Archivos de la categoría ‘10.Malware/Virus /Spam’

Ya nos puedes seguir TWITTER y asi podras mantenerte informado y actualizado sobre todo lo que a informatica y seguridad se refiere.

Varias compañías de seguridad han alertado hoy de una gran campaña de malware que intenta embaucar a los usuarios para que abran un PDF manipulado para explotar un fallo de diseño no parcheado existente en el formato.

Si los usuarios abren el PDF de ataque resultarán infectados con una variante de un gusano Windows conocido como “Auraax” o “Emold”. El mensaje con el que los atacantes dirigen este archivo se enmascara simulando tratarse de un correo electrónico emitido desde una compañía de administradores de sistemas y se presenta con el asunto “setting for your mailbox are changed” (la configuración de su buzón de correo se ha modificado, en español), según Mary Grace Gabriel, ingeniera de investigación del grupo de seguridad de CA.

Se supone que el documento PDF proporcionará al usuario las instrucciones para recuperar las configuraciones de su correo electrónico, pero en realidad contiene un malware embebido y utiliza la función /Launch del formato para ejecutar el malware sobre PC Windows que corran las más nuevas versiones Adobe Reader, Acrobat u otros visualizadores de PDF, como Foxit Reader.

La funcionalidad /Launch no es en sí misma una vulnerabilidad de seguridad, sino que se trata de una funcionalidad de diseño de la especificación, pero hace unas semanas, el investigador Didier Stevens demostró cómo un PDF de ataque podía utilizarla para correr malware escondido en el archivo y hace unos días, investigadores de seguridad advirtieron haber descubierto una nueva botnet Zeus que aprovechaba /Launch para infectar PC.

Un portavoz de Adobe ha declinado realizar comentarios sobre los últimos ataques, pero ha dicho que la compañía está aún investigando la funcionalidad /Launch en Adobe Reader y Acrobat para identificar “todos los escenarios de uso posibles de ella con el fin de asegurar que no interrumpirá los flujos de trabajo de nuestros clientes”. El actual consejo de Adobe sigue siendo que los usuarios configuren Reader y Acrobat para frustrar tales ataques. Las instrucciones para ello se encuentran en el website de la compañía.

fuente: csospain.es


Un agujero sin parche en los documentos PDF está siendo aprovechado por la red zombi (botnet) Zeus para infectar a los usuarios con código maligno. Este ataque se produce apenas una semana después de que varios expertos ya predijeran que los hackers empezarían pronto a sacar partido del error “/Launch” en el diseño de los documentos PDF para instalar malware en los ordenadores de los usuarios.

Zeus utiliza un archivo PDF maligno que incluye un código de ataque en el documento, según explica Dan Hubbard, CTO de la empresa Websense. Cuando el usuario abre este documento, se le pide que guarde un archivo PDF denominado “Royal_Mail_Delivery_Notice.pdf”, que, sin embargo, es un ejecutable de Windows que, cuando se ejecuta, piratea el ordenador.

Zeus es la primera red zombi que saca partido del error en /Launch que, estrictamente hablando, tampoco es un problema de seguridad, sino una especificación de Adobe para la función de diseño. Sin embargo, ya se ha demostrado cómo se puede sacar partido de esta utilidad para fines malignos.

Aunque tanto Reader como Acrobat muestran una alerta cuando dentro de un documento PDF existe un archivo ejecutable, lo cierto es que muchos usuarios ignoran esta advertencia, puesto que, según el responsable de Websense, la gente confía en los PDF, más que en otro tipo de documentos, como Microsoft Word.

Websense asegura que tiene constancia de varios cientos de ataques de Zeus que utilizan el malware incluido en la función /Launch. “Los ataques se seguirán produciendo”, augura Hubbard.

Aunque esta técnica de ataque pueda ser nueva, las consecuencias son estándar. Zeus es conocida por instalar código de robo de identidades en los ordenadores de la víctima para robar, por ejemplo, credenciales bancarias y contraseñas. De nuevo, la motivación económica parece estar detrás de estos ataques.

Mientras, Adobe reconoce el error, pero no se ha comprometido, hasta la fecha, a desarrollar un parche. En lugar de eso, la compañía recomienda e insta a los usuarios a cambiar las preferencias de Reader y Acrobat para deshabilitar la función vulnerable, publicando una serie de recomendaciones para acometer estos cambios.

fuente: csospain.es


Los atentados terroristas ocurridos en la estaciones de trenes en la ciudad de Moscu, esta siendo utiliza por los hackers para infectar a los usuarios que buscan informacion sobre dicha tragedia.
Por medio de la utilizacion de tecnicas como SEO Poisoning o BlackHat SEO, ademas de los hackers, van posicionando entradas relacionadas con el evento,  con codigo malicioso; la forma de operar es la siguiente:

  • el usuario hace una busqueda sobre la tragedia (en navegador google) con las palabras claves “Moscow explosion“, y las primeras entradas que aparecen ya son objeto de cuidado. (aparece el mensaje informativo de “Este sitio puede dañar su equipo”)

  • Al pinchar en alguna de las entradas saldra el siguiente mensaje. Indicandonos que nuestro ordenador es vulnerable a un ataque de malware y que recomiendan verificar el sistema dandonos la opcion de hacer click en la ventana para realizar dicha verificacion.

