Troyano sobrescribe MBR y solicita dinero para restaurarlo

Hacia cierto tiempo que no escuchaba hablar de algún malware que modifique el MBR del disco rígido, pero hoy mirando la Web de Spamloco, me encontré con un artículo publicado originalmente por  Kaspersky, en donde alertan de la detección de un troyano que sobrescribe el sector de arranque (MBR) y solicita una contraseña para restaurarlo.

Al infectar el equipo, el mismo despliega un mensaje en la pantalla al iniciar el sistema en donde alerta que la Pc se encuentra bloqueada y que todos los archivos de la misma fueron encriptadas. Y por si esto no fuera suficiente, advierte de que si el usuario intenta algún método alternativo para subsanar esta situación, perderá toda la información de su disco:

El objetivo de los atacantes es asustar a las víctimas para que compren una clave que restauraría el sistema, esta clave tiene un precio de 100 dólares y la venden en su sitio Web:

 

Por suerte, los archivos del disco duro en realidad no son encriptados ni eliminados y sólo se sobrescribe el MBR, lo cual no es complicado de recuperar.

Kaspersky ha publicado en su blog una clave que se puede utilizar para restaurar el inicio, la clave es "aaaaaaciip" (sin las comillas), si no funciona recomiendan utilizar su CD de rescate.

Este tipo de malware que secuestra el sistema a cambio de una recompensa se denomina Ransomware, generalmente los cambios que generan se pueden revertir sin mayores complicaciones, pero en algunos casos si no se cumple con lo que solicitan la información es borrada o encriptada de tal forma que no se puede recuperar.

Troyano anti redes P2P

Investigadores de la firma Webroot han descubierto un nuevo e inusual troyano que al parecer está en contra de la redes P2P, pues tiene como objetivo bloquear el acceso a The Pirate Bay y Mininova, dos conocidos trackers de torrents.

Trojan-Zoeken, como ha sido identificado este malware, descarga en el equipo del usuario un archivo ejecutable que se encarga de modificar el fichero “.hosts” de Windows para redirigir diversos dominios de thepiratebay.org y mininova.org a 127.0.0.1 (localhost), impidiendo de esta manera el acceso a dichos sitios.

Aunque al parecer no tiene ninguna otra finalidad dañina, Webroot detectó que el troyano también se conecta a un servidor remoto para consultar instrucciones adicionales, lo cual tiene un impacto importante en los recursos del sistema.

Sin duda es un malware sumamente extraño que actúa como un protector de los derechos de autor. Sin embargo, no está claro porqué bloquea también Mininova si dicho sitio filtra desde hace más de un año todo el contenido con copyright.

Fuente: opensecurity

Encuentran gracias a facebook a dos argentinos desaparecidos en Brasil

Federico Acosta y Benjamín Vazquez estuvieron 22 días sin dar señales de vida. Ayer, aparecieron vía facebook. Dicen que tuvieron incidentes con la policía, que arrojó sus pertenencias a un arroyo.

Los jóvenes habían partido como mochileros el pasado 23 de agosto junto a un tercer amigo que abandonó la travesía a fines de octubre por cuestiones laborales. Federico y Benjamín, cuya meta era en principio arribar a las Cataratas del Iguazú, decidieron seguir hasta Camboriú, Brasil.

Pero, apenas atravesaron la frontera y anclaron en Florianópolis, las familias perdieron todo contacto con ellos. Según relataron ayer, el 6 de noviembre –día del último contacto telefónico– decidieron pasar la noche en Penha, una localidad cercana y "durmieron abajo de un puente para ahorrar".

Allí fueron encontrados por la Policía brasilera, que aparentemente "los desalojó del lugar y arrojó todas sus pertenencias a un arroyo". Desde ese entonces permanecieron en Penha, trabajando como changarines para subsistir .

