hacer clic en los enlaces que este posee, indicando que no sólo se podrá participar en el casting, sino que también podrá ganar 100 iPads y 500 iPhones. Al hacerlo, lo único que logrará el usuario es la descarga de un troyano, detectado como una variante de Win32/TrojanDownloader.Banload. Esta amenaza se encarga de conectarse a distintos sitios web desde dónde descarga otro código malicioso, que es alojado en los archivos temporales para luego iniciar su ejecución.

Esta última amenaza, un troyano detectado como Win32/SpyBanker, el cual modifica la configuración del sistema y crea una copia de si mismo en “C:\Documents and Settings\[Usuario]\Configuracion Local\Datos de programa\TouletBlack” con el nombre de OperationSystem.exe, que será ejecutada cada vez que se inicie el sistema. El objetivo de este código malicioso es robar credenciales bancarias u otras claves de acceso a sitios de correos electrónicos y redes sociales.

Debido a esto, es recomendable que los usuarios sepan identificar un enlace engañoso como así también identificar un correo falso. En esta oportunidad si el usuario se posiciona sobre alguno de los enlaces puede observar la dirección real en la parte inferior izquierda de la pantalla:
Esta nueva aparición muestra un crecimiento en la creación de malware dedicado especialmente para la Argentina, en este caso en particular, debido a que en dicho territorio está próximo el lanzamiento de Gran Hermano 2012.

lunes, 24 de octubre de 2011

Búsquedas seguras en Google

En su blog Corporativo, Google anuncia que en las próximas semanas cuando un usuario ingrese a www.google.com, sera redirigido automaticamente a https://www.google.com  para utilizar el protocolo de encriptación SSL o conexión segura mediante el cual se  encripta las consultas y la páginas de resultados de Google, especial para lugares donde estemos conectados mediante una red wifi publica.

Este cambio viene a reforsar lo que vienen haciendo en materia de seguridad, aplicando estándares más rigurosos de seguridad como lo hecho el año pasado cuando Gmail paso a utilizar SSL por defecto.

¿Qué sucede para los sitios que reciben clics desde los resultados de búsqueda de Google? Cuando uno busca desde https://www.google.com, los sitios web que visita desde las lista de resultados orgánicos sabrán que uno llegó allí desde Google, pero no recibirán información sobre cada consulta individual. También, los sitios pueden recibir una lista agregada de las mil principales consultas que generaron tráfico cada uno de los últimos 30 días a través de Google Webmaster Tools. Esta información ayuda a los webmasters a mantener estadísticas más precisas acerca del tráfico de usuarios. Si uno elige hacer clic en un aviso que aparace en la página de resultados, el navegador continuará enviando la consulta relevante sobre la red para habilitar a los anunciantes para medir la efectividad de sus campañas y mejorar los avisos que le presentan al público.

miércoles, 12 de octubre de 2011

Nueva versión Avira free 2012

Ya se encuentra disponible para su descarga, la versión 2012 del antivirus Avira free. La misma es la versión gratuita y de uso personal de esta solución AV muy reconocida por los usuarios por sus bajos consumos de recursos del sistema, en especial para aquellos que todavía poseen Pc modestas en cuanto a procesamiento y memoria RAM.


Esta nueva versión viene con mejoras importantes en la interfase, haciéndola mas intuitiva para el común de los usuarios y facilitando el proceso de configuración, el cual personalmente no me agradaba mucho en versiones anteriores por ser un poco engorroso dicho paso, y mas aun al detectar alguna amenaza.


Si estas interesado en probarlo y sacar tus propias conclusiones, podes descargarlo desde la pagina de Avira.

Continuan los correos con falsas deudas por fotomultas

A comienzo de esta semana, la gente de segu-info alertaban de una oleada de falsos correos sobre supuestas multas pero que en realidad descargaban un archivo malicioso a la Pc del usuario que intentaba acceder a los enlaces de las supuestas imágenes de la multa. Pero si creían que acá terminaba todo estaban equivocados, ya que ahora en la pagina de Clarin advierten sobre otra oleada muy similar a la anterior, la cual llega desde una supuesta cuenta de mail de una dependencia oficial para avisar que hay una deuda por multas de tránsito.
Asegura que si esa deuda no se salda en 90 días los datos personales pasarán a engrosar el Veraz. Usa como pretexto una ley que nunca existió y hasta amenaza a quienes no tienen vehículos o lo tienen radicado en Provincia. Pero es totalmente ilegal: ayer, el Gobierno de la Ciudad salió a advertir que hay una cadena de mails falsos que imitan avisos de deudas por multas de tránsito pero que en realidad son una manera encubierta de descargar un troyano a través del mail.

El mail empezó a llegar el fin de semana y ayer explotó en la web. Apareció con dos remitentes “infracciones@multas.gov.ar”, y “fotomultas@transito.gov.ar” y dos asuntos diferentes: “usted posee multas pendientes” e “infracciones de transito pendientes”. El texto, en ambos casos, era el mismo: empezaba con “estimado contribuyente”, citaba a un “Sistema Integrado de Multas de transito (SIMT)” y amenazaba con subir los datos al Veraz. Si bien en ningún momento nombraba al Gobierno de la Ciudad o al de la Provincia, al final citaba a la Unidad Administrativa de Control de Faltas (DGAI), que es el área que tiene competencia en el tratamiento de las faltas dentro del territorio de la Ciudad de Buenos Aires; y a ARBA, la agencia de recaudación bonaerense.
Sin embargo, el mail es falso . Y no tiene advertencias válidas sino un potente troyano que se activa cuando la persona que lo recibe abre el link de las supuestas fotomultas y descarga un programa del tipo “.exe”. Así, sin quererlo, lo que está descargando roba información de la PC, incluso claves bancarias.
Daniel Presti, subsecretario de Justicia porteño, advirtió: “Como primera medida, aclaramos que desde la Dirección General de Infracciones no se utilizan correos electrónicos para notificar a los ciudadanos sobre infracciones de tránsito”. El mecanismo para informar sobre multas es siempre con una notificación que llega por carta a la dirección donde está radicado el vehículo, y aclaró que por multas de este tipo no se informa al Veraz . Ante cualquier duda, el camino más seguro para evitar problemas es chequear la información directamente con los canales oficiales habilitados.