Usuarios de las redes sociales Facebook y Twitter recibieron, dentro de sus cuentas, notificaciones que simulaban provenir de los administradores, pero en realidad se trataba de criminales informáticos que tenían por objetivo real el robo de datos personales.

El sitio Twitter, se encargó de publicar un aviso, para alertar a los visitantes que si reciben uno de estos correos solicitándole algún tipo de información, no responda y no entregue esa clase de información.

El blog de la compañía de seguridad Sophos mostró cómo una página armada sobre una cuenta de Blogspot imitaba la página de inicio de Twitter, y que luego de ingresar los datos emitía también la pantalla de error del servicio.

Las notas que recibieron los usuarios de Facebook y Twitter les solicitaba entrar a otra web para verificar su cuenta y contraseña. Tras introducir dichos datos, el sitio redirecciona hacia un blog vacío, cuyo administrador figura como “NetMeg99”.

En el caso de Facebook, el mecanismo es similar pero la potencia del ataque mayor ya que accede a una web donde se descarga un software que puede almacenar las contraseñas bancarias. De hecho, según informaciones de USA Today, se han localizado 41 páginas webs diferentes enviando 600 mensajes fraudulentos por minutos por lo que cualquiera puede ser tu correo.

En ambas modalidades, los delincuentes informáticos utilizan sitios web que reproducen total fidelidad el aspecto visual de servicios como Facebook o Twitter. Es por eso que, ante este tipo de situaciones fraudulentas, la mejor opción es desconfiar de aquellas notificaciones que solicitan ingresar datos personales, cuentas de usuario y contraseñas.

FUENTE

El gusano Koobface ha estado amenazando la seguridad tanto de los usuarios de Facebook como de los clientes de Microsoft. Por esta razón, ambas empresas se han aliado para hacerle frente y erradicarlo de una vez por todas.

Jeff Williams, director del Centro de Protección de Malware de Microsoft (MMPC) explicó que su empresa trabajó junto a Facebook para agregar a Koobface a la Herramienta de Eliminación de Programas Maliciosos de Microsoft (MSRT).

Microsoft afirma que, desde que se lanzó la última versión de MSRT hace dos semanas, la herramienta ha eliminado 200.000 ejemplares del gusano en más de 133.000 ordenadores de 140 países.

Sin embargo, Williams admite que erradicar el gusano no va a ser fácil. “Koobface está cambiando con frecuencia para evitar ser detectado o, como nosotros decimos, es un virus ‘altamente polimórfico’ que hasta ahora cuenta con 20.000 variantes”, dijo Williams.

“También estamos trabajando para detectar las nuevas variantes de Koobface a medida de que se las va detectando, así podemos proveer protección para esta amenaza”, agregó.

El gusano apareció en mayo de 2008 y es uno de los primeros en utilizar los sitios de interacción social para propagar su código nocivo. De hecho, las diferentes variantes del gusano se especializan en atacar a usuarios de Facebook o MySpace.

Koobface se propaga enviando mensajes a los usuarios de Facebook y MySpace con enlaces maliciosos que le permiten infectar los ordenadores de sus víctimas y robar sus datos de registro.

Después de infectar a sus víctimas, el gusano envía mensajes a todos sus contactos para tratar de infectarlos.

Este problema sólo afecta a los usuarios de Microsoft que no hayan instalado las últimas actualizaciones de seguridad en sus sistemas y a quienes no cuenten con un programa antivirus actualizado.

FUENTE

Existe una familia de códigos maliciosos que ESET NOD32 detecta bajo el nombre de Win32/Qhost; y en los últimos días se ha estado propagando por correo electrónico una nueva variante, detectada bajo el nombre de Win32/Qhost.NHM.

Bajo la excusa de ser una tarjeta virtual, este troyano tipo banker que busca infectar los equipos de los usuarios más desprevenidos, ha sido diseñado para realizar ataques de phishing a entidades bancarias colombianas manipulando el archivo hosts de los sistemas víctimas.

A través de un enlace incrustado en el cuerpo del mensaje, intenta descargar un archivo ejecutable llamado Reyes.exe que, lejos de tener alguna relación con los famosos reyes magos y aunque parezca que muchos aún creen en ellos , se trata de un malware.

La familia Qhost es cada vez más amplia y el daño monetario que puede provocar en la cuenta bancaria de los usuarios, también puede ser alto. En consecuencia, debemos ser cautelosos al hacer clic en los enlaces que recibimos para no ser víctimas de esta amenaza y mantener nuestro ESET NOD32 actualizado para mantenernos seguros.

FUENTE

PandaLabs informa sobre el falso antivirus VirusResponseLab2009 y el gusano P2PShared.M, así como sobre un nuevo ataque de pharming protagonizado por el troyano Banker.LKC, que modifica las direcciones web por las cuales navega el usuario. 01.10.2008, 18:59

El supuesto antivirus que en realidad es un Adware VirusResponseLab2009 es un ejemplo más del protagonismo que están tomando en el mundo del malware los falsos antivirus como forma de obtener beneficios económicos por parte de los delincuentes online.