Ayer, luego de 15 días de trabajo, recibieron el primer adelanto de su salario que les permitió conectarse para volver a contactar a sus familias, según relatan. Para este momento, toda la ciudad de Tandil se encontraba consternada por el hecho, y los padres –que habían iniciado el contacto con autoridades del país vecino– planeaban elevar un pedido a Interpol, para que intensifique la búsqueda.

Fue la hermana de Federico la que habló a través de la red social. "Estuvimos chateando por más de una hora con todos los familiares, y se habló de cosas muy puntuales, por lo que nosotros estamos seguros que son ellos", afirmó, descartando posibles especulaciones.

En tanto, se investigan algunos puntos oscuros de este hecho. No terminan de comprender cómo es que los mochileros no hallaron en 22 días forma alguna de comunicarse. Un familiar relató que "intentábamos comunicarnos, pero no lo conseguíamos a pesar de que le poníamos crédito desde acá al celular. Era porque el teléfono lo habían tirado al agua, junto con su ropa, las identificaciones y tarjetas de crédito". Por lo pronto, planean ir a buscarlos a Brasil esta semana.

Fuente: infobae

Su cuenta de hotmail se desactivará en las próximas 24 horas

En el día de ayer,  un amigo  me reenvío el siguiente correo, supuestamente de parte de la gente de Hotmail donde le informan que su cuenta de correo se va a desactivar en las siguientes 24 horas.

Como puede observarse en el cuerpo del mensaje, el bloqueo de la cuenta se va a producir por una gran cantidad de intentos de logeos sin éxito a su cuenta, por lo cual le brindan un link de acceso para  que el bloqueo no se produzca.

Dicho link, como se observa, se trata aparentemente de un enlace genuino y seguro, ya que es un enlace https, pero si observa mas detenidamente en la parte de abajo del mensaje, podemos ver la dirección a la que realmente apunta dicho link, la cual nada tiene que ver con Hotmail.

La pagina a la que nos redirige el enlace, ya fue denunciada como falsificación y Phishing, por lo cual ya se encuentra bloqueada y en menos de 24 horas.

Los usuarios deben saber que si Hotmail quiere bloquear una cuenta lo va realizar y ya, no va a enviarnos un correo para notificarnos que en determinado momento lo va realizar, y como siempre se advierte, nunca nos van a solicitar nuestros datos de acceso.

El 20% de los usuarios de Facebook está expuesto al 'malware'

Uno de los grandes problemas que presentan las aplicaciones de Facebook es que su gran número de ususarios las convierten en un objetivo atractivo para la disufisón de distintos tipos de malware, que publiquen spam en los perfiles o que infectan los ordenadores.

Según estima BitDefender, el 20 por ciento de los usuarios de los 500 millones con los que cuenta ya Facebook está infectado por algún tipo de malware. El análsis realizado por la compañía de seguridad, tras analizar 17 millones de publicaciones, ha detectado amenazas relacionadas a varios tipos de engaños.

Hay tres tipos aplicaciones con tipos de 'ganchos' que son las más populares: aquellas que permiten llegar a una función prohibida de Facebook, como saber quién visitó tú perfil (21,5%), aquellas aplicaciones que ofrecen ítems de regalo para los juegos, la principal vía de ingreso de intrusos (15,4%) o aquellas que ofrecen al usuario la posibilidad de cambiar el fondo del perfil o botones como 'No me gusta' a través de extensiones (11,2%).

En menor medida se encuentran, con un 7,1%, aquellas aplicaciones que aseguran nuevas versiones de juegos muy conocidos, aquellas que regalan teléfonos móviles (5,4%) o aquellas que parecen saber el método idóneo para visionar películas gratis en línea (1,3%).

Más allá de los ataques a travésde las aplicaciones, un 16 por ciento del malware que se ve en Facebook atrae a los usuarios a ver algún tipo de vídeo impactante y un 5 por ciento de los usuarios es infectado por los ataques del virus Koobface.

