Lunes, 30 de mayo de 2011 | Apple/Mac, Malware
Con la excusa de la reciente aparición de rogueware para Mac (algo relativamente novedoso) vamos a intentar aclarar algunos mitos con respecto al mundo del malware para Mac donde, según percibimos, campa la imprecisión, medias verdades y mitos marquetoides. Esto afecta a usuarios, casas antivirus e incluso la propia Apple.
Aunque parezca ridículo, hay quien niega que exista malware para Mac. Incluso, quien sostiene que en Apple hacen sistemas operativos inmunes. Si bien no merece la pena desmentir este evidente bulo, sí que sería necesario aclarar un par de puntos.
Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, que juega en otra liga, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. O sea, “ahí fuera” y no en laboratorios (donde se han creado pruebas de concepto para todos los sistemas operativos) existe malware creado específicamente para Mac OS del que se lucran los atacantes.
Continuar leyendo este articulo »
Lunes, 16 de mayo de 2011 | Malware
Los creadores de IncognitoRAT (una botnet que se ha puesto relativamente de moda en estos últimos días) han programado una herramienta muy completa para controlar una botnet multiplataforma. Pero han dado muestras de no saber asegurar sus servidores… de forma que hemos descubierto que se pueden obtener los datos de los supuestos compradores del kit.
Teniendo en cuenta todo el ruido generado en torno a IncognitoRAT, intentaremos aportar algo nuevo. IncognitoRAT ha generado muchas noticias en medios generalistas en los últimos días. Sobre todo porque se ha anunciado que es multiplataforma (creado en Java) e infecta a Mac OS X. En realidad esto no es noticia, porque existen ya varias herramientas RAT o malware en general para Mac y para cualquier otro sistema operativo. Y en realidad, tampoco es un dato exacto. Todo está programado en Java, eso es cierto, pero el agente que infecta se ha visto solamente en forma de ejecutable para Windows… Lo que a nosotros nos llama la atención no es que IncognitoRAT permita con su código Java activar la cámara de la víctima, hacer que suene un MP3… sino sobre todo, su curioso recelo comercial… que parece que no han cuidado demasiado.
Continuar leyendo este articulo »
Martes, 1 de marzo de 2011 | Malware
Por medio del uso de técnicas de Ingeniería Social y a través de las redes sociales, la celebración del día de San Valentín, fue el acontecimiento más usado por los atacantes para propagar sus códigos maliciosos. Además, se detectó una nueva campaña de infección por medio de la botnet Waledac.
Durante febrero la celebración de San Valentín fue el acontecimiento social más utilizado por los ciberatacantes para propagar códigos maliciosos. A su vez, según informa la compañía de seguridad informática ESET, se detectó el retorno de la botnet Waledac caracterizada por el envío masivo de spam a través de los equipos infectados y que ya había atacado del mismo modo en febrero del año pasado.
Continuar leyendo este articulo »
Martes, 22 de febrero de 2011 | Malware, Moviles
En setiembre de 2010 se detectó una variante del troyano bancario Zeus que además de infectar Windows, intentaba infectar los móviles de los usuarios para obtener códigos de transferencias que algunos bancos envían por SMS como medida de seguridad.
Con el equipo infectado y las páginas de los bancos comprometidas localmente, a las víctimas se les solicita el número y modelo del móvil para recibir un certificado de seguridad. Este certificado se envía por mensaje y es en realidad el troyano que infecta el aparato y supervisa los SMS para robar los códigos de seguridad.
La nueva versión del troyano opera de la misma forma y afecta a los usuarios de Symbian y Windows Mobile. Fue detectada en Polonia y el ataque estaba dirigido a clientes de ING Bank y mBank:
Página del banco modificada por Zeus
En el foro de mBank se puede ver el mensaje de un usuario infectado que no puede acceder a su cuenta online y ve mensajes extraños.
Continuar leyendo este articulo »
Martes, 22 de febrero de 2011 | Malware
Los periódicos The Telegraph de Gran Bretaña, y Le Monde, de Francia, hacen referencia a un artículo publicado en el diario israelí Haaretz, según el cual un general del ejército de ese país, Gabi Ashkenazi, habría confirmado la autoría israelí del gusano Stuxnet.
Según el artículo de Haaretz, el general Ashkenazi habría preparado su transición a su nueva vida como jubilado creando un vídeo donde se refiere a los hitos de su carrera. El vídeo, que fue presentado durante una fiesta de homenaje para el general, incluye una secuencia en que Ashkenazi dice haber sido responsable de supervisar el desarrollo de Stuxnet.
Continuar leyendo este articulo »
Miércoles, 16 de febrero de 2011 | Malware, Moviles
El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el primer Informe sobre Malware en Smartphones, en el que Hispasec ha participado de forma directa. El estudio pretende constituir una radiografía que refleje la situación actual de los smartphones en lo referente a seguridad, describiendo las principales amenazas a las que se enfrentan, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles ya no son simples teléfonos y no pueden ni deben ser tratados como tal.
