Aunque la mayor parte del malware moderno se basa en servidores distantes para sus actualizaciones de código, además de para pedir instrucciones, un analista de la empresa de seguridad Trend Micro asegura haber descubierto un malware para Android que utiliza los posts como sistemas de comando y control.
La evolución que se está viendo en el malware para Android recuerda al que ya se vio en el de Windows en los años ’90, cuando se utilizaron los canales IRC (internet Relay Chat) –una versión de mensajería instantánea, para controlar la ejecución de código ‘darkware’, aseguran en Infosecurity.
El primer malware que se ha descubierto que hace esto se conoce como ANDROIDS_ANSERVER.A, que se presenta como una aplicación de lector de libros electrónicos y se descarga desde tiendas de aplicaciones de China, pidiendo los siguientes permisos: Acceso a los ajustes de red, acceso a internet, control de las alertas, desactivar el bloqueo del teclado, hacer llamadas, leer los registros de los archivos, leer y escribir los detalles de los contactos, restaurar las aplicaciones, activar el dispositivos y escribir, leer, recibir y enviar SMS.
Los análisis realizados por los investigadores de Trend Micro han descubierto que este malware tiene dos servidores de comando y control con los que se conecta para poder recibir instrucciones. El primero es el habitual site remoto al que acceder el malware en busca de información, escribe Karl Dominguez en su post.
El segundo, que es el que ha llamado la atención del investigador, es un blog con contenido cifrado. Se trata de la primera vez que un malware de Android que utiliza este tipo de técnica para comunicarse.
Un análisis más profundo del contenido del blog muestra seis post cifrados que incluyen direcciones de Internet de servidores de comando y control, además de 18 binarios que han sido subidos al blog entre 23 de julio y el 26 de septiembre; una de las actualizaciones se llama ‘_test’, lo que sugiere que el malware aún está en desarrollo.
Al descifrar el post y analizar los binarios, Dominguez dice haber encontrado que los archivos son versiones diferentes de uno y que estudiando todas ha descubierto que las versiones más nuevas tienen la capacidad de mostrar notificaciones que intentan llevar a los usuarios a que descarguen la actualización.
En su post Dominguez asegura que utilizar una plataforma de blog en las actividades de malware no es nueva, es algo que se vio a primeros de año cuando se descubrió a una botnet utilizando Twitter para controlar los sistemas infectados. Sí que es un signo, dice el investigador “del continuado desarrollo y proliferación” del malware móvil.
Mostrando entradas con la etiqueta malware. Mostrar todas las entradas
Mostrando entradas con la etiqueta malware. Mostrar todas las entradas
2011/10/10
Chaos Computer detecta un virus espía de la policía alemana
Chaos Computer Club (CCC), una organización alemana de hackers, ha descubierto que la policía alemana utiliza un virus troyano para espiar ordenadores cuyas capacidades van más allá de lo permitido por las leyes domésticas. Este programa, Quellen-TKÜ, alberga un "troyano federal" que no únicamente puede espiar las comunicaciones telefónicas por Internet. También da el control remoto del ordenador y permite ejecutar programas. En su opinión, ello vulnera las leyes del país. El troyano permite, por ejemplo, activar el micrófono o la webcam del ordenador y emplearlos para la vigilancia de lo que sucede en el lugar donde se halla la máquina. Este tipo de infiltración clandestina iría más lejos de lo autorizado, la interceptación de comunicaciones.
El control remoto del ordenador permitiría, por ejemplo, cargar archivos que falsificaran evidencias o borrar otros para alterar los resultados de una investigación. Según ha probado CCC, se pueden crear herramientas para captar pantallas del navegador, textos en servicios en la nube de Internet o correos.
Uno de los aspectos que más ha llamado la atención a CCC es la falta de seguridad de la herramienta con un cifrado muy elemental y la existencia de comandos sin cifrado lo que posibilitaría que un tercero se hiciera con el control de la misma.
Para evitar la localización del comando de control y su servidor, los datos recogidos son dirigidos a un servidor dedicado al almacenamiento de datos en Estados Unidos lo que violaría el principio de la soberanía nacional.
CCC exige que se paralice este sistema de infiltración en los ordenadores por parte de las agencias gubernamentales y convoca a los hackers a proseguir el análisis de este programa malicioso. CCC publica el código y trabaja en un programa de control de este troyano federal.
El control remoto del ordenador permitiría, por ejemplo, cargar archivos que falsificaran evidencias o borrar otros para alterar los resultados de una investigación. Según ha probado CCC, se pueden crear herramientas para captar pantallas del navegador, textos en servicios en la nube de Internet o correos.
Uno de los aspectos que más ha llamado la atención a CCC es la falta de seguridad de la herramienta con un cifrado muy elemental y la existencia de comandos sin cifrado lo que posibilitaría que un tercero se hiciera con el control de la misma.
Para evitar la localización del comando de control y su servidor, los datos recogidos son dirigidos a un servidor dedicado al almacenamiento de datos en Estados Unidos lo que violaría el principio de la soberanía nacional.
CCC exige que se paralice este sistema de infiltración en los ordenadores por parte de las agencias gubernamentales y convoca a los hackers a proseguir el análisis de este programa malicioso. CCC publica el código y trabaja en un programa de control de este troyano federal.
2011/10/07
Android concentra el 85% del malware de los teléfonos móvile
Android no sólo es el sistema operativo móvil con mayor cuota de mercado en algunos territorios, sino también el más frecuentado por los ciberdelincuentes. En agosto, el 85% de las amenazas detectadas en los teléfonos móviles se generaron en el marco de esta plataforma, según se desprende de un informe de la compañía de seguridad Kaspersky.
Durante este período una de las amenazas más recurrentes ha sido la difundida a través de los códigos QR.
Los hackers están utilizando estos códigos de barras bidimensionales, que permiten el acceso a información textual o multimedia mediante un escaneo, para difundir malware. Lo hacen redirigiendo a URLs que contienen archivos maliciosos. Sin duda, la expansión y creciente popularidad de esta tecnología en tarjetas de visita, carteles, revistas o banners ha atraído a los cibercriminales.
“Una gran cantidad de programas maliciosos especialmente troyanos SMS, se propagan a través de sitios web piratas cuyas aplicaciones son, en su totalidad, malware. Y los ciberdelincuentes han comenzado a usar códigos QR maliciosos para favorecer la “comodidad” de los usuarios”, explican desde Kaspersky.
La firma de seguridad advierte de aquellos archivos que tengan un formato parecido a éste: http://xxxx.ru/jimm.apk y augura que en el futuro otros programas maliciosos podrían distribuirse mediante estos códigos.
Durante este período una de las amenazas más recurrentes ha sido la difundida a través de los códigos QR.
Los hackers están utilizando estos códigos de barras bidimensionales, que permiten el acceso a información textual o multimedia mediante un escaneo, para difundir malware. Lo hacen redirigiendo a URLs que contienen archivos maliciosos. Sin duda, la expansión y creciente popularidad de esta tecnología en tarjetas de visita, carteles, revistas o banners ha atraído a los cibercriminales.
“Una gran cantidad de programas maliciosos especialmente troyanos SMS, se propagan a través de sitios web piratas cuyas aplicaciones son, en su totalidad, malware. Y los ciberdelincuentes han comenzado a usar códigos QR maliciosos para favorecer la “comodidad” de los usuarios”, explican desde Kaspersky.
La firma de seguridad advierte de aquellos archivos que tengan un formato parecido a éste: http://xxxx.ru/jimm.apk y augura que en el futuro otros programas maliciosos podrían distribuirse mediante estos códigos.
2011/08/05
Un millón de usuarios Android afectados por malware en 2011
Los usuarios de Android son 2,5 veces más propensos a sufrir malware en la actualidad de lo que lo eran hace 6 meses, según el nuevo informe de Lookout Mobile Security.
En lo que llevamos de año, entre 500.000 y un millón de personas que utilizan el sistema operativo de Google se han visto afectadas por algún tipo de amenaza. En otras palabras, las aplicaciones infectadas con malware en el Android Market han pasado de ser 80 en enero a 400 en junio.
Y es que mientras el control en los mercados virtuales de otras compañías como Apple es más férreo, Google permite a cualquier desarrollador publicar su aplicación directamente. Eso sí, proporciona información sobre los permisos que la app requerirá para ser instalada.
Por otra parte, los propietarios de teléfonos móviles o tablets PC Android son más propensos a pinchar en enlaces maliciosos en la web. Algo que al parecer hacen tres de cada diez personas que utilizan este sistema operativo.