Ataque de phishing desde página gubernamental de Perú

Como ya nos tienen acostumbrado y para no perder la costumbre,  casi todas las semanas  se detecta algún ataque de phishing  a alguna entidad financiera en nuestra región, como el de hoy publicado en la Web del laboratorio de Eset.

El mismo se trata de un ataque diseñado especialmente para personas que vivan en Chile, ya que el ataque se realiza para obtener datos de un una importante entidad financiera de ese país. El correo que inicia el ataque llega con el asunto “Su Tarjeta SuperClave Fue Deshabilitado (Activar Urgente)” el cual mediante técnicas de Ingeniería Social intenta que la victima acceda al enlace de la pagina, haciendo creer a la víctima que la tarjeta fue deshabilitada para que esta proporcione datos sensibles.

En el análisis de la página de destino, el panel de login para el home banking pide que se ingresen los datos del usuario, en este caso número del RUT y la clave bancaria. También podemos ver un pequeño detalle en el recuadro de la pagina que indica: “Nuestros e-mails NO CONTIENEN LINKS hacia santaXXX.cl”. Esto es algo contradictorio por el mail que se envía inicialmente a la víctima. Un dato no menos importante es que el sitio de phishing se encuentra alojado en una página gubernamental de Perú (ver dominio .gob.pe). El sitio fue inicialmente comprometido por el delincuente, para realizar el ataque.

Una vez que la victima ingresa sus datos estos son enviados a dos cuentas de correo del phisher.

Este tipo de ataques confirma la tendencia de los atacantes por alojar sus sitios maliciosos en páginas web ya existentes que posean diversas vulnerabilidades que permitan alojar el contenido malicioso. Y en este caso, es nada más y nada menos que un sitio alojado en un dominio de un gobierno el que está siendo vulnerado, en este caso puntual en Perú. Nadie está exento de estos ataques y los webmasters deben estar atentos a las vulnerabilidades en sus sitios y también a los mecanismos para verificar si un sitio web está infectado.

Para mayor comprensión del ataque, la gente de Eset pone a disposición nuestra, un artículo sobre cómo opera un phisher, ya que ninguna entidad financiera solicita de esta manera información de cambios o cierres.

Aplicación para modificar diseño de Facebook, utilizada para descargar Adware

A la hora de hablar de las aplicaciones disponibles para Facebook, tenemos a nuestra disposición un abanico de innumerables aplicaciones de todo tipo según nuestros gustos, pero no todas son legales y hacen lo que dicen hacer. Este es el caso de una de ellas que brinda  la posibilidad de cambiar el diseño de nuestro perfil llamada 'Personalize Your Profile Layout & Theme', sobre la cual la empresa Av BitDefender  advierte como peligrosa para los usuarios de esta red social.

La aplicación es publicitada mediante mensajes en los muros de los usuarios. Si estos acceden a la misma, se encontrarán con una página similar a la de las aplicaciones legales de Facebook. Incluyendo el botón de “Me gusta” y otro para invitar a los amigos a probar la aplicación. En la  página explican que el cambio de diseño sólo podrá ser visto por aquellos que también se hayan descargado la aplicación. Esto incita a los usuarios a compartir la misma con sus amigos, contribuyendo así a la propagación de la amenaza. Además, al pulsar el botón de “Me gusta”, los usuarios estarán contribuyendo a dar credibilidad a la herramienta, puesto que cualquier usuario nuevo que acceda verá que mucha gente está satisfecha con esa herramienta y, por lo tanto, no creerá que es falsa.

Pero si esto no fuera suficiente, también invita a los usuarios a hacer cinco veces clic sobre un banner publicitario. Si el usuario lo hace, no le va a suceder  nada malo, salvo que estará contribuyendo a enriquecer a los ciberdelincuentes, que probablemente cobren al anunciante por cada clic que haga alguien en ese banner.