Continuar leyendo este articulo »
Martes, 25 de enero de 2011 | Malware
Un grupo de investigadores ha desarrollado un ‘troyano’ que actúa contra el sistema operativo móvil Android. El malware, llamado Soundminer, roba datos utilizando mecanismos de difícil identificación por el software antivirus.
El ‘troyano’ Soundminer, monitorea las llamadas y los registros de los teléfonos Android cuando una persona, por ejemplo, informa del número de su tarjeta de crédito o lo introduce en un teclado, según el estudio presentado por los investigadores. Mediante diversos análisis técnicos elimina la información superflua hasta dejar la esencial, como el propio número de la tarjeta de crédito, y envía sólo esa pequeña porción de información al hacker por la red.
Continuar leyendo este articulo »
Domingo, 27 de diciembre de 2009 | Fraude/Phishing, Malware, Noticias
Una nueva botnet está causando un fuerte aumento en el fraude de clics debido a su capacidad para eludir los más sofisticados filtros de motores de búsqueda, editores web y redes de publicidad, según Click Forensics.
Click Forensics, especializada en la prestación de servicios de monitorización de campañas de publicidad para la detección de fraudes de clics, asegura que los arquitectos de la nueva botnet han conseguido encontrar una forma especialmente efectiva de enmascarar los clics fraudulentos haciéndolos parecer tráfico de búsqueda de publicidad legítimo.
La firma ha bautizado la red de “ordenadores zombi” con el nombre de Bahama porque inicialmente redirigía el tráfico a través de dominios web de las Bahamas, aunque en la actualidad utiliza sitios de Amsterdam, Reino Unido y Silicon Valley.
Continuar leyendo este articulo »
Lunes, 30 de noviembre de 2009 | Malware, Seguridad
Una nueva forma de ataque que instala un rootkit directamente en el sistema Bios de la computadora, haría inservible al programa antivirus, advirtieron los investigadores.
Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.
Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.
“Probamos el sistema en la mayoría de los tipos comunes de Bios”, dijo Ortega. “Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (*EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas.”
El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.
Continuar leyendo este articulo »
Sábado, 14 de noviembre de 2009 | Malware, Noticias, Seguridad
Un grupo de expertos en seguridad ha logrado desactivar temporalmente la conocida red zombi Mega-D, que el año pasado llegó a ser la más grande del mundo, responsable de aprox. un tercio de todo el tráfico de spam.
Los expertos de la empresa de seguridad de California FireEye lanzaron un ataque coordinado a la red, también conocida como Ozdok, para evitar que los zombis contactaran a su servidor de administración y control para recibir órdenes y actualizaciones.
Los administradores de la red Mega-D se comunican con los ordenadores zombis mediante dichos servidores de administración y control. Es por eso que la empresa pudo poner en crisis la existencia de la red sólo con evitar que los zombis se comuniquen con estos servidores.
La red había registrado varios nombres de dominio para descargar las instrucciones para sus zombis. Cuando por alguna razón los ordenadores infectados no pueden recibir las actualizaciones por este medio, buscan servidores DNS para detectar sitios activos. En última instancia, los zombis reciben las órdenes desde un nombre de dominio que Mega-D genera al azar basándose en la fecha y hora.
Continuar leyendo este articulo »
Viernes, 13 de noviembre de 2009 | Apple/Mac, Malware, Moviles, Seguridad
Según informa Help Net Security, habría sido descubierto un gusano (virus, malware 
) que aprovecha un descuido en la configuración de ciertos dispositivos – IPhone o IPod Touch – que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase “ikee is never going to give you up“, haciendo alusión a la canción “Never Gonna Give You Up” generalmente utilizada para rickrollear gente en Internet.
El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto “alpine”. Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.
Este gusano creado por “ikee” no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.
Vía Help Net Security
Sábado, 3 de octubre de 2009 | Fraude/Phishing, Malware, Seguridad
Se ha detectado una familia de troyanos que, además de todas las técnicas habituales que usa el malware 2.0 para pasar desapercibido, falsea el balance del usuario víctima una vez ha sido robado. Así, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador, o le sea devuelto algún recibo.
Es común hoy en día que los troyanos inyecten campos adicionales en las páginas de los bancos para “capturar” la tarjeta de coordenadas o las contraseñas secundarias que permiten el movimiento del dinero. Es común que se salten restricciones de todo tipo impuestas por los bancos (teclados virtuales, ofuscación, OTP…), destinadas a detener su avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen que a pesar de los esfuerzos de las casas antivirus, no sean detectados en su mayor parte. La mayoría también ofusca su código para dificultar el análisis de los investigadores… Lo que no es tan común es que los troyanos, al robar, falseen el balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido traspasado a otro lugar.
Continuar leyendo este articulo »