  • Una vez que aceptamos verificar nuestro sistema nos aparcera un supuesto  programa antivirus el cual es falso, tambien llamado “rogue software” (o rogueware, fakeav), el cual, supuestamente, nos eliminara el malware recien instalado en nuestro ordenador; es en este momento cuando estamos verdaderamente en peligro ya que si aceptamos remover o limpiar nuestro sistema con ese supuesto programa antivirus es cuando nos exponemos a infectarnos.

  • Hay que tener en cuenta que cualquier noticia de impacto mundial (tragedias, catastrofes naturales, noticias de famosos, terrorismo, etc) son propicias para que los hackers usen sus tecnicas con el proposito de intentar infectar a la mayor cantidad de usuarios, ya sea para tomar control de esas maquinas infectadas (para luego realizar tareas fraudulentas) o para robarle informacion personal al usuario. (lista de antivirus falsos)
  • Desde Vulnerability Team aconsejamos tener un programa Antivirus conocido (ver AV conocidos), tener cuidado al momento de buscar noticias de impacto mundial en los buscadores (no hacer click en la primera noticia), evitar entrar en paginas potencialmente peligrosas o de procedencia desconocida, si utilizan el navegador firefox instalar el addon WOT para conocer que sitios son ptencilamente peligrosos.

by komz

En las últimas horas se han detectado casos de malware propagándose a través de correo electrónico y usando un archivo PDF con contenido del próximo mundial de fútbol 2010 como pretexto.

Para fraguar el engaño se tomó un archivo (no dañino) llamado SoccerTravelSouthAfrica.pdf (MD5: f19ec9acece1ace53ce3551eb45bcb7e) que originalmente fue enviado por la organización internacional Greenlife, responsable de llevar adelante safaris en África y que está colaborando en la coordinación del mundial. En base a esto se creó otro archivo dañino con un script inyectado en el mismo y que explota la vulnerabilidad de Adobe Reader CVE-2010-0188, corregida el pasado 16 de febrero.(ver) Anteriormente, hace unos días las Proof-of-Concepts disponibles en Internet dieron lugar a este exploit.

Cualquier usuario que descargue y abra este archivo, si tiene el lector de PDF instalado y sin parchear, podría resultar infectado con un malware descargado posteriormente o perder información sensible de su sistema.

Desde Vulnerability Team exortamos a los usuarios tener cuidado con todas las ofertas referentes al mundial de sudafrica de este año 2010, ya que este tipo de acontecimiento mundial es propicio para que los hackers utilicen sus tecnicas para engañar al usuario.

fuente: blogs.eset-la.com


Trend Micro asegura haber descubierto una nueva variante de ZBOT que, de momento, está actuando principalmente en los sistemas bancarios de cuatro países europeos: Italia, Inglaterra, Alemania y Francia.

ZBOT consiste en una variante de crimeware –software malicioso específicamente diseñado para realizar delitos financieros basándose en el phishing y robo de identidades- creado mediante el toolkit Zeus. El equipo infectado pasa al serlo a formar parte de la red criminal botnet Zeus.

Básicamente, Zeus es conocida por su vinculación con actividades delictivas como los negocios criminales online donde colaboran diferentes organizaciones para perpetrar robos y fraudes por Internet.

En el caso de ZBOT, se trata de un troyano que llega como un archivo descargado de una URL remota y está configurado para dirigirse a las páginas webs de entidades bancarias, desde las que después roba y envía información, generalmente datos bancarios sensibles, como son nombres de usuario y contraseñas.

Trend Micro señala que los dominios utilizados por TROJ _ZBOT.BYP están alojados en el mismo servidor, localizado en Serbia bajo un nombre registrado, y la dirección IP y nombre son conocidos ya como parte de los dominios alojados de FAKEAV (antivirus falsos) usados con anterioridad en campañas de spam de farmacias canadienses.

fuente: csospain.es


US-CERT esta pendiente de los informes públicos de códigos maliciosos que circulan a través de spam (vía correo electrónico) suplantando al Departamento de Seguridad Nacional (DHS). Los ataques llegan a través de mensajes de correo electrónico no solicitados conteniendo en el asunto del correo asuntos relacionado con el DHS o con alguna otra actividad gubernamental.

Estos mensajes pueden contener algún tipo de link o archivo adjunto. Si los usuarios hacen clic en el enlace o abren el archivo adjunto, se exponen a infectarse ya que, estos (link y adjunto) podrian estan infectados con codigo malicioso incluyendo el trojano Zeus.

Vulnerability Team recomienda a los usuarios y administradores a adoptar las siguientes medidas para protegerse:

fuente: us-cert.org