Archivo mensual: mayo 2013

Troyano en Skype: también se propaga por Gtalk usando bit.ly y otros acortadores

Esta mañana reportabamos un gusano informático que se está propagando por Skypedesde el día de ayer, y ahora los actualizo con algunos de los hallazgos más importantes de la investigación hasta el momento: la amenaza también se propaga por Gtalk y está utilizandonuevos acortadores de URL como bit.ly, ow.ly y fur.ly, entre otros. Paso a resumirles y mostrarles los datos que hemos obtenido en el transcurso de la mañana. La amenaza es detectada por la firma genérica win32/Gapz.E, ya que la misma utiliza el mismo dropper (Power Loader) para ejecutar las amenazas en el sistema.

En primer lugar, en las últimas horas los usuarios infectados volvieron a enviar enlaces y esta vez dejaron de utilizar el acortador de URL de Google (goo.gl) y comenzaron a utilizar otros servicios, entre los que ya hemos identificado:

  • bit.ly
  • ow.ly
  • urlq.d
  • is.gd
  • fur.ly

Asimismo, en el análisis realizado por el Laboratorio de ESET Latinoamérica, ya pudimos confirmar que la amenaza también se propaga por Gtalk, tal como habíamos anunciado en el post anterior. En el mismo análisis pudimos observar como funciona en el equipo infectado, si el usuario se loguea en Skype, la ventana se cierra y el usuario pierde control de la misma, no pudiendo acceder a la aplicación.

Finalmente, con estos nuevos enlaces, podemos seguir confirmando que la amenaza se sigue esparciendo a velocidades poco frecuentes, obteniendo cientos de clics por segundo en sus nuevos enlaces. En la siguiente imagen se puede observar cómo tan solo uno de los enlaces de bit.ly que se estuvieron propagando obtuvo más de 10 mil clics en unas pocas horas, a un crecimiento de más de 100 clics por minuto:

También podemos confirmar que usuarios que ya se han infectado, pueden ejecutar ESET Online Scanner (en modo seguro con funciones de red) y así eliminar la amenaza de forma gratuita. Seguimos investigando para conocer más en profundidad la amenaza, y los mantendremos informados.

Fuente: ESET LABS

Sebastián Bortnik
Gerente de Educación y Servicios  (ESET)

 


Una mujer es detenida por suplantar la identidad de otra en Facebook

Una mujer resultó detenida por la Guardia Civil y puesta a disposición judicial por hacerse pasar por otra en Facebook. La detenida enviaba mensajes ofensivos a los amigos de la suplantada e incluso ofrecía servicios sexuales en su nombre. Las investigaciones comenzaron a raíz de la denuncia de la usuaria que detectó que existía un perfil idéntico al suyo en la red social y que además publicaba en su nombre.

No es la primera vez que se detectan y sancionan fraudes de suplantación de identidad en la red. Un hombre creó perfiles falsos a nombre de otra persona utilizando datos de la misma, tales como su dirección de correo electrónico, en las páginas segundamano.com yagregame.com. En este caso el infractor fue sancionado por la AEPD con 2.000 euros de multa.

La lista de casos es muy extensa hoy en día, y es que según un estudio realizado por la compañía Intel, cada minuto que pasa 20 personas son víctimas del robo de su identidad en la red, aunque también queda claro que las actividades fraudulentas de suplantación de identidad en la red están cada vez más perseguidas, investigadas, sancionadas e incluso los infractores pueden llegar a ser detenidos por las fuerzas de seguridad del Estado por incumplimiento de la Ley Orgánica de Protección de Datos.

Fuente:  LOPDGEST


Correo con falso MMS de Vodafone propaga Troyano

El uso de marcas reconocidas por parte de los ciberdelincuentes es algo que viene usándose desde hace tiempo. No obstante, no por estar más habituados a este tipo de engaño debemos bajar la guardia, ya que basta un simple despiste para pulsar donde no debemos e infectar nuestro sistema.

Durante el día de hoy hemos recibido en nuestro laboratorio varias muestras de un correo sospechoso cuyo remitente decía ser la empresa de telecomunicaciones Vodafone. En ese correo se hace alusión a un número de teléfono móvil perteneciente a un usuario de España (nótese el código regional +34 antes del número en sí) y nos informa de la posibilidad de visualizar mensajes MMS en nuestro móvil o en un fichero adjunto como el que nos mandan en ese mismo correo.

