Falsos correos de Western Union propagan malware

Los escritores de virus una vez más están utilizando la ingeniería social para aprovecharse de los internautas y propagar programas nocivos. Esta vez, están enviando correos electrónicos que dicen provenir de la empresa de transferencias de dinero Western Union.

El mensaje falso afirma que el usuario había realizado una transferencia de dinero hace algún tiempo, pero que el destinatario no había recogido el dinero.

Para presionar a sus víctimas potenciales a descargar un archivo malicioso adjunto al mensaje, los delincuentes les advierten que deben imprimir el documento adjunto para reclamar el dinero.

“Según las reglas de Western Union, las transferencias que no se recojan en 15 días deben devolverse a quien las realizó. Para reclamar su dinero, debe imprimir el aviso adjunto a este mensaje y visitar la sucursal de Western Union más cercana”, dice parte del mensaje.

Por supuesto, el usuario nunca realizó tal transferencia, así que el dinero no existe. Cuando los internautas intentan descargar el archivo adjunto, en realidad descargan un programa troyano.

El troyano en cuestión es una modificación de un programa que se descubrió hace un año y se propaga aprovechando una vulnerabilidad en PDF.

Este programa desactiva el cortafuegos de los ordenadores afectados para robar datos financieros, como números de tarjetas de crédito y contraseñas para ingresar a sitios de bancos en línea.

Además, toma capturas de pantalla, descarga componentes sin el consentimiento del usuario y permite al delincuente controlar el equipo infectado.

Como siempre, los expertos en seguridad aconsejan a los usuarios de Internet que mantengan sus programas de seguridad actualizados y que desconfíen de los correos electrónicos que contengan archivos adjuntos o dirijan a un sitio externo.

La diferencia entre Tvviter y Twitter

Se ha detectado una nueva amenaza para los usuarios de Twitter. Esta vez, los cibercriminales han creado un sitio web, Tvviter.com, para recolectar los datos de registro de los internautas.

Para engañar a los usuarios, el sitio, registrado hace sólo una semana, imita visualmente a la página principal del conocido sitio de microblogging Twitter.

Está de más recalcar que en este caso los delincuentes escogieron el nombre del sitio con cuidado, para que en un vistazo rápido no se note la diferencia entre el nombre del sitio fraudulento (Tvviter.com, que contiene dos ‘v’ y una ‘t’) y el original (Twitter.com, que contiene una ‘w’ y dos ‘t’).

Este ataque se propaga enviando Tweets que contienen un mensaje en inglés que dice "mira a este chico" seguido de un enlace a un sitio web.

El sitio dirige a Tvviter, donde se pide al usuario que escriba sus datos de acceso al sitio. Pero cuando el usuario escribe sus datos personales, en realidad los pone en manos de los estafadores virtuales.

Los expertos afirman que, tras convertirse en víctimas de estos ataques, las cuentas de los usuarios agregan nuevos (mínimo 6) seguidores.

Estos nuevos contactos publican Tweets en la cuenta de la víctima invitando a visitar un sitio ‘para encontrar pareja’, que en realidad es un sitio pornográfico.

El sitio ha establecido un sistema de publicidad ‘pay-per-click’, así que los spammers se llenan los bolsillos con cada visitante que reclutan.

Los expertos en seguridad todavía están analizando el sitio para determinar si también descarga programas nocivos en los ordenadores de sus visitantes.

En desarrollo desde 2002 Revelan nueva función de Windows 7

El "modo XP" no era el último secreto de Windows 7. Blog revela la función WiFi virtual de Windows 7.

Diario Ti: Desde 2002, el equipo Microsoft Research ha estudiado la forma de crear redes inalámbricas virtuales. Con un adaptador inalámbrico único es posible crear un número indefinido de zonas inalámbricas.