Finalmente, el usuario accede al link que, supuestamente, conduce a la aplicación. Cuando haga clic en él, se le pedirá que descargue un plugin. En realidad, se tratará de un adware detectado por BitDefender como Adware.FlvDirect. 6 y que como todos los ejemplares de malware de este tipo están diseñados para mostrar publicidad al usuario mientras navega por Internet o mientras utiliza su computadora.

Es importante que los usuarios tengan cuidado a la hora de instalar determinadas aplicaciones, ya que si bien existen algunas que brindan la posibilidad de modificar el tema de nuestro perfil, esta no es una de ellas. También, hay que recordar que en la configuración de privacidad, tenemos la posibilidad de establecer que aplicaciones tiene acceso a nuestro perfil y a que información de el pueden acceder.

Miles de usuarios “posiblemente” infectados por falso video de Youtube

10500 es el número de posibles usuarios infectados por un falso video proveniente supuestamente de Youtube, distribuido por medio  de  correo utilizando una dirección acortada, como lo publican en la Web de segu-info.

El correo en portugués promociona un supuesto video que ha sido masívamente visualizado y descargado desde Youtube e invita al usuario a hacer lo propio:

Como puede verse, el enlace conduce al acortador de URL Bit.ly y por supuesto el sitio destino nada tiene que ver con Youtube. A continuación se observa el verdadero enlace donde conduce la URL acortada:

Es fácil notar que el enlace en realidad conduce a una dirección IP de un servidor posiblemente ubicado en Montevideo y que sirve de hosting para un archivo dañino llamado Youtube.com.exe (ver reporte de VirusTotal) el cual es descargado automáticamente al presionar sobre el enlace disponible en el correo.

Desde Segu-Info ya han procedido a denunciar dicho enlace a Bit.ly pero hasta ese momento, el archivo había sido descargado 10.533 veces y posiblemente gran parte de los usuarios que lo hicieron, también lo ejecutaron y, como conclusión, en este momento se encuentran infectados con un troyano que roba usuarios y contraseñas bancarias.

Toman el control de un millón de teléfonos móviles en China

A la hora de hablar de smartphone, cada día nos sorprende más sus capacidades y mejores funcionalidades, llegando casi a tener las mismas prestaciones de una Pc convencional. Con el auge de estos dispositivos, cada vez más vendidos y requeridos por todos, los delincuentes ponen su atención en ellos, los cuales buscan infectar y realizar sus estafas por medio de estos.  

En China, más de un millón de usuarios de teléfonos móviles, sin ser conscientes de ello, enviaron mensajes de tipo spam a otros usuarios, suponiendo un coste cercano a los 2 millones de yuanes (300.000 dólares americanos) por día, después de que sus teléfonos fueran infectados previamente por malware, como recogen en la Web de idg.es.

El virus que recibe el nombre de “zombie”, por su afinidad a este tipo de redes que suele ser muy habitual entre usuarios de ordenadores, también conocidos por “redes robot”. Actúa de forma que se oculta en una aplicación de falsos antirivus, con lo que puede enviar la información del usuario del teléfono de la tarjeta SIM a los hackers, para posteriormente poder controlar de forma remota el teléfono, y llevar a cabo acciones como, enviar enlaces URL, anuncios de pago mediante clic, o mensajes de texto, a todos los contactos de la libreta de direcciones del usuario. De este modo, los hackers obtienen su principal finalidad, la de conseguir un gran beneficio económico.

Los usuarios que reciben el mensaje y hacen clic en los enlaces también se infectan, con lo que el virus se propaga muy rápidamente, según han informados estos días desde los medios de comunicación de China. El hecho de que el mensaje proceda de una persona conocida hace que no desconfíes de la URL, además de que el virus pasa desapercibido como si se tratase de una aplicación. Sólo en la primera semana del mes de septiembre, el virus se propagó hasta afectar a un millón de usuarios, según informa “La Red Informática Nacional de Respuesta de Emergencias China”.