Este ratio se debe a que los usuarios de dispositivos móviles “leen mensajes de correo electrónico, de Facebook, de texto y tweets como lo harían en sus PCs”, explica Lookout.
Mientras algunos ataques, como los de phishing, no discriminan en base a la plataforma a la que se dirigen, otros son personalizados. Y los ciberdelincuentes están “desplegando técnicas cada vez más sofisticadas para tomar control del teléfono, los datos personales y el dinero” de los usuarios. Es el caso de DroidDream y GGTracker, dos de las amenazas más recurrentes en dispositivos Android durante 2011.
Recientemente también se ha descubierto un troyano capaz de grabar conversaciones telefónicas, que se camufla detrás de una aplicación o juego con apariencia legítima.
En lo que llevamos de año, entre 500.000 y un millón de personas que utilizan el sistema operativo de Google se han visto afectadas por algún tipo de amenaza. En otras palabras, las aplicaciones infectadas con malware en el Android Market han pasado de ser 80 en enero a 400 en junio.
Y es que mientras el control en los mercados virtuales de otras compañías como Apple es más férreo, Google permite a cualquier desarrollador publicar su aplicación directamente. Eso sí, proporciona información sobre los permisos que la app requerirá para ser instalada.
Por otra parte, los propietarios de teléfonos móviles o tablets PC Android son más propensos a pinchar en enlaces maliciosos en la web. Algo que al parecer hacen tres de cada diez personas que utilizan este sistema operativo.
Este ratio se debe a que los usuarios de dispositivos móviles “leen mensajes de correo electrónico, de Facebook, de texto y tweets como lo harían en sus PCs”, explica Lookout.
Mientras algunos ataques, como los de phishing, no discriminan en base a la plataforma a la que se dirigen, otros son personalizados. Y los ciberdelincuentes están “desplegando técnicas cada vez más sofisticadas para tomar control del teléfono, los datos personales y el dinero” de los usuarios. Es el caso de DroidDream y GGTracker, dos de las amenazas más recurrentes en dispositivos Android durante 2011.
Recientemente también se ha descubierto un troyano capaz de grabar conversaciones telefónicas, que se camufla detrás de una aplicación o juego con apariencia legítima.
2011/07/15
El malware se cuela en las aplicaciones legítimas para Android
Expertos en seguridad han alertado de la existencia de una nueva amenaza para dispositivos Android que se distribuye a través de enlaces publicitarios que envían los propios usuarios de dos sites de vídeo en streaming.
Estos sitios son legítimos y están disponibles en el Android Market, aunque la firma de seguridad que ha dado la voz de alarma no ha especificado de que servicios se trata.
El nuevo malware se conoce como Android.Trojan.KuSaseSMS y se está expandiendo a través de SMS y de correos electrónicos enviados entre los propios usuarios de Android para dar a conocer entre sus contactos estos sites de vídeo en streaming.
Cuando los propietarios de dispositivos Android deciden mandar el SMS o el email de promoción, se enviará un mensaje con un texto predefinido y un enlace que supuestamente redirige al sitio de vídeos que se quiere promocionar.
Pero en realidad no es así, ya que este link lleva a la aplicación maliciosa Android.Trojan.KuSaseSMS que instala en los teléfonos un malware que se dedica a enviar SMS de servicios de pago al igual que hacía HippoSMS.
Con esta estrategia los ciberdelincuentes logran aumentar sus posibilidades de extender el malware ya que es más probable que los usuarios desconfíen o simplemente no quieran abrir un enlace promocional que llega desde un destinatario no conocido o desde la propia aplicación, pero cuando es uno de sus amigos quien le envía este SMS o email promocional las probabilidades de que caigan en la trampa aumentan.
“Estamos ante una técnica muy ingeniosa de propagar malware que veremos de nuevo en el futuro”, asegura Catalin Cosoi, responsable de amenazas online de BitDefender.
the INQUIRER
Estos sitios son legítimos y están disponibles en el Android Market, aunque la firma de seguridad que ha dado la voz de alarma no ha especificado de que servicios se trata.
El nuevo malware se conoce como Android.Trojan.KuSaseSMS y se está expandiendo a través de SMS y de correos electrónicos enviados entre los propios usuarios de Android para dar a conocer entre sus contactos estos sites de vídeo en streaming.
Cuando los propietarios de dispositivos Android deciden mandar el SMS o el email de promoción, se enviará un mensaje con un texto predefinido y un enlace que supuestamente redirige al sitio de vídeos que se quiere promocionar.
Pero en realidad no es así, ya que este link lleva a la aplicación maliciosa Android.Trojan.KuSaseSMS que instala en los teléfonos un malware que se dedica a enviar SMS de servicios de pago al igual que hacía HippoSMS.
Con esta estrategia los ciberdelincuentes logran aumentar sus posibilidades de extender el malware ya que es más probable que los usuarios desconfíen o simplemente no quieran abrir un enlace promocional que llega desde un destinatario no conocido o desde la propia aplicación, pero cuando es uno de sus amigos quien le envía este SMS o email promocional las probabilidades de que caigan en la trampa aumentan.
“Estamos ante una técnica muy ingeniosa de propagar malware que veremos de nuevo en el futuro”, asegura Catalin Cosoi, responsable de amenazas online de BitDefender.
the INQUIRER
2011/07/13
Diez virus informáticos que darán guerra este verano
Los virus informáticos no se van de vacaciones. Troyanos y gusanos de diferentes tipos y pelajes acampan a sus anchas durante los meses de verano, poniendo en riesgo la salubridad de nuestros ordenadores. La compañía G Data ha elaborado un listado con las diez amenazas más peligrosas que operan estos días en la Red. Cuatro de ellas con viejas conocidas aún no exterminadas.
Este es el ranking competo:
1. Trojan.Wimad.Gen.1: Este troyano pretender hacerse pasar por un tradicional archivo de audio .wma aunque sólo se puede reproducir después de instalar un códec/decoder especial. Si se ejecuta el archivo, el atacante podrá instalar malware de cualquier tipo en el ordenador de la víctima. El archivo infectado se distribuye principalmente vía P2P.
2. Worm.Autorun.VHG: este gusano usa la función 'autorun' de Windows para expandirse. Llega a través de dispositivos de almacenamiento como lápices USB y discos duros portátiles y aprovecha la vulnerabilidad CVE-2008-4250.
3. Gen:Variant.Adware.Hotbar.1: Un adware que se instala de forma totalmente desapercibida para el usuario como parte de paquetes gratuitos de programas multimedia del estilo VLC o XviD, que son descargados desde fuentes no oficiales y ajenas a sus fabricantes. Todos los paquetes están firmados digitalmente como "Pinball Corporation" y el adware se ejecuta cada vez que se inicia Windows, integrándose como un icono de sistema.
4. Trojan.AutorunINF.Gen: Este malware está diseñado para distribuirse a través de dispositivos externos. Los archivos Autorun.inf se utilizan como mecanismos para la difusión de malware a través de memorias USB, dispositivos de almacenamiento extraíbles o, reproductores de CD o DVD.
5. Java.Trojan.Exploit.Bytverify.Q: Un exploit que aprovecha la vulnerabilidad de Java Runtime Environment para ejecutar código malicioso. El peligro acecha en los applets de Java que se integran en las páginas web.
6. Java.Trojan.Downloader.OpenConnection.AI: Como el primero de esta lista, este troyano downloader llega en applets de Java embebidos en determinados websites y muestra el mismo funcionamiento.
7. Java.Trojan.Downloader.OpenConnection.AN: Otra variación del mencionado Java.Trojan.Downloader.OpenConnection, que ocupa la primera y quinta posición de este top diez.
8. Java.Trojan.Downloader.OpenConnection.AO: Este troyano con funciones de downloader aparece en applets manipulados de Java y embebidos en una página web. Cuando el applet es descargado, se genera una URL que el troyano utiliza para descargar y ejecutar un archivo malicioso. El programa es capaz de escribir datos en el sistema de la víctima.
9. Java:Agent-DU [Expl]: Otra amenaza dirigida a Java que de nuevo descarga un applet que utiliza un agujero de seguridad para evitar su mecanismo de protección y descargar código malicioso en el equipo.
10. Adware.Hotbar.GG: Pertenece a la categoría de los programas que instalan software no deseado. Se trata de un BHO ('Browser Helper Object'), una especie de plugin que, en principio, mejora o completa las funcionalidades del navegador pero que en este caso esconde fines publicitarios. Está firmado digitalmente por "Pinball Corporation" o, en algunos casos, por "Smartshopper Technologies". La aplicación ofrece comparaciones de precios, productos y servicios ofrecidos por los partners de las empresas firmantes.