La tecnología ha sido incorporada en Windows 7, y estará disponible desde la versión RC. Lamentablemente, la función no puede ser probada a nivel general debido a la carencia de conectores. Según el blog en cuestión, la tecnología estará disponible dentro de poco. De hecho, Microsoft requiere que todos los conectores WLAN para Windows 7 incluyan soporte para WiFi virtual.

Según Microsoft, Virtual WiFi no es una función imprescindible, pero puede dar grandes ventajas al usuario. A modo de ejemplo se menciona un usuario conectado a Internet, que requiere recibir un archivo de otro ordenador, conectado a otra e inalámbrica. La nueva función hará innecesario desconectarse desde una red inalámbrica, para conectarse a la otra. Curiosamente, al función no ha sido implementada anteriormente como parte de un sistema operativo.

Paralelamente, el informado Paul Thurrot ha comentado que Windows 7 estará disponible a partir del 15 de octubre 2009.

Fuente: Istartedsomething.com

Backup 2009 Home Edition GFI ofrece solución de back-up gratuita

GFI Backup 2009 Home Edition permite almacenar de manera segura cualquier archivo, ya sean fotos, documentos de Office, o cualquier otro fichero del ordenador, para su recuperación desde cualquier ordenador.

Diario Ti: GFI Software anuncia una nueva versión gratuita de su solución de recuperación de la información, GFI Backup 2009 – Home Edition. Diseñada para los usuarios domésticos, GFI Backup 2009 permite almacenar de manera segura cualquier archivo, ya sean fotos, vídeos, documentos de Office, o cualquier otro archivo del ordenador.

Esta solución gratuita puede descargarse de la página de la compañía, permitiendo a los usuarios domésticos mantener las copias de seguridad de sus archivos importantes regularmente actualizadas salvaguardando sus datos en caso de que algo vaya mal.

Esta solución no utiliza un formato registrado, sino que los datos se almacenan en archivos comunes ZIP. Esto hace que sea sencillo recuperar datos en un ordenador que no tenga instalado GFI Backup.

“Las amenazas de seguridad no sólo afectan a las PYMEs, sino que también suponen un riesgo para los usuarios domésticos. En muchos casos la pérdida de datos para los consumidores puede suponer un varapalo ya que se pueden perder recuerdos, documentos personales o importantes archivos a causa de un fallo en el disco duro o por el ataque de un virus", comenta Walter Scott, presidente de GFI.

Piratas informáticos lanzan ataque contra usuarios de Facebook

Consiguieron las contraseñas de algunos usuarios de la red social. El hurto de datos sirve para propagar correo basura

Piratas informáticos lanzaron el jueves un ataque contra los 200 millones de usuarios de Facebook, consiguiendo exitosamente las contraseñas de algunos de ellos, en la más reciente campaña contra los miembros de la popular red social.

El portavoz de Facebook, Barry Schnitt, dijo el jueves que el sitio estaba en proceso de reparar los daños causados por el ataque, al tiempo que precisó que la red estaba bloqueando las cuentas afectadas. Sin embargo, declinó decir cuántas estaban comprometidas.

Los piratas informáticos obtuvieron las contraseñas por medio de lo que se conoce como ataque de "phishing": introduciéndose en las cuentas de algunos miembros de Facebook y enviando correos electrónicos a sus amigos instándolos a hacer clic en vínculos de sitios web fraudulentos. Esos sitios fueron diseñados para verse similares a la página de inicio de Facebook, en un sistema que pedía a los usuarios que volvieran a iniciar sesión, con lo que los piratas conseguían las contraseñas.

El objetivo de tales ataques generalmente es el hurto de datos y la recolección de direcciones para propagar correo basura. Los dominios fraudulentos incluían www.151.im, www.121.im, entre otras. Facebook eliminó todas las referencias a dichos sitios.

Schnitt dijo que el equipo de seguridad de Facebook cree que los piratas informáticos buscaban recolectar un amplio número de cuentas y más tarde utilizarlas para enviar correos basura con propaganda de productos farmacéuticos falsos y otros bienes a miembros de Facebook. El sitio repelió un ataque similar dos semanas atrás, agregó el portavoz.