Otros virus similares han aparecido desde entonces, lo que implica que cada vez es más necesario emplear soluciones de seguridad  para los teléfonos móviles, y muy especialmente si se trata de teléfonos smartphone inteligentes, con mayores posibilidades de acción. De hecho, una empresa de seguridad de Beijing ha encontrado 10 piezas de malware similares desde el pasado mes de septiembre, algunas de las cuales son capaces de evadir las soluciones de software antivirus desarrolladas para los terminales.

Información pública: el vaso medio lleno

Hace un tiempo atrás cuando escribí sobre la vulnerabilidad en los cafés inalámbricos, me tome el trabajo de ver que otros equipos en el rango de IP's publicas al que pertenecía el modem de Arnet, tenían la configuración por default de sus passwords.

El resultado fue alarmante, muchos equipos tenían la misma configuración por default pero con la administración remota habilitada.

Descubrir esto no es ciencia de cohetes, por ejemplo, un simple:
nmap -p 8080,80 -Pn -v xxx.xxx.xxx.2-254
Nos muestra todos los equipos que tienen los puertos 80 y 8080 abiertos.

Dentro de este paquetes de rangos de IP, había una en particular que tenia el puerto 80 abierto.

Como soy curioso, dirigí mi navegador hacia esa página, sin duda mi sorpresa fue mayor cuando me encontré ante el pedido de usuario y password de un sistema perteneciente a un organismo del estado.
Mas precisamente al Ministerio de Relaciones Exteriores y Culto.

Intuí por el nombre del sistema, que el mismo estaba en desarrollo.

En el sitio no había ningún banner alertando que el mismo estaba reservado a personas con autorización, por lo tanto supuse que se podía acceder en forma libre, siempre y cuando se contara con un usuario y password.

Yo tenia uno : admin/admin

Que puedo decir...en nuestro amado país, si tenemos algo que nunca vamos a perder, es la capacidad de asombro.

Como se ve en el post que publico en el blog  Exosafe, el sitio contenía toda la información presupuestaria del Ministerio de Relaciones Exteriores y Culto, pero como el usuario "admin" es ...administrador, uno tenia acceso a los perfiles de los usuarios, passwords y una de las cosas mas increíbles, la posibilidad de ejecutar comandos desde la pagina.

Que alguien me explique, cual es el sentido de poder ejecutar comandos desde el shell, en un sistema de administración presupuestario?

Cual es el sentido de tener instalado en el server de desarrollo, o en este equipo, herramientas como nmap ?

Entendí la gravedad que significaba esto y me comunique con la gente de Arcert, quienes se ocupan de:
Unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.
También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:
•    Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.
•    Proveer un servicio especializado de asesoramiento en seguridad de redes.
•    Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
•    Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
Luego de una serie de inconvenientes con mi certificado digital para enviar la información encriptada, logré enviarles la información de la vulnerabilidad.

Yo entendiendo lo lento que son los organismos del estado en reaccionar, no imagine que este problema ( el no permitir el acceso desde Internet a esta aplicación ) estaría resuelto en menos de una semana.

Hago disponible la información que se encuentra en el sitio, ya que no es posible acceder a este sitio.

De todas maneras esto nos deja muchos interrogantes:
•    Este incidente fue un problema de desidia o era una fuga de información intencionada?
•    La IP pertenecía a un organismo del estado o a una empresa contratada?
•    Quienes auditan el desarrollo de este tipo de aplicaciones en la APN?
•    Existen Metodologías de Desarrollo Seguro en la APN ? Quienes las elaboran?
•    Los datos con los que contaba la aplicación, eran reales o estaban modificados? ( personalmente creo que eran reales ... )
•    Que ocurrió con los responsables de este desarrollo y quienes permitieron que esto ocurra?
Estas son algunos de los interrogantes, Arcert no volvió a comunicarse conmigo para ponerme en conocimiento como se actuó, de ultima soy un ciudadano y lo que ocurre con estos sistemas me afectan de alguna manera.