Cuando se ejecuta, este software malicioso simula un análisis del sistema y hace creer al usuario que está infectado con un virus
(http :// www.flickr.com/photos/panda_security/2881336631/). Además, cada cierto tiempo hace saltar una ventana emergente de alertas, situada en la barra de tareas, que informa de falsos ataques desde Internet, o de la posibilidad de que el usuario sufra un ataque de robo de contraseñas (http :// www.flickr.com/photos/panda_security/2889552552/).

El objetivo de este código malicioso es que el usuario crea que realmente está infectado y compre la versión del antivirus que se le ofrece cada cierto tiempo (http :// www.flickr.com/photos/panda_security/2889552552/) para poder limpiar su ordenador de unas amenazas que, en realidad, no tiene.

P2PShared.M es un gusano que se propaga a través de redes P2P (peer to peer o punto a punto). Para ello, se copia en las carpetas pertenecientes a varios programas que hacen uso de estas redes, haciéndose pasar por diversos programas de software, con el fin de incitar a otros usuarios a su descarga.

Además, este gusano crea una copia de sí mismo en los ordenadores que infecta y realiza varias modificaciones en el Registro de Windows.
PandaLabs ha informado esta semana, además, de un troyano, Banker.LKC, que se hace pasar por un vídeo del iPhone para engañar a los usuarios y llevar a cabo un ataque de pharming que puede conllevar la pérdida de importantes datos confidenciales para las víctimas.

FUENTE

# El ataque se les atribuye a unos piratas informáticos griegos.
# El CERN asegura que han conseguido cerrar la “brecha de seguridad”.

Un grupo de ‘hackers’ ha conseguido vulnerar el sistema informático del Colisinador de Hadrones, el LHC , provocando gran preocupación acerca de los sistemas de seguridad de este experimento. El ataque, que fue denunciado por el británico Daily Telegraph, se les atribuye a los piratas informáticos Greek Security Team -equipo de seguridad griego-.

Dos días después de su expectante y exitosa presentación, los ‘hackers’ han publicado una nota calificando a los técnicos encargados del proyecto como “un puñado de niños de escuela”. Pese al gran susto, el ataque no ha traído graves consecuencias, aunque, de haber entrado en el sistema, podrían haber apagado partes del detector.

Desde el CERN aseguran que han conseguido cerrar la “brecha de seguridad”. El director de prensa de la organización, James Gillies, ha asegurado que el incidente “no dejó ningún daño”, al tiempo que ha señalado que “el sistema posee una serie de niveles en su red, desde los de acceso general hasta los más seguros, que funcionan en lo que se refiere a la operatividad del LHC”.

FUENTE

Una reciente variante del troyano Zlob (Win32/TrojanDownloader.Zlob para ESET), modifica la configuración de los servidores DNS en routers domésticos, para que apunten a otros que llevan a sitios maliciosos. Utilizar la contraseña por defecto que estos equipos traen de fábrica, lo pone en peligro de convertirse en una nueva víctima de este malware.

Lo primero que debe hacer en su instalación actual, es cambiar la contraseña por defecto de su router (tanto cableado como inalámbrico). El Zlob va a intentar entrar en la configuración del mismo mediante la utilización de una lista de contraseñas conocidas que estos productos traen de fábrica (incluyendo por supuesto, una contraseña en blanco). Pero además, utiliza una larga lista de palabras claves que los usuarios suelen utilizar, como las que se recogen en este enlace: http://blog.washingtonpost.com/securityfix/zlobpass.txt

Zlob (también conocido como DNSChanger), es capaz de modificar la configuración de los servidores DNS para utilizar otros, que apuntan los dominios conocidos a direcciones IP controladas por delincuentes. Esto significa que usted puede creer que está entrando a un sitio conocido (por ejemplo google.com), y en realidad estar siendo redirigido a un servidor que descargará otros malwares en su equipo.

Cada máquina infectada, intentará a su vez acceder a los routers de otros equipos para infectarlos.

El blog de seguridad “Extreme Security — Do It Securely or Not at all !”, da los siguientes consejos para que los usuarios domésticos protejan sus equipos de esta amenaza:

1. Cambie inmediatamente la contraseña actual de su router, por algo más complejo. Asegúrese de que la misma sea larga y que contenga una serie de letras, números y otros caracteres aceptados (y por supuesto, no olvide dicha contraseña).

2. Si es posible, configure su router para permitir el acceso administrativo a usuarios específicos. Esto evitará que las máquinas infectadas lleguen a su router. En algunos casos, puede combinar esto con el acceso permitido desde una determinada tarjeta de red (dirección MAC).

3. Actualice el firmware de