Piratas informáticos utilizaron un ataque de pishing el año pasado para enviar un virus malicioso conocido como Koobface (en referencia a Facebook). Se descargaba a los computadores de los usuarios de Facebook cuando hacían clic en un link que recibían a través de un correo electrónico de apariencia similar a uno que hubiese sido enviado por un contacto de Facebook.

Gumblar utiliza los buscadores para propagarse exponencialmente

Expertos en seguridad han alertado sobre un ataque XSS a sitios web, denominado “Gumblar”, que ha logrado comprometer más de 2.300 sitios.

Sólo durante la última semana, la cantidad de sitios afectados por este problema aumentó un 188%, afirma ScanSafe, que dio la voz de alerta sobre el ataque.

Gumblar utiliza buscadores para propagarse, redirigiendo las búsquedas de los usuarios a sitios infectados que, en muchos casos, imitan a los que el internauta pensaba visitar.

Los sitios fraudulentos descargan programas nocivos al ordenador de sus víctimas, permitiendo a los cibercriminales controlar sus equipos de forma remota.

Los delincuentes también pueden robar las credenciales FTP de los usuarios. Esto les otorga acceso a los sitios web que el usuario visita y les permite inyectar el script nocivo para aumentar su difusión.

Una característica importante de Gumblar es que, para evitar su detección, otorga a cada sitio infectado, incluso a cada una de sus páginas, un script único.

La complejidad y dinamismo de Gumblar hace que los métodos tradicionales de detección por signatura sean ineficaces.

“En realidad, la prevención es la única forma de defensa eficaz, porque una vez que estás infectado y que te han robado las credenciales FTP, el criminal puede cambiar las contraseñas y hacer que sea muy difícil recuperar el control”, advirtió Mary Landesman, portavoz de ScanSafe.

Es posible que el operador de Gumblar esté prestando sus servicios a terceras personas de la misma manera que los operadores de redes zombi alquilan sus redes para publicitar sitios web y enviar spam.

Se cree que Gumblar puede estar redirigiendo a los usuarios a algunos de estos sitios para aumentar su número de visitantes, haciendo que los auspiciadores inviertan más dinero en el sitio.

Asimismo, es probable que algunos escritores de virus hayan pagado a los dueños de Gumblar para que redirijan a sus víctimas a sitios maliciosos desde donde pueden descargar sus propios programas maliciosos.
Fuente:
Dark Reading
Help Net Security
SC Magazine

Argentina, a la cabeza en ataques informáticos

Un estudio de Symantec señala que en América Latina es el segundo país donde se originan spam y bot, los ataques maliciosos, después de Brasil. Los EEUU son los primeros


La Argentina pasó a ubicarse en los primeros puestos de los rankings que miden los ataques informáticos a través de internet, según reveló un estudio de Symantec.

Así, Argentina se ubicó en 2008 a nivel regional segundo en producir spam y bot (ataques encubiertos), y tercero en actividad maliciosa. Pero a nivel mundial clasificó en el cuarto puesto como lugar de origen de ataques informáticos, y en el duodécimo entre los productores de bot.

De acuerdo a este informe, Brasil fue el país número uno con actividad maliciosa en América Latina durante 2008, representando 34 por ciento del total. A nivel global, Brasil se clasificó en el quinto lugar, con 4 por ciento del total de la actividad maliciosa por país.

Los Estados Unidos ocuparon el lugar número uno de origen de ataques detectado por los sensores ubicados en América Latina en 2008, representando 58 por ciento de todos los ataques detectados. También mantuvo su clasificación en el primer lugar por originar ataques contra blancos globales en 2008, con 25 por ciento.

En tanto, Brasil ocupó el primer lugar en computadoras infectadas por bots en la región de América Latina en 2008, con 42 por ciento del total; y tuvo 6 por ciento del total global.