Veo la reacción de Arcert como muy positiva, creo que es el lado lleno de este vaso que es la seguridad de la información pública, hay mucho por hacer para completar la parte vacía.

En el blog, de Exosafe voy a publicar más información sobre este incidente.

Autor: Julio Jaime
Visto en: segu-info

Complemento para detectar la presencia de Firesheep

Desde hace semanas atrás, se viene hablando mucho sobre un nuevo complemento para Firefox llamado “Firesheep”, el cual escanea las redes wifi publicas con el objetivo de obtener los datos de acceso de cuentas de Facebook, simplificando enormemente la tarea que realizan otras aplicaciones destinadas para tal fin.

Todos los  usuarios deberían saber sobre los peligros de utilizar un servicio wifi publico no encriptada. Lo ideal seria ingresar un  usuario contraseñas sólo cuando la dirección de la página empieza con "https://" y tiene un icono de cerradura por encima o fondo de la ventana de navegador. De otro modo algún “curioso” podría estar vigilando las  acciones del usuario sin su conocimiento.

Paginas como Facebook, y varias mas, todavía no cifran sus páginas lo cual es muy bien aprovechado por Firesheep para captar los datos de un usuario más fácil que nunca.

Pero recientemente fue lanzado “Blacksheep”, un complemento que detecta  y previene al usuario de la presencia de Firesheep en una red.

Blacksheep es un complemento para Firefox que utiliza mucho del código propio de Firesheep para poner sobre aviso a los usuarios de la presencia del mismo cuando se encuentran en una red no encriptada.

Asegurar conexiones de red con VPN
La mejor manera de evitar que los datos de una red no segura sean vistos por otras personas, es  no utilizar tales redes, pero la mayoría no hace caso a esto, así que la otra alternativa seria la de utilizar una conexión de red privada virtual (VPN, la cual el usuario puede establecer utilizando alguno de los tantos productos para tal fin.

Las VPNs hace un poco más  lenta la conexión, pero es un pequeño precio a pagar por la seguridad agregada que proporcionan.

Fuente: cnet.com

Cinco semanas de cárcel por publicar foto de su ex desnuda

Un joven neocelandés recibió una pena de cinco semanas de cárcel por publicar en Facebook fotos de su ex novia desnuda. Se trata de la primera condena a una persona por divulgar, en redes sociales, contenidos que pueden vulnerar el derecho al honor y a la propia imagen de terceros.

El joven acusado, Joshua Simon Ashby, de 20 años y residente en Wellington, Nueva Zelanda, justificó su acción como un ataque de celos durante una borrachera. El joven publicó una imagen de su ex pareja desnuda delante de un espejo.

Según el diario El Mundo, en un principio el acceso a la fotografía estaba limitado a los 218 amigos de Joshua, pero después decidió hacerla pública a toda la red. La fotografía estuvo accesible durante 12 horas hasta que la policía procedió a retirarla.

La defensa de este joven alegó que Joshua había publicado la foto bajo los efectos del alcohol durante un ataque de celos.

El juez encargado del caso, Andrew Becroft, no encontró estos hechos como atenuantes y condenó a cinco semanas de prisión al acusado. Para justificar su sentencia explicó que las leyes de impresión y publicación antigua no se corresponden con la actualidad de Internet. Además declaró al portal Stuff que "la tecnología no debe ser utilizada de esta manera".

El joven había sido encarcelado después de declararse culpable, además, de amenazas de muerte (con algunos mensajes de texto añadidos como prueba, tales como 'te voy a matar'), daño intencional, robo de ropa de mujer y asalto.

Los padres del acusado mostraron un apoyo total a su hijo, aunque entienden la sentencia. Ambos hablan de que este caso es uno de los posibles "lados oscuros" de Facebook y las redes sociales. Esperan que este caso sea un ejemplo para que las personas hagan un correcto uso de las redes sociales.

Fuente: segu-info

¿Michael Jackson fingió su muerte?