20minutos
Este es el ranking competo:
1. Trojan.Wimad.Gen.1: Este troyano pretender hacerse pasar por un tradicional archivo de audio .wma aunque sólo se puede reproducir después de instalar un códec/decoder especial. Si se ejecuta el archivo, el atacante podrá instalar malware de cualquier tipo en el ordenador de la víctima. El archivo infectado se distribuye principalmente vía P2P.
2. Worm.Autorun.VHG: este gusano usa la función 'autorun' de Windows para expandirse. Llega a través de dispositivos de almacenamiento como lápices USB y discos duros portátiles y aprovecha la vulnerabilidad CVE-2008-4250.
3. Gen:Variant.Adware.Hotbar.1: Un adware que se instala de forma totalmente desapercibida para el usuario como parte de paquetes gratuitos de programas multimedia del estilo VLC o XviD, que son descargados desde fuentes no oficiales y ajenas a sus fabricantes. Todos los paquetes están firmados digitalmente como "Pinball Corporation" y el adware se ejecuta cada vez que se inicia Windows, integrándose como un icono de sistema.
4. Trojan.AutorunINF.Gen: Este malware está diseñado para distribuirse a través de dispositivos externos. Los archivos Autorun.inf se utilizan como mecanismos para la difusión de malware a través de memorias USB, dispositivos de almacenamiento extraíbles o, reproductores de CD o DVD.
5. Java.Trojan.Exploit.Bytverify.Q: Un exploit que aprovecha la vulnerabilidad de Java Runtime Environment para ejecutar código malicioso. El peligro acecha en los applets de Java que se integran en las páginas web.
6. Java.Trojan.Downloader.OpenConnection.AI: Como el primero de esta lista, este troyano downloader llega en applets de Java embebidos en determinados websites y muestra el mismo funcionamiento.
7. Java.Trojan.Downloader.OpenConnection.AN: Otra variación del mencionado Java.Trojan.Downloader.OpenConnection, que ocupa la primera y quinta posición de este top diez.
8. Java.Trojan.Downloader.OpenConnection.AO: Este troyano con funciones de downloader aparece en applets manipulados de Java y embebidos en una página web. Cuando el applet es descargado, se genera una URL que el troyano utiliza para descargar y ejecutar un archivo malicioso. El programa es capaz de escribir datos en el sistema de la víctima.
9. Java:Agent-DU [Expl]: Otra amenaza dirigida a Java que de nuevo descarga un applet que utiliza un agujero de seguridad para evitar su mecanismo de protección y descargar código malicioso en el equipo.
10. Adware.Hotbar.GG: Pertenece a la categoría de los programas que instalan software no deseado. Se trata de un BHO ('Browser Helper Object'), una especie de plugin que, en principio, mejora o completa las funcionalidades del navegador pero que en este caso esconde fines publicitarios. Está firmado digitalmente por "Pinball Corporation" o, en algunos casos, por "Smartshopper Technologies". La aplicación ofrece comparaciones de precios, productos y servicios ofrecidos por los partners de las empresas firmantes.
20minutos
2011/06/08
Descubren malware para el robo de datos bancarios en la nube de Amazon
Un experto en seguridad de Kaspersky Lab ha descubierto que los servicios cloud de Amazon están siendo utilizados por cibercriminales para propagar malware con el objetivo de robar datos financieros. En concreto una instancia en Amazon Web Services contiene “un montón de diferentes” códigos maliciosos, que habrían sido descargados ya en algunos ordenadores, según explica en el blog Securelist el investigador en cuestión, Dmitry Bestúzhev.
Algunos de esos programas actúan como un rootkit, buscando y bloqueando la ejecución de al menos cuatro antivirus: AVG, Avira AntiVir, ESET y el Alwil Software de Avast. También es capaz de detectar una aplicación de seguridad especial llamada GBPluggin, que utilizan las instituciones financieras brasileñas para proteger transacciones bancarias online.
A mayores, los atacantes se han asegurado de que las muestras de malware estuviesen protegidas por el software antipiratería The Enigma Protector. De este modo, especula Bestúzhe, complican el proceso de ingeniería inversa del software malicioso.
El malware detectado es capaz de robar información financiera de nueve bancos brasileños y dos bancos internacionales. También se hace con información de la CPU, el número de volumen del disco duro y el nombre del equipo, datos que coinciden con los recogidos por algunos bancos de América Latina durante el proceso de acceso a las cuentas online para autenticar a sus clientes.
Eso no es todo, ya que está preparado para robar credenciales de Microsoft Live Messenger y certificados digitales utilizados por eTokens en el ordenador afectado. La información es luego enviada por correo electrónico a la cuenta del atacante en Gmail o utilizando un script PHP especial con el que insertar los datos en una base de datos remota.
Kaspersky notificó a Amazon la existencia de los enlaces maliciosos el fin de semana pasado, pero un portavoz de la compañía ha confirmado que todavía están activos.
eWeek
Algunos de esos programas actúan como un rootkit, buscando y bloqueando la ejecución de al menos cuatro antivirus: AVG, Avira AntiVir, ESET y el Alwil Software de Avast. También es capaz de detectar una aplicación de seguridad especial llamada GBPluggin, que utilizan las instituciones financieras brasileñas para proteger transacciones bancarias online.
A mayores, los atacantes se han asegurado de que las muestras de malware estuviesen protegidas por el software antipiratería The Enigma Protector. De este modo, especula Bestúzhe, complican el proceso de ingeniería inversa del software malicioso.
El malware detectado es capaz de robar información financiera de nueve bancos brasileños y dos bancos internacionales. También se hace con información de la CPU, el número de volumen del disco duro y el nombre del equipo, datos que coinciden con los recogidos por algunos bancos de América Latina durante el proceso de acceso a las cuentas online para autenticar a sus clientes.
Eso no es todo, ya que está preparado para robar credenciales de Microsoft Live Messenger y certificados digitales utilizados por eTokens en el ordenador afectado. La información es luego enviada por correo electrónico a la cuenta del atacante en Gmail o utilizando un script PHP especial con el que insertar los datos en una base de datos remota.
Kaspersky notificó a Amazon la existencia de los enlaces maliciosos el fin de semana pasado, pero un portavoz de la compañía ha confirmado que todavía están activos.
eWeek
2011/05/16
El 'software' malicioso para Android crece un 400%
El aumento de los ataques informáticos en los últimos meses es una realidad que demuestran casos como los de Sony, Facebook o Eidos. En esta vorágine de ciberataques, un estudio de la multinacional Juniper Networks asegura que Android es el objetivo móvil favorito del 'malware'. El sistema operativo móvil de Google ha experimentado un aumento del 400% de la existencia de código malicioso.
Los smartphones de última generación son prácticamente ordenadores de mano. Los piratas informáticos están demostrando un interés muy elevado en estos dispositivos y los ataques a móviles se han incrementado. Los usuarios guardan datos personales en los dispositivos y por norma general no cuentan con sistemas de antivirus como sí lo hacen en otros equipos.
Los hackers se han dado cuenta de estos hechos y han fijado en los sistemas móviles uno de sus objetivos preferidos. Según los datos publicados por el portal Mobile Crunch, los ataques informáticos a Android se han incrementado en un 400%. El estudio asegura que un alto porcentaje de los ataque se está produciendo a través de conexiones Wi-Fi. Los usuarios se conectan a redes no protegidas que permiten la distribución de malware en sus equipos.
Los piratas informáticos también están utilizando métodos más tradicionales para infectar dispositivos. El 17% de los casos en los que se han detectado propagaciones de malware han tenido como origen el envío de SMS. Los usuarios deben extremar las precauciones para mantener protegidos sus sistemas. La utilización de antivirus y el control de conexiones y mensajes son fundamentales para evitar problemas relacionados con la propagación de virus y malware.
20minutos
Los smartphones de última generación son prácticamente ordenadores de mano. Los piratas informáticos están demostrando un interés muy elevado en estos dispositivos y los ataques a móviles se han incrementado. Los usuarios guardan datos personales en los dispositivos y por norma general no cuentan con sistemas de antivirus como sí lo hacen en otros equipos.
Los hackers se han dado cuenta de estos hechos y han fijado en los sistemas móviles uno de sus objetivos preferidos. Según los datos publicados por el portal Mobile Crunch, los ataques informáticos a Android se han incrementado en un 400%. El estudio asegura que un alto porcentaje de los ataque se está produciendo a través de conexiones Wi-Fi. Los usuarios se conectan a redes no protegidas que permiten la distribución de malware en sus equipos.