En 2008, la muestra de código malicioso que se observó con mayor frecuencia por infección potencial en América Latina fue el gusano Gammima.AG; que ocupó el séptimo lugar a nivel global en 2008.

El año pasado, 29 por ciento del spam detectado en América Latina se originó en Brasil; y a nivel global, ese país representó 4 por ciento. La Argentina y México registraron de 2007 a 2008 un crecimiento superior a 40 por ciento en los suscriptores de banda ancha, en tanto que en Brasil fue de 27 ese incremento.

De todos modos, Brasil tiene el mayor número de suscriptores de banda ancha de América Latina, con 39 por ciento, en tanto que México lo sigue con 24; y Argentina está tercero con 12.

Brasil fue el país que ocupó el número uno en actividad maliciosa en América Latina en 2008, con 34 por ciento. México se clasificó en el segundo lugar en América Latina con respecto a la actividad maliciosa, representando 17 por ciento; mientras que Argentina se clasificó en el tercero, con 15.

A nivel global, Brasil se clasificó en el quinto lugar en esta métrica representando 4 por ciento; México ocupó el lugar número 17 con 2 por ciento; y Argentina ocupó el 18 con 1. En la región, Brasil registró el porcentaje más alto de computadoras infectadas por bots, con 42; y a nivel global tuvo 6 por ciento.

La Argentina ocupó el segundo lugar en América Latina, con 17 por ciento; y Perú se clasificó en el número tres, con 10.

La Argentina también quedó en el segundo lugar de origen de spam en la región, con 15 por ciento; y Colombia ocupó el tercer lugar, con 12.

Fuente: DyN

Delincuentes crean buscadores que dan prioridad a los sitios nocivos

Según un informe de Panda Security, los cibercriminales están creando nuevos buscadores con el propósito de promover sitios maliciosos.

Es común que los delincuentes virtuales utilicen sitios de búsqueda para propagar su código nocivo. Pero por lo general buscan la forma de que los sitios infectados que intentan promover salgan entre los resultados principales de buscadores legítimos como Google.

Pero al crear su propio buscador, los delincuentes se aseguran de que los sitios que cargan su código nocivo siempre estén entre los principales resultados de los buscadores.

Cuando los usuarios escriben una palabra clave en el buscador malicioso, el sitio muestra alrededor de 5 resultados. Sin importar qué palabra hayan buscado, casi todos dirigen a sitios fraudulentos o que propagan programas nocivos.

Por lo general, el contenido de los sitios no tiene nada que ver con la búsqueda del usuario, que acaba en páginas con contenido pornográfico o que ofrecen programas antivirus fraudulentos.

A veces el buscador muestra algún sitio legítimo, posiblemente para aparentar que los resultados son confiables.

Tres de estos buscadores han estado operando desde enero de este año y cada vez se están haciendo más populares.

De estos tres sitios, el de mayor clientela ha recibido 279.665 visitas, y en el último mes su número de visitantes ha aumentado un 64,26%. El que se encuentra en segundo lugar tiene un número de visitantes y porcentaje de crecimiento similar.

El menos popular ha recibido 39.175 visitas. A pesar de que esta cifra está muy por detrás de las anteriores, su clientela sigue creciendo: el mes pasado la cantidad de visitantes a este sitio aumentó un 22,63%.

Los delincuentes están utilizando buscadores conocidos para reclutar visitantes. Según los datos de Panda, hasta un 60% de los usuarios que ingresan a estos buscadores nocivos han sido dirigidos allí desde Google.

Preferido por ciberdelincuentes PDF es el formato más peligroso en existencia

Los documentos en formato PDF son la herramienta predilecta para la propagación de virus y otro malware.

El programa para lectura de documentos PDF, Acrobat Reader, está instalado en prácticamente todos los PC conectados a Internet en el mundo. Con ello, el formato Portable Document Format de Adobe, abreviado PDF, es altamente interesante para ciberdelincuentes.