Este es el título del gancho utilizado por los delincuentes para lograr que las personas instalen una falsa aplicación para Facebook. 

Gram Cluley, investigador de la firma de seguridad Sophos, advierte en su blog sobre una serie de mensajes que se están distribuyendo en Facebook en los que, aprovechando las diversas teorías que existen sobre la muerte de Michael Jackson, engañan a los usuarios para que instalen una aplicación en su perfil.

Los mensajes dicen “Did Michael Jackson fake his death? Look at this video!!” y se adjunta un enlace que envía al usuario a otra página que muestra una imagen del fallecido rey del Pop. Si se hace clic en la foto, tal y como se pide en la página, se intenta instalar una aplicación de Facebook en la cuenta del usuario.

El vídeo obviamente no existe, y lo único que aparece cuando se autoriza el uso de la aplicación es una imagen de un reproductor similar al de YouTube. Sin embargo, en este punto, los criminales ya pueden tener acceso a diversos datos personales de la cuenta del usuario y utilizarla para enviar mensajes spam.

Estas prácticas por medio de tecnicas de ingenieria social son muy comunes en Facebook, por lo que hay que tener mucho cuidado a la hora de elegir las apps que autorizamos. Y si no nos confiamos de alguna, eliminarla cuanto antes desde las opciones de privacidad nuestra cuenta.

Fuente: opensecurity

Llevo su notebook a reparar y terminó siendo estafado

Muchas veces se habló de la honestidad de la gente que realiza servicio técnico de computadoras, como el caso que se vio en los principales medios de comunicación no hace mucho tiempo atras,  en donde se expuso la historia de unos técnicos que hurgaban y copiaban los archivos personales de las personas que llevaban sus equipos a reparación, desatando así el debate sobre la ética profesional de estas personas y el manejo de la información de sus clientes.

Otra vez la historia se repite, pero con un agregado muy particular. En Estados Unidos, una pareja de Nueva York fue arrestada por, presuntamente, defraudar por unos 20 millones de dólares  a un cliente que llevó su notebook a arreglar en un servicio técnico.

La insólita historia arranca en 2004 cuando el pianista Roger Davidson pidió a los propietarios de una tienda de computadoras que les eliminara un virus de su notebook. Al parecer, la pareja elaboró un timo de ingeniería social que les permitió robarle al propietario del equipo unos 6 millones de dólares verificados por la policía, aunque la cifra podría aumentar hasta los 20 millones de dólares.

Según la policía, la pareja arrestada fue capaz de convencer a Davidson de que el virus era, en realidad, un síntoma de un problema mayor por el que estaba siendo amenazado por agencias de inteligencia gubernamentales, países extranjeros e incluso congregaciones religiosas como el Opus Dei.

Una vez convencido, le hacen pagar 160,000 dólares al mes por 24 horas de protección frente a estas amenazas ficticias. Unos abonos que se han mantenido hasta hace no mucho tiempo.
El jefe de policía Anthony Marraccini asegura que los sospechosos han intentado controlar cada dólar de la víctima y que lo hacían “sistemáticamente e infiltrándose en cada aspecto de su vida”. Algo que han logrado explotando los miedos de la víctima.

Fuente: pcworld

Utilizan la necesidad de trabajo para infectar

La necesidad de encontrar trabajo en tiempos de crisis y dos dispositivos punteros como el iPad y el iPhone son el nuevo gancho que los ciberdelincuentes están usando para engañar a los usuarios e infectar sus ordenadores, según informa BitDefender.

El ataque comienza cuando los usuarios reciben un correo electrónico con un archivo PDF adjunto que se hace pasar por una Nota de Prensa. Para incitar al usuario a abrir ese archivo adjunto, en el correo se explica que en él se podrá encontrar información sobre una aplicación para el iPhone y el iPad que ayuda a encontrar trabajo en los Estados Unidos.