Los piratas informáticos también están utilizando métodos más tradicionales para infectar dispositivos. El 17% de los casos en los que se han detectado propagaciones de malware han tenido como origen el envío de SMS. Los usuarios deben extremar las precauciones para mantener protegidos sus sistemas. La utilización de antivirus y el control de conexiones y mensajes son fundamentales para evitar problemas relacionados con la propagación de virus y malware.
20minutos
2011/05/04
Los programas maliciosos para móviles aumentaron un 65% en 2010
Los programas maliciosos diseñados para teléfonos y dispositivos móviles aumentaron un 65% en 2010 respecto a los detectados el año anterior, y duplicaron el número de amenazas de este tipo registradas tan sólo 17 meses antes. En total, se detectaron 153 familias de software peligroso y 1.063 modificaciones, según ha informado Kaspersky Lab.
La compañía de seguridad destaca que la mayoría de los programas maliciosos detectados durante el último año estaban, de una forma u otra, destinados a robar dinero a los usuarios.
Tal y como se desprende del Informe de Virología Móvil de Kaspersky Lab, el año pasado se detectó el primer troyano capaz de realizar llamadas a números de pago en el extranjero y un gusano para iPhone que remitía a una web falsa.
Esto supone que, a pesar de que en el mundo del 'malware' móvil siguen predominando los programas que envían mensajes de texto a números 'premium', desde 2010 el envío de SMS de pago ha dejado de ser el único método que los ciberdelincuentes usan para lucrarse.
Kaspersky Lab. hace un desglose de las posibles amenazas móviles a las que se pueden ver sometidos los usuarios en los próximos años. En primer lugar se pueden encontrar lo llamados "Troyanos SMS". Según Kaspersky, la legislación de algunos países "sigue teniendo muchas lagunas" y los delincuentes tienen la posibilidad de usar los números cortos sin que quede registro ni constancia de ello.
Por otro lado, crece la cantidad de amenazas para Android. Esta plataforma está adquiriendo cada vez más popularidad, lo que se refleja también en el número de ataques.
La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles aumentará, y también es posible que lo hagan los ataques que intentarán aprovecharlas, apunta Kaspersky.
También se prevé un mayor protagonismo del software espía, que se puede usar "para monitorizar actividades de otros usuarios, para hacer espionaje industrial y para recibir información secreta" por ejemplo, correspondencia y mensajería electrónica, según Kaspersky.
La Vanguardia
La compañía de seguridad destaca que la mayoría de los programas maliciosos detectados durante el último año estaban, de una forma u otra, destinados a robar dinero a los usuarios.
Tal y como se desprende del Informe de Virología Móvil de Kaspersky Lab, el año pasado se detectó el primer troyano capaz de realizar llamadas a números de pago en el extranjero y un gusano para iPhone que remitía a una web falsa.
Esto supone que, a pesar de que en el mundo del 'malware' móvil siguen predominando los programas que envían mensajes de texto a números 'premium', desde 2010 el envío de SMS de pago ha dejado de ser el único método que los ciberdelincuentes usan para lucrarse.
Kaspersky Lab. hace un desglose de las posibles amenazas móviles a las que se pueden ver sometidos los usuarios en los próximos años. En primer lugar se pueden encontrar lo llamados "Troyanos SMS". Según Kaspersky, la legislación de algunos países "sigue teniendo muchas lagunas" y los delincuentes tienen la posibilidad de usar los números cortos sin que quede registro ni constancia de ello.
Por otro lado, crece la cantidad de amenazas para Android. Esta plataforma está adquiriendo cada vez más popularidad, lo que se refleja también en el número de ataques.
La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles aumentará, y también es posible que lo hagan los ataques que intentarán aprovecharlas, apunta Kaspersky.
También se prevé un mayor protagonismo del software espía, que se puede usar "para monitorizar actividades de otros usuarios, para hacer espionaje industrial y para recibir información secreta" por ejemplo, correspondencia y mensajería electrónica, según Kaspersky.
La Vanguardia
2011/04/06
Así funciona el robo de datos en internet
Cientos de miles de webs fueron víctimas la semana pasada de un ataque conocido como Lizamoon, que aprovechaba fallos de seguridad en páginas legítimas para insertarles un enlace que llevaba al usuario a una web maliciosa, según alertó la compañía de seguridad Websense. La introducción de ese código, conocido como inyección SQL, se dio a conocer rápidamente por el volumen de páginas infectadas (llegando a los tres millones de sitios), pese a que su efectividad según los expertos ha sido muy reducida. El equipo de investigación de la compañía de seguridad Kaspersky Lab ha realizado un informe en el que analiza cuál es la infraestructura que utilizan los ciberdelincuentes para poner en marcha un negocio de robo de datos. La empresa ha analizado un caso típico de infraestructura empresarial. Todas las compañías de seguridad coinciden desde hace años en que la ciberdelincuencia ya no consiste en un grupo de jóvenes expertos en informática que actúan a título personal desde su ordenador.
Para Inteco, el organismo estatal que coordina las iniciativas públicas de seguridad informática, aunque hay jóvenes que se acercan a este tipo de delitos de forma ocasional, el ciberdelincuente es un varón especializado en crear amenazas. "Si algo diferencia al malware de hoy en día del de hace unos años es su ánimo de lucro. La inmensa mayoría del software malicioso se hace por y para ganar dinero a través del robo, la extorsión, el engaño o la estafa", explican en el informe Malware y robo de datos.
La configuración analizada por Kaspersky requiere de unos 2.500 euros al año destinados al alquiler de servidores. En este precio ya están incluidos servicios que no ofrecería un proveedor convencional. Suelen estar situados en países como Ucrania, Turquía o Hong Kong, aunque no siempre se cumple este estereotipo. Lo que sí es un denominador común es que cuesta mucho cerrarlos. "Se anuncian en foros especializados como a prueba de balas, y todos los familiarizados con este tipo de delitos ya saben a qué se refieren", explica el analista de malware de Kaspersky Lab Vicente Díaz.
El funcionamiento ante un posible cierre sigue siempre los mismos parámetros: el proveedor no responde a la solicitud policial hasta que no existe una orden judicial, que a la vez lleva su tiempo porque primero hay que ver si existe un tratado legal con ese país. Ello implica enfrentarse a una burocracia y destinar una serie de recursos que no siempre están disponibles. En España, el desmantelamiento de la red Mariposa el año pasado, que contaba con más de 12 millones de ordenadores zombis, necesitó de nueve meses de trabajo y la colaboración de empresas y fuerzas de seguridad de distintos países. La utilización de servicios VPN, que ocultan la dirección IP y la ubicación física de quien realiza una acción, fue una dificultad añadida.
ZeuS es un troyano que fue identificado por primera vez en 2007 y que hoy continúa activo. El código de este programa se comercializa en internet para que otros delincuentes lo utilicen para realizar sus propias ataques. "Parte del éxito de ZeuS se debe a que es muy modificable. Lo que su propietario comercializa es un kit constructor", añade el analista. La licencia de ZeuS incluye copyright en sus términos de uso. Para evitar que otros ciberdelincuentes hagan uso del programa sin abonar la licencia, sus creadores alertan en ellos de que las compañías de seguridad recibirán una copia del código si se rompen las reglas.
Díaz explica que el problema es que no todo el mundo tiene su ordenador perfectamente actualizado, y que los ciberdelincuentes son conscientes de ello. "A partir de la entrada en una web maliciosa, estos programas detectan de forma automática si el sistema operativo, el navegador o alguna otra herramienta tienen agujeros de seguridad". Si el programa descubre esos fallos, instalará la versión del software malicioso que se ha programado con anterioridad. El robo de datos bancarios, contraseñas y certificados, así como el envío de spam son las consecuencias más probables de la infección. La red Mariposa tenía datos de 800.000 personas en 190 países.
El ataque Lizamoon solicitaba la intervención del usuario. Cuando este visitaba la web legítima pero infectada era redirigido a otra en la que se le animaba a descargar un antivirus llamado Windows Stability Center que, pese a su nombre, no tenía nada que ver con Microsoft. El programa avisaba al usuario de que su equipo no estaba actualizado y que se enfrentaba a problemas de seguridad para convencerle de que instalase el falso antivirus. Una vez hecho esto, el usuario ya tenía instalado el programa malicioso en su equipo.
En un entorno profesional como el mencionado anteriormente, los expertos destacan dos fórmulas: alquilar una red de ordenadores zombis o alquilar tráfico. En el primer caso, se trata de que otro delincuente que ya ha logrado introducir su código en los equipos de los usuarios permita utilizarlos para instalar el nuevo programa malicioso. Díaz ofrece un estimado de unos 2.000 euros de coste, en función del tamaño de la red. Para el alquiler de tráfico es necesario que un grupo de webs cómplices redirija visitas a la página infectada, o bien que se infecten webs legítimas para que redirijan de forma automática a la maliciosa. Ante este tipo de técnicas, el usuario no verá nada extraño, ya que la redirección se produce de forma automática, sin saltos aparentes.