El formato PDF ha sido considerado por muchos usuarios incluso como más seguro que otros formatos, debido a que no es posible editar los documentos en PDF. Sin embargo, esta impresión parece ser errónea.

Según nuevas estadísticas de F-Secure, PDF ha rebasado a los formatos de Microsoft Office como los preferidos en el submundo cibernético. En 2008, los documentos en formato Word eran los preferidos para los ataques mediante archivos. Actualmente, el formato PDF ocupa el primer lugar. En los lugares siguientes de la lista de F-Secure figuran Excel, con 7,3% y PowerPoint con 4,5%.

F-Secure escribe que los ciberdelincuentes exhiben cada vez mayor ingenio para distribuir su malware, y poder continuar así con sus sabotajes y fraudes. La empresa pone de relieve que el formato PDF ha sido considerado seguro al no ser editable, pero que esta situación ha cambiado.

F-Secure menciona el ataque contra la empresa de gestión de pagos Heartland, a fines de 2008, en que intrusos se apropiaron de información de 95 millones de tarjetas de crédito. En la oportunidad, el ataque se produjo mediante un empleado de Heartland, que al abrir un documento PDF infectado dio acceso a toda la red de la empresa.

La semana pasada se reveló un grave ataque de zero-day que aprovechaba una vulnerabilidad de Acrobat Reader. El formato hace posible ocultar código en un documento, que es ejecutado automáticamente al abrirlo.

F-Secure sugiere tener precaución al abrir documentos PDF enviados por desconocidos.

En noviembre de 2008, Mikko Hypponen, experto de F-Secure, comentåo que “Acrobat Reader figura entre los peores programas escritos alguna vez. Este es un programa que debe evitarse, y en lugar de el usar extensiones para el navegador que puedan leer documentos PDF".

Nueva variante de “Sinowal" Kaspersky logra desenmascarar rootkit MBR

Según la compañía esta es la primera vez que los cibercriminales utilizan tecnologías tan avanzadas.

Kaspersky Lab anuncia sobre una nueva variante de “Sinowal". Este tipo de malware, una vez infectado el MBR (Master Boot Record) del disco duro, es capaz de hacerse invisible en el sistema.

A diferencia de las versiones anteriores, la nueva modificación Backdoor.Win32.Sinowal.b se incrusta en un nivel mucho más profundo para no ser detectada. Una vez que se sobreescribe el MBR, el código utiliza técnicas de rootkit para no ser detectado.

Es la primera vez que los cibercriminales usan tecnologías tan avanzadas en sus creaciones y, por esta razón, ninguno de los antivirus existentes en el momento de la aparición de la nueva variante de Sinowal estaba en condiciones de curar los equipos infectados por Backdoor.Win32.Sinowal.b.

Según los datos proporcionados por los expertos de Kaspersky Lab, el bootkit se ha propagado este último mes desde una serie de sitios maliciosos que usan las vulnerabilidades del grupo Neosploit. Uno de los métodos para penetrar en el sistema es la vulnerabilidad de Adobe Acrobat Reader que permite la ejecución de un fichero PDF descargado sin que el usuario se de cuenta.

La detección y tratamiento de este bootkit, que hasta ahora se propaga por Internet, es una de las tareas más complejas de entre todas las que se han encontrado los especialistas de la industria antivirus en el transcurso de los últimos años.

Para comprobar si el equipo está infectado, los usuarios de los productos personales de Kaspersky Lab deben actualizar sus bases antivirus y hacer un análisis completo del sistema. Si se detecta el bootkit, durante el tratamiento, será necesario reiniciar el equipo.

Además, los expertos de Kaspersky Lab recomiendan a todos los usuarios instalar los parches necesarios para desactivar la vulnerabilidad de Acrobat Reader y de los navegadores usados.