Obviamente, por mucho que el mensaje diga que procede de Vodafone, nosotros somos desconfiados por naturaleza, así que lo primero que hemos hecho ha sido analizar la cabecera completa del mensaje, donde hemos comprobado que, a pesar de camuflarse el remitente con un dominio vodafone.es y que en el identificador del mensaje también se haga mención al dominio principal vodafone.com, la dirección de retorno del mensaje apunta a una dirección de Facebook.

Proseguir con la lectura aquÍ Ontinet.com


Una vulnerabilidad de Instagram permite acceder a cualquier cuenta

http://es.noticias.yahoo.com/vulnerabilidad-instagram-permite-acceder-152146624.html?.tsrc=samsungwn&.sep=table


Cómo mejorar la seguridad de tu perfil con los contactos de confianza de Facebook

Si bien podemos pasar un buen rato compartiendo fotos o enlaces a través de Twitter o revisando las publicaciones que hacen nuestros amigos en Facebook, si no ponemos las medidas de seguridad adecuadas y, por ejemplo, no usamos contraseñas robustas y vamos usando la misma contraseña en todos los servicios en los que nos registramos, corremos el riesgo de que alguien con no muy buenas intenciones intente acceder a nuestra cuenta y robe nuestra identidad. Todos los servicios, hoy en día, tienen publicados procedimientos de actuación a los que podemos recurrir si nuestra cuenta se ha visto comprometida y, en este sentido, para facilitar algo más las cosas Facebook ha decidido desplegar una nueva funcionalidad denominada contactos de confianza.

¿Y qué son los contactos de confianza de Facebook? Esta nueva funcionalidad (que por ahora solamente funciona en la versión en inglés del servicio), nos permite configurar una lista de contactos que consideramos de confianza y a los que recurriríamos en el caso de que nuestro perfil de Facebook se viese comprometido y perdiésemos el acceso a éste así como el control del mismo.

De la misma forma que podríamos dejarle a un amigo las llaves de nuestra casa y recurrir a él en caso de perder las nuestras, con esta nueva funcionalidad podremos nombrar entre 3 y 5 contactos como “contactos de confianza” y en caso de necesitar resetear el acceso a nuestra cuenta (porque alguien nos suplante y cambie las credenciales de acceso) podremos llamar por teléfono a 3 de estos 5 amigos para que pongan en marcha el proceso de recuperación del acceso a nuestra cuenta-

¿En qué consiste este proceso? Cada uno de estos contactos recibirá, por parte de Facebook, un código que deberá pasarnos y, cuando juntemos 3 códigos, Facebook nos permitirá acceder a nuestra cuenta; es decir, necesitaremos 3 llaves para entrar y, lógicamente, estos códigos se generan de manera aleatoria.

http://bitelia.com/2013/05/contactos-de-confianza-de-facebook


Linux/Cdorked.A: nuevo backdoor Apache utilizado masivamente para propagar Blackhole

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada de un servidor web Apache que redirigía algunas de las peticiones hacia el paquete de exploitsBlackhole. Detectado por los productos de ESET como Linux/Cdorked.A, el análisis de estemalware reveló que se trata de un sofisticado backdoor (troyano de puerta trasera) que implementa técnicas de ocultamiento, y cuyo objetivo es redirigir el tráfico hacia sitios maliciosos. Considerando esto, recomendamos encarecidamente a los administradores de sistemas web comprobar que sus servidores se encuentren libres de esta amenaza. Las instrucciones para realizar este procedimiento se detallarán al final de este post.

Linux/Cdorked.A es uno de los backdoor para Apache más sofisticados que hemos observado. Pese a que aún continuamos procesando los datos, nuestro sistema de alerta temprana, ESET Live Grid, reporta cientos de servidores comprometidos, incluidos algunos en América Latina. Por otro lado, el troyano casi no deja rastros en el disco duro del sistema infectado. Lo único que queda es el binario httpd modificado, lo que dificulta cualquier análisis forense. Toda la información relacionada a este backdoor es almacenada en un área de memoria compartida. Asimismo, la configuración es enviada por el atacante a través de peticiones HTTP ofuscadas que no son registradas en el log de Apache. Esto significa que no se almacena ninguna información del Centro de Comando y Control en el sistema afectado.

Ampliar  su Análisis y la información.. Fuente: Eset