Las técnicas utilizadas por los ciberdelincuentes han cambiado en la medida en la que mejoran las técnicas de detección y surgen nuevos fenómenos en internet. En este punto han aparecido las redes sociales como fuente de infección que, en el fondo, reproducen a grandes rasgos el esquema ya empleado con el correo electrónico. Para Díaz, "con las redes sociales en este momento se está en un punto similar al que se vivió hace unos años con el correo electrónico, antes de que la gente se concienciase de que podía ser una fuente de software malicioso".
La unidad contra el crimen de Microsoft colaboró con las autoridades de EEUU para realizar el cierre. La compañía calcula que este ‘bot' había infectado a más de un millón de máquinas de usuarios. Estas enviaban 30.000 millones de correos basura al día. Una máquina infectada por Rustock podía enviar 7.500 mensajes de spam en 45 minutos, según Microsoft.
Para realizar el cierre se cortó la conexión de los servidores de Rustock. Este tipo de cierres sólo puede llevarse a cabo con la colaboración de empresas de seguridad, grupos policiales, registradores de dominios y proveedores de servicios de internet.
El éxito no siempre está asegurado, ya que los expertos alertan de que los ciberdelincuentes suelen tener una infraestructura secundaria para reanudar sus actividades.
La cifra global de spam se redujo un 12% cuando las autoridades holandesas cerraron los servidores del ‘bot' Bredolab en noviembre.
Publico
Para Inteco, el organismo estatal que coordina las iniciativas públicas de seguridad informática, aunque hay jóvenes que se acercan a este tipo de delitos de forma ocasional, el ciberdelincuente es un varón especializado en crear amenazas. "Si algo diferencia al malware de hoy en día del de hace unos años es su ánimo de lucro. La inmensa mayoría del software malicioso se hace por y para ganar dinero a través del robo, la extorsión, el engaño o la estafa", explican en el informe Malware y robo de datos.
La configuración analizada por Kaspersky requiere de unos 2.500 euros al año destinados al alquiler de servidores. En este precio ya están incluidos servicios que no ofrecería un proveedor convencional. Suelen estar situados en países como Ucrania, Turquía o Hong Kong, aunque no siempre se cumple este estereotipo. Lo que sí es un denominador común es que cuesta mucho cerrarlos. "Se anuncian en foros especializados como a prueba de balas, y todos los familiarizados con este tipo de delitos ya saben a qué se refieren", explica el analista de malware de Kaspersky Lab Vicente Díaz.
El funcionamiento ante un posible cierre sigue siempre los mismos parámetros: el proveedor no responde a la solicitud policial hasta que no existe una orden judicial, que a la vez lleva su tiempo porque primero hay que ver si existe un tratado legal con ese país. Ello implica enfrentarse a una burocracia y destinar una serie de recursos que no siempre están disponibles. En España, el desmantelamiento de la red Mariposa el año pasado, que contaba con más de 12 millones de ordenadores zombis, necesitó de nueve meses de trabajo y la colaboración de empresas y fuerzas de seguridad de distintos países. La utilización de servicios VPN, que ocultan la dirección IP y la ubicación física de quien realiza una acción, fue una dificultad añadida.
Construcción del programa
Para conseguir los ordenadores zombis que van a permitir organizar la red es necesario un conjunto de programas maliciosos que se encarguen de reclutarlos. Se les conoce como kit constructor. Aunque el software malicioso puede estar hecho a la medida, lo más común, según Kaspersky, es comprar la estructura básica. En este caso, el precio es de unos 550 euros. "Uno de los componentes del kit constructor sirve para crear el código binario que permite introducir ciertas modificaciones en el programa, como la entidad bancaria a la que se pretende atacar. Otro se instala en el servidor y sirve para estructurar los datos robados", resume Díaz.ZeuS es un troyano que fue identificado por primera vez en 2007 y que hoy continúa activo. El código de este programa se comercializa en internet para que otros delincuentes lo utilicen para realizar sus propias ataques. "Parte del éxito de ZeuS se debe a que es muy modificable. Lo que su propietario comercializa es un kit constructor", añade el analista. La licencia de ZeuS incluye copyright en sus términos de uso. Para evitar que otros ciberdelincuentes hagan uso del programa sin abonar la licencia, sus creadores alertan en ellos de que las compañías de seguridad recibirán una copia del código si se rompen las reglas.
Aprovechar los fallos de otros
Una vez construida la infraestructura básica, consistente en un servidor y el kit para construir el programa malicioso, el siguiente paso es conseguir víctimas. Para que el programa sea capaz de aprovechar las vulnerabilidades del ordenador del usuario, también será necesario un kit de explotación, que se puede adquirir por unos 1.200 euros. Estos pequeños programas (llamados exploits) localizan y aprovechan las vulnerabilidades que el usuario tiene ya presentes en su software habitual.Díaz explica que el problema es que no todo el mundo tiene su ordenador perfectamente actualizado, y que los ciberdelincuentes son conscientes de ello. "A partir de la entrada en una web maliciosa, estos programas detectan de forma automática si el sistema operativo, el navegador o alguna otra herramienta tienen agujeros de seguridad". Si el programa descubre esos fallos, instalará la versión del software malicioso que se ha programado con anterioridad. El robo de datos bancarios, contraseñas y certificados, así como el envío de spam son las consecuencias más probables de la infección. La red Mariposa tenía datos de 800.000 personas en 190 países.
El ataque Lizamoon solicitaba la intervención del usuario. Cuando este visitaba la web legítima pero infectada era redirigido a otra en la que se le animaba a descargar un antivirus llamado Windows Stability Center que, pese a su nombre, no tenía nada que ver con Microsoft. El programa avisaba al usuario de que su equipo no estaba actualizado y que se enfrentaba a problemas de seguridad para convencerle de que instalase el falso antivirus. Una vez hecho esto, el usuario ya tenía instalado el programa malicioso en su equipo.
Conseguir visitas a la web
Una vez que el malware está incluido en las webs, ¿cómo se consigue que las visitas acaben en ella? "Hubo un tiempo en el que el envío del correo electrónico era la mejor forma de conseguirlo, aunque hoy se ha convertido en una fuente secundaria", detalla el analista de Kaspersky.En un entorno profesional como el mencionado anteriormente, los expertos destacan dos fórmulas: alquilar una red de ordenadores zombis o alquilar tráfico. En el primer caso, se trata de que otro delincuente que ya ha logrado introducir su código en los equipos de los usuarios permita utilizarlos para instalar el nuevo programa malicioso. Díaz ofrece un estimado de unos 2.000 euros de coste, en función del tamaño de la red. Para el alquiler de tráfico es necesario que un grupo de webs cómplices redirija visitas a la página infectada, o bien que se infecten webs legítimas para que redirijan de forma automática a la maliciosa. Ante este tipo de técnicas, el usuario no verá nada extraño, ya que la redirección se produce de forma automática, sin saltos aparentes.
Las técnicas utilizadas por los ciberdelincuentes han cambiado en la medida en la que mejoran las técnicas de detección y surgen nuevos fenómenos en internet. En este punto han aparecido las redes sociales como fuente de infección que, en el fondo, reproducen a grandes rasgos el esquema ya empleado con el correo electrónico. Para Díaz, "con las redes sociales en este momento se está en un punto similar al que se vivió hace unos años con el correo electrónico, antes de que la gente se concienciase de que podía ser una fuente de software malicioso".
El cierre de un gran servidor de spam
El mes pasado se produjo el cierre de buena parte de los servidores de Rustock, uno de los mayores responsables de envío de correo electrónico no deseado del mundo. La compañía de seguridad Symantec estima que el año pasado Rustock envió el 39% del spam mundial.La unidad contra el crimen de Microsoft colaboró con las autoridades de EEUU para realizar el cierre. La compañía calcula que este ‘bot' había infectado a más de un millón de máquinas de usuarios. Estas enviaban 30.000 millones de correos basura al día. Una máquina infectada por Rustock podía enviar 7.500 mensajes de spam en 45 minutos, según Microsoft.
Para realizar el cierre se cortó la conexión de los servidores de Rustock. Este tipo de cierres sólo puede llevarse a cabo con la colaboración de empresas de seguridad, grupos policiales, registradores de dominios y proveedores de servicios de internet.
El éxito no siempre está asegurado, ya que los expertos alertan de que los ciberdelincuentes suelen tener una infraestructura secundaria para reanudar sus actividades.