Sin embargo, si el usuario abre el archivo adjunto, lo que estará haciendo es poner en movimiento el proceso de infección, ya que el archivo en realidad es un código malicioso diseñado para controlar la navegación del usuario por Internet y para abrir una puerta trasera (backdoor) en la Pc y permitir que un atacante remoto tome el control de misma.

Para que el usuario no sospeche que algo raro está ocurriendo, este código malicioso está también diseñado para abrir un archivo PDF normal, así como para ejecutar una secuencia de comandos que limpiará el rastro dejado por el código malicioso en el sistema.

Hotmail habilita el cifrado SSL durante toda la sesión del usuario

Microsoft ha anunciado que está ofreciendo a los usuarios de Hotmail la posibilidad de hacer uso del cifrado de datos cuando utilicen su servicio de correo electrónico gratuito. Para poder hacerlo el usuario tiene que acceder a una sesión segura "https", por lo que acceder a su cuenta de Hotmail a través del enlace "https://hotmail.com", o lo establecerá por defecto en https://account.live.com/ManageSSL. Antes SSL sólo se utilizaba en el momento del registro, pero ahora está disponible desde el inicio hasta que el usuario se cierra la sesión.

Además de Hotmail, Microsoft también ha dicho que a partir de ahora las páginas de SkyDrive, Photos o Docs también utilizarán de manera automática cifrado SSL.

Google siempre ha ofrecido a los usuarios de Gmail, su servicio de correo electrónico, la capacidad de utilizar HTTPS y ha hecho que esta característica pueda establecerse por defecto desde el pasado mes de enero. Además, también ofrece esta opción en Google Docs.
El anuncio de Microsoft de permitir la utilización de cifrado se une a otras características de seguridad que la compañía añadió en septiembre que hace más difícil el secuestro de las cuentas de correo y facilita la recuperación de las mismas a las víctimas si esto ocurriera.

Ranking de amenazas de ESET en el mes de octubre

Como es habitual al finalizar cada mes, la empresa AV Eset publicó su Ranking de amenazas más destacas que a continuación se detallada:

• El INF/Autorun permanece por tercer mes consecutivo en la primera posición del ranking con el 6,22 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo.

• El Win32/Conficker ocupa la segunda posición del ranking con el 4,32 por ciento del total de detecciones. Conficker es un gusano que se propaga utilizando Internet como plataforma de ataque, aprovechando diferentes vulnerabilidades en sistemas operativos Microsoft Windows que ya han sido corregidas, además de otras tecnologías como los dispositivos de almacenamiento removible y recursos compartidos en redes.

• El Win32/PSW.OnlineGames se mantiene en el tercer lugar con el 2,62 por ciento y es una de las amenazas con mayor vigencia consecutiva entre las primeras posiciones del ranking mundial de propagación de malware.    

• El Win32/Sality sube a la cuarta posición con el 1,90 por ciento del total de detecciones. Sality es un virus polimórfico. Cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema. Modifica los archivos .exe y .scr y desactiva los servicios y procesos relacionados a las soluciones de seguridad.

• El INF/Conficker ocupa la quinta posición, con el 1,54 por ciento del total de detecciones y es una detección utilizada para describir una variedad de malware que se propaga junto con el gusano Conficker y utiliza el archivo autorun.inf para comprometer al equipo informático.

Para ver el ranking completo de las diez amenazas más propagadas de octubre, ingresar al siguiente enlace.

Obtener una licencia de Panda Cloud Pro gratis

Mirando la Web de Spamloco, me encontré con la noticia de que la empresa Panda regala licencias de su Antivirus Panda Cloud Pro, mediante un acuerdo con el portal  CNET válida durante 1 año.

Para conseguirla, hay que acceder al siguiente enlace en el cual tenemos que solicitar el pedido introduciendo nuestro nombre y correo electrónico, para así recibir un enlace desde el cual podemos descargarla, junto con un enlace para descargar el instalador del AV.