La cifra global de spam se redujo un 12% cuando las autoridades holandesas cerraron los servidores del ‘bot' Bredolab en noviembre.
Publico
2011/03/30
Videos espectaculares, una forma sencilla y barata de expandir el malware
Los seres humanos somos curiosos por naturaleza, y los cibercriminales se están aprovechando de esta circunstancia para expandir los archivos maliciosos sin apenas esfuerzos y con una inversión mínima.
Basta con ofrecer un supuesto vídeo con impactantes imágenes del rescate de supervivientes en el tsunami que ha asolado Japón, tal y como hacía una web fraudulenta de origen brasileño que ya se ha convertido en la más bloqueada del primer trimestre.
Los usuarios seguimos siendo víctimas de un link que nos promete ver un vídeo espectacular, según señala Luis Corrons, director técnico de PandaLabs, “por eso, esta técnica, sigue siendo una de las preferidas de los hackers, ya que requiere de una mínima inversión y consiguen un gran número de usuarios infectados”.
La mayor parte de estos sites descargan troyanos en los equipos de sus víctimas sin que éstas sean conscientes.
Además, cuentan con el componente viral que proporcionan las redes sociales como aliado perfecto para conseguir una distribución masiva.
Las URL maliciosas que contienen como reclamo contenidos audiovisuales ya representan el 25% de todas las direcciones web fraudulentas detectadas el pasado año, seguidas muy de cerca por las páginas que ofrecen actualizaciones o instaladores.
eWeek
Basta con ofrecer un supuesto vídeo con impactantes imágenes del rescate de supervivientes en el tsunami que ha asolado Japón, tal y como hacía una web fraudulenta de origen brasileño que ya se ha convertido en la más bloqueada del primer trimestre.
Los usuarios seguimos siendo víctimas de un link que nos promete ver un vídeo espectacular, según señala Luis Corrons, director técnico de PandaLabs, “por eso, esta técnica, sigue siendo una de las preferidas de los hackers, ya que requiere de una mínima inversión y consiguen un gran número de usuarios infectados”.
La mayor parte de estos sites descargan troyanos en los equipos de sus víctimas sin que éstas sean conscientes.
Además, cuentan con el componente viral que proporcionan las redes sociales como aliado perfecto para conseguir una distribución masiva.
Las URL maliciosas que contienen como reclamo contenidos audiovisuales ya representan el 25% de todas las direcciones web fraudulentas detectadas el pasado año, seguidas muy de cerca por las páginas que ofrecen actualizaciones o instaladores.
eWeek
2011/02/23
OddJob, un nuevo troyano para la banca online
El troyano OddJob, que se centra en ordenadores basados en Windows, está siendo utilizado por criminales en Europa del Este para robar dinero de cuentas en Estados Unidos, Polonia y Dinamarca. Al menos es lo que asegura Amit Klein, director tecnológico de la compañía de seguridad Trusteer.
Klein, que asegura que no puede identificar los bancos que se están viendo afectados ni ofrecer una estimación del número de víctimas, ha dicho también que estos son los primeros días del malware, de forma que “podemos esperar que el código se vuelva más sofisticado con el tiempo”.
Lo que hace el troyano OddJob es interceptar las comunicaciones que los clientes establecen con los bancos a través de Internet Explorer o Firefox, robando o interceptando la información y terminando las sesiones de los usuarios cuando lo ha hecho, explica el experto de seguridad.
Cuando un cliente está en la página web de un banco, el troyano aprovecha la sesión para suplantar al usuario y pasar por alto el cierre de sesión del cliente, de modo que la sesión no está realmente cerrada aunque el usuario lo crea así.
Para evitar su desactivación por parte del software de seguridad, la configuración del malware no se guarda en el disco, sino que cada vez que se abre una sesión se envía una copia desde el servidor de comando y control.
Para protegerse de este nuevo troyano la empresa de seguridad Trusteer recomienda instalar todas las actualizaciones de seguridad, no acceder a direcciones web desde mensajes de correo electrónico y utilizar software de seguridad que vigile el acceso a Internet.
ITespresso
Klein, que asegura que no puede identificar los bancos que se están viendo afectados ni ofrecer una estimación del número de víctimas, ha dicho también que estos son los primeros días del malware, de forma que “podemos esperar que el código se vuelva más sofisticado con el tiempo”.
Lo que hace el troyano OddJob es interceptar las comunicaciones que los clientes establecen con los bancos a través de Internet Explorer o Firefox, robando o interceptando la información y terminando las sesiones de los usuarios cuando lo ha hecho, explica el experto de seguridad.
Cuando un cliente está en la página web de un banco, el troyano aprovecha la sesión para suplantar al usuario y pasar por alto el cierre de sesión del cliente, de modo que la sesión no está realmente cerrada aunque el usuario lo crea así.
Para evitar su desactivación por parte del software de seguridad, la configuración del malware no se guarda en el disco, sino que cada vez que se abre una sesión se envía una copia desde el servidor de comando y control.
Para protegerse de este nuevo troyano la empresa de seguridad Trusteer recomienda instalar todas las actualizaciones de seguridad, no acceder a direcciones web desde mensajes de correo electrónico y utilizar software de seguridad que vigile el acceso a Internet.
ITespresso
Stuxnet fue creado para atacar Irán
El cibersaboteador que lanzó los ataques de Stuxnet contra una central nuclear en Irán tenía como objetivo a cinco organizaciones en el país, a las que atacó unas diez ocasiones. Al menos es lo que se desprende de nuevos datos recogidos tras el estudio de miles de muestras del gusano.
Los datos los ha comunicado la empresa de seguridad Symantec, que recopiló casi 3.300 muestras de Stuxnet que le ayudaron a seguir el rastro del malware a través de más de 12.000 ordenadores.
Cada programa de Stuxnet guardo ciertos datos de cada ordenador que infecta, incluida la fecha de la infección, el nombre del ordenador, nombre de dominio, y la dirección IP interna y externa.
Esta información es la que ha permitido a los investigadores de Symantec rastrear el camino del virus a través de diferentes ordenadores. Los datos han llevado a la conclusión que de Stuxnet fue creado para atacar la capacidad de procesamiento nuclear de Irán, aseguran desde Symantec.
Entre otros datos se sabe que Stuxnet infectó más de 100.000 ordenadores y que más del 60% de los mismos estaban en Irán. Los primeros ataques empezaron un 22 de Junio de 2009, seguido de otros en Marzo, Abril y Mayo de 2010. Las empresas antivirus no detectaron el malware hasta Junio de 2010.
Los ataques se realizaron con tres variantes diferentes del programa, el original y dos versiones modificadas en Marzo y Abril de 2010.
En total más de 1.800 organizaciones fueron infectadas por Stuxnet.
ITespresso
Los datos los ha comunicado la empresa de seguridad Symantec, que recopiló casi 3.300 muestras de Stuxnet que le ayudaron a seguir el rastro del malware a través de más de 12.000 ordenadores.
Cada programa de Stuxnet guardo ciertos datos de cada ordenador que infecta, incluida la fecha de la infección, el nombre del ordenador, nombre de dominio, y la dirección IP interna y externa.
Esta información es la que ha permitido a los investigadores de Symantec rastrear el camino del virus a través de diferentes ordenadores. Los datos han llevado a la conclusión que de Stuxnet fue creado para atacar la capacidad de procesamiento nuclear de Irán, aseguran desde Symantec.
Entre otros datos se sabe que Stuxnet infectó más de 100.000 ordenadores y que más del 60% de los mismos estaban en Irán. Los primeros ataques empezaron un 22 de Junio de 2009, seguido de otros en Marzo, Abril y Mayo de 2010. Las empresas antivirus no detectaron el malware hasta Junio de 2010.
Los ataques se realizaron con tres variantes diferentes del programa, el original y dos versiones modificadas en Marzo y Abril de 2010.
En total más de 1.800 organizaciones fueron infectadas por Stuxnet.
ITespresso
2011/02/11
Computadoras personales, blanco de "cibersecuestros"
Cualquiera que tenga una computadora podría ser cómplice, sin saberlo, de un ataque cibernético porque cada vez más los piratas informáticos se meten en otros aparatos localizados en cualquier lugar del planeta para lanzar sus asaltos sin dejar rastro.
Diversos expertos coincidieron en conversación con la BBC en que es una práctica que va en aumento y que amenaza con socavar las infraestructuras de los países y la economía mundial.Miles de ordenadores personales vulnerables son secuestrados por piratas cibernéticos que los utilizan para crear redes, conocidas como "botnets", que pueden extenderse por todo el globo, según explica la experta en Ciencia de la BBC Susan Watts.
Luego, añade, utilizan todas esas computadoras para recopilar datos como números de tarjetas de crédito o contraseñas que usan para llevar a cabo robos y otros delitos, así como para lanzar ataques.
Más allá del "ciberpeligro"
Los más frecuentes son los ataques de negación de servicio (DDoS, por sus siglas en inglés), que consisten en enviar tantas solicitudes para entrar en un sitio de internet, que este no puede soportarlo y lo hacen caer durante horas.Un ejemplo de esos DDoS fueron los asaltos que los "hacktivistas" del grupo Anoymous llevaron a cabo recientemente contra compañías que tomaron represalias contra WikiLeaks por sus filtraciones.
Melissa Hathaway, ciberzar durante del gobierno del presidente estadounidense George W. Bush y ex consejera también de Barack Obama, alertó del peligro que suponen esos "secuestros".
Dijo que "computadoras infectadas, personales o corporativas, se están usando para llevar a cabo ataques DDoS contra industrias clave y gobiernos, que podrían afectar su capacidad para prestar servicios esenciales".
Tecnología demasiado accesible
En todo caso, "la mayoría de esos secuestros son para recopilar información personal para las organizaciones que llevan a cabo delitos tradicionales como acceder a las cuentas bancarias", explicó Julian Midwinter, experto de la compañía i2, que desarrolla programas para gobiernos y agencias de inteligencia.Aún así destacó que la tecnología para llevarlos a cabo es tremendamente accesible.
"Históricamente uno tenía que ser un técnico experto, un hacker y estar realmente interesado en la informática. Ahora, puedes ir a la tienda y comprar un "kit de botnet" que ya está configurado y sólo tienes que instalarlo", dijo.
Por ello, el informático Tobias Wann, de la compañía responsable de los dominios .com y.net, VeriSign, alertó que "si no se eliminan los virus de la computadora, hay gran riesgo de que sea infectada".
Y añadió que "una computadora infectada puede ser parte de una botnet, así que cuanto más se protejan los equipos, menos riesgo hay de que sean parte de una de esas redes y cuantas menos redes haya, menos ataques habrá también".
Responsabilidades individuales
Por ello, dice Watts, "los gobiernos instan ahora a los ciudadanos a tomar responsabilidades individuales ante lo que consideran que puede ser una amenaza que vaya más allá del mundo digital".Según la experta, las autoridades mundiales "están ansiosas" por limitar las posibilidades de cualquier interrupción de servicios como la distribución de electricidad, agua o comida, que se basa en sistemas informatizados.
Sin embargo, añade, no quieren aparecer como "censores" de la libertad de expresión.
BBC Mundo
Los ciberdelincuentes se ponen románticos
Los expertos en seguridad advierten de que los cibercriminales aprovechan la celebración del Día de los Enamorados el próximo 14 de febrero, para expandir sus amenazas en la red en forma de spam y camuflados en inocentes regalos.
Y es que durante los días previos al 14 de febrero se observa un notable aumento de los niveles de correo basura que llegan en forma de postales de felicitación y de anuncios que ofrecen ideas para regalar o escapadas románticas para dos.
Hasta ahora la mayor parte del spam enviado con motivo del día de San Valentín ha sido inofensivo, pero los expertos advierten de que este año están observando “un aumento de enlaces maliciosos que aparecerán en nuestros correos electrónicos por estas fechas en forma de tarjetas de felicitación virtual con motivos románticos”.
Los expertos también advierten de que los ciberdelincuentes aprovechan la coyuntura más romántica de lo habitual en las redes sociales para intentar apropiarse de las cuentas de los usuarios o inundarles con spam.
Entres los ganchos utilizados destacan los mensajes que prometen compartir los mejores consejos para triunfar en San Valentín o los que prometen revelar la existencia de admiradores secretos.
“Las estafas de San Valentín, aunque esperadas y previsibles, tienen todavía bastante éxito debido a su atractivo emocional”, explica Jocelyn Otero de BitDefender, “cada año, millones de usuarios siguen toda clase de vínculos sospechosos con la esperanza de encontrar a su pareja especial”.
the INQUIRER
Y es que durante los días previos al 14 de febrero se observa un notable aumento de los niveles de correo basura que llegan en forma de postales de felicitación y de anuncios que ofrecen ideas para regalar o escapadas románticas para dos.
Hasta ahora la mayor parte del spam enviado con motivo del día de San Valentín ha sido inofensivo, pero los expertos advierten de que este año están observando “un aumento de enlaces maliciosos que aparecerán en nuestros correos electrónicos por estas fechas en forma de tarjetas de felicitación virtual con motivos románticos”.
Los expertos también advierten de que los ciberdelincuentes aprovechan la coyuntura más romántica de lo habitual en las redes sociales para intentar apropiarse de las cuentas de los usuarios o inundarles con spam.
Entres los ganchos utilizados destacan los mensajes que prometen compartir los mejores consejos para triunfar en San Valentín o los que prometen revelar la existencia de admiradores secretos.
“Las estafas de San Valentín, aunque esperadas y previsibles, tienen todavía bastante éxito debido a su atractivo emocional”, explica Jocelyn Otero de BitDefender, “cada año, millones de usuarios siguen toda clase de vínculos sospechosos con la esperanza de encontrar a su pareja especial”.
the INQUIRER
2011/02/03
Las series en Internet se convierten en gancho para distribuir el malware
Cada vez más usuarios optan por ver sus series favoritas en la red, sin tener que depender de la programación televisiva ni aguantar las pausas publicitarias, pero también los ciberdelincuentes se están empezando a aprovechar de esta tendencia.
Los expertos en seguridad han observado un nuevo tipo de amenaza que se distribuye a través de los capítulos de series que se encuentran en la red.
Uno de los primeros casos se ha detectado en la web Dailymotion.
El modus operandi de estas amenazas empieza con un mensaje que aparece en la pantalla cuando el usuario trata de acceder al episodio indicándole que el contenido ha sido retirado por problemas con los derechos de autor.
Este mismo mensaje informa al usuario de que afortunadamente puede ver ese capítulo de su serie preferida a través de una URL que siempre aparece acortada mediante servicios como bit.ly.
Si el usuario pica en la trampa y pincha en la URL es redirigido a una web falsa que invita a descargar un archivo que supuestamente contiene la película. El nombre de una de las páginas falsas que se ha detectado es “IWon” y el archivo falso se denomina IWONSetup2.3.76.6.ZLman000.exe.
Este archivo esconde el adware MyWebSearch que es capaz de infectar el equipo si el usuario no se da cuenta del engaño y lo instala, aunque suele ser detectado por los sistemas antivirus, según informan desde Kaspersky.
the INQUIRER
Los expertos en seguridad han observado un nuevo tipo de amenaza que se distribuye a través de los capítulos de series que se encuentran en la red.
Uno de los primeros casos se ha detectado en la web Dailymotion.
El modus operandi de estas amenazas empieza con un mensaje que aparece en la pantalla cuando el usuario trata de acceder al episodio indicándole que el contenido ha sido retirado por problemas con los derechos de autor.
Este mismo mensaje informa al usuario de que afortunadamente puede ver ese capítulo de su serie preferida a través de una URL que siempre aparece acortada mediante servicios como bit.ly.
Si el usuario pica en la trampa y pincha en la URL es redirigido a una web falsa que invita a descargar un archivo que supuestamente contiene la película. El nombre de una de las páginas falsas que se ha detectado es “IWon” y el archivo falso se denomina IWONSetup2.3.76.6.ZLman000.exe.
Este archivo esconde el adware MyWebSearch que es capaz de infectar el equipo si el usuario no se da cuenta del engaño y lo instala, aunque suele ser detectado por los sistemas antivirus, según informan desde Kaspersky.
the INQUIRER
Kaspersky alerta de que algunas descargas albergan programas maliciosos
El hecho es conocido, pero la empresa de seguridad informática Kaspersky ha documentado un episodio muy concreto de descargas de series de televisión que albergan código malicioso en Dailymotion. Según un comunicado de la compañía, "como señala Costin Raiu, experto de Kaspersky Lab, cuando el episodio que intentamos descargar es pirata, aparece un mensaje en pantalla advirtiendo de que el contenido se ha eliminado por problemas de derechos de autor y que afortunadamente aún se puede ver en una dirección URL que especifican. Estas URLs siempre están recortadas por servicios como bit.ly".
"Una vez hacemos clic sobre ellas", prosigue, "el enlace nos dirige a otra página web que nos informa de que el contenido no está disponible y para verlo es necesario acceder a una "oferta". Al hacer clic en cualquiera de los enlaces sugeridos, nos lleva de nuevo a otra página." IWon es uno de los nombres de estas falsas páginas que de nuevo nos invitan a descargar el archivo, en este caso el IWONSetup2.3.76.6.ZLman000.exe, que es en realidad el famoso adware MyWebSearch detectado por la mayoría de los productos antivirus.
En general, esta aplicación no provoca una infección a menos que se descargue e instale el ejecutable de la página
El Pais
"Una vez hacemos clic sobre ellas", prosigue, "el enlace nos dirige a otra página web que nos informa de que el contenido no está disponible y para verlo es necesario acceder a una "oferta". Al hacer clic en cualquiera de los enlaces sugeridos, nos lleva de nuevo a otra página." IWon es uno de los nombres de estas falsas páginas que de nuevo nos invitan a descargar el archivo, en este caso el IWONSetup2.3.76.6.ZLman000.exe, que es en realidad el famoso adware MyWebSearch detectado por la mayoría de los productos antivirus.
En general, esta aplicación no provoca una infección a menos que se descargue e instale el ejecutable de la página
El Pais
2011/01/27
La pornografía en Internet es sinónimo de malware
BitDefender ha realizado un estudio relacionado con los contenidos pornográficos en Internet y su asociación con distintos tipos de malware ocultos en esas páginas Web.
Según la encuesta realizada a algo más de 2.000 usuarios, el 72% de ellos admitía haber buscado y accedido a sitios web con contenido pornográfico. Los hombres son los más activos en este sentido con un 78%, mientras que sólo un 22% de las mujeres indicaba este hecho.
Los contenidos más solicitados (91%) son los vídeos descargados, en especial aquellos disponibles desde redes P2P y sitios web. Mientras tanto, las webs con contenido adulto en tiempo real, como es el caso de video-chats, citas para adultos, etc. se conforman como la segunda preferencia de los usuarios.
El problema de este tipo de sitios web es que habitualmente contienen diversos tipos de malware ocultos y terminan infectando los equipos. Un 63% de los encuestados admitía que han tenido problemas relacionados con este tipo de amenazas después de haber accedido a contenidos pornográficos.
El malware más extendido son las denominadas tracking cookies, unos pequeños ficheros que se almacenan en los ordenadores y que permiten enviar información relacionada a los sitios visitados por los usuarios, lo que pone en peligro su privacidad y seguridad.
eWeek
Según la encuesta realizada a algo más de 2.000 usuarios, el 72% de ellos admitía haber buscado y accedido a sitios web con contenido pornográfico. Los hombres son los más activos en este sentido con un 78%, mientras que sólo un 22% de las mujeres indicaba este hecho.
Los contenidos más solicitados (91%) son los vídeos descargados, en especial aquellos disponibles desde redes P2P y sitios web. Mientras tanto, las webs con contenido adulto en tiempo real, como es el caso de video-chats, citas para adultos, etc. se conforman como la segunda preferencia de los usuarios.
El problema de este tipo de sitios web es que habitualmente contienen diversos tipos de malware ocultos y terminan infectando los equipos. Un 63% de los encuestados admitía que han tenido problemas relacionados con este tipo de amenazas después de haber accedido a contenidos pornográficos.
El malware más extendido son las denominadas tracking cookies, unos pequeños ficheros que se almacenan en los ordenadores y que permiten enviar información relacionada a los sitios visitados por los usuarios, lo que pone en peligro su privacidad y seguridad.
eWeek
2011/01/07
2010 fue un buen año para el malware
El malware recordará 2010 como un gran año, en el que encontraron nuevas rutas de acceso a los ordenadores de las víctimas y crearon muchísimos archivos maliciosos nuevos. De hecho, según datos de PandaLabs, un tercio del malware existente en la actualidad fue creado el año pasado.
De todos los archivos de malware que la compañía de seguridad tiene registrados (60 millones), los más comunes son los troyanos, que dominan con un 56%; seguidos de virus y gusanos, además de software antivirus falso, que ha alcanzado un 11,6%.
De todas formas, y aunque parezca que el número de amenazas no hace más que aumentar, PandaLabs también da una buena noticia: la velocidad de creación de nuevos archivos dañinos ha bajado durante 2010. De hecho, desde 2003 el ritmo de crecimiento interanual había sido de por lo menos el 100%. En 2010, por el contrario, aumentó tan solo un 50%.
Desde Panda han querido destacar también los esfuerzos de los gobiernos por combatir el cibercrimen, según informa V3.co.uk. “Aunque todavía hay un largo camino que recorrer antes de que nos podamos sentir realmente seguros, por lo menos estamos yendo en buen camino”, asegura el informe de PandaLabs.
ITespresso
De todos los archivos de malware que la compañía de seguridad tiene registrados (60 millones), los más comunes son los troyanos, que dominan con un 56%; seguidos de virus y gusanos, además de software antivirus falso, que ha alcanzado un 11,6%.
De todas formas, y aunque parezca que el número de amenazas no hace más que aumentar, PandaLabs también da una buena noticia: la velocidad de creación de nuevos archivos dañinos ha bajado durante 2010. De hecho, desde 2003 el ritmo de crecimiento interanual había sido de por lo menos el 100%. En 2010, por el contrario, aumentó tan solo un 50%.
Desde Panda han querido destacar también los esfuerzos de los gobiernos por combatir el cibercrimen, según informa V3.co.uk. “Aunque todavía hay un largo camino que recorrer antes de que nos podamos sentir realmente seguros, por lo menos estamos yendo en buen camino”, asegura el informe de PandaLabs.
ITespresso
2011/01/03
La tercera parte de todos los virus de la historia se han generado en 2010
La llamada “industria del mal” es una de las pocas que puede presumir de haber crecido de forma espectacular en el año que acaba de terminar, ya que la creación y distribución del malware ha aumentado de forma muy notable en el 2010.
De hecho, sólo en los 12 meses de 2010 se han generado el 34% de todos los virus que los expertos en seguridad han identificado en la historia. Según los datos de PandaLabs, el 99,4% de las nuevas amenazas recibidas ha alcanzado 134 millones de ficheros diferentes, más de 60 de los cuales son malware (virus, gusanos, troyanos y otras amenazas informáticas.
Dentro del apartado de nuevas amenazas, los ciberdelincuentes siguen apostando por la creación de los clásicos troyanos bancarios como principal arma para sus ataques. Este tipo de troyanos que busca captar las contraseñas y datos bancarios de sus víctimas representa el 56% de las nuevas amenazas, seguido por virus y gusanos.
En este apartado destaca la incidencia de los antivirus falsos, que se están convirtiendo en los nuevos quebraderos de cabeza de los usuarios y ya representa el 11,6% de las nuevas amenazas.
En cuanto a los medios elegidos para expandir el malware, 2010 ha sido el año de las infecciones a través de redes sociales, del posicionamiento de falsas webs (llamado BlackHatSEO) y el aprovechamiento de vulnerabilidades zero-day.
Además, este año también será recordado como el ejercicio donde han visto la luz más hechos relacionados con la ciberdelincuencia, la ciberguerra y el ciberactivismo, tendencias que van a continuar en el 2011 según las previsiones de los expertos.
the INQUIRER
De hecho, sólo en los 12 meses de 2010 se han generado el 34% de todos los virus que los expertos en seguridad han identificado en la historia. Según los datos de PandaLabs, el 99,4% de las nuevas amenazas recibidas ha alcanzado 134 millones de ficheros diferentes, más de 60 de los cuales son malware (virus, gusanos, troyanos y otras amenazas informáticas.
Dentro del apartado de nuevas amenazas, los ciberdelincuentes siguen apostando por la creación de los clásicos troyanos bancarios como principal arma para sus ataques. Este tipo de troyanos que busca captar las contraseñas y datos bancarios de sus víctimas representa el 56% de las nuevas amenazas, seguido por virus y gusanos.
En este apartado destaca la incidencia de los antivirus falsos, que se están convirtiendo en los nuevos quebraderos de cabeza de los usuarios y ya representa el 11,6% de las nuevas amenazas.
En cuanto a los medios elegidos para expandir el malware, 2010 ha sido el año de las infecciones a través de redes sociales, del posicionamiento de falsas webs (llamado BlackHatSEO) y el aprovechamiento de vulnerabilidades zero-day.
Además, este año también será recordado como el ejercicio donde han visto la luz más hechos relacionados con la ciberdelincuencia, la ciberguerra y el ciberactivismo, tendencias que van a continuar en el 2011 según las previsiones de los expertos.
the INQUIRER
Suscribirse a:
Entradas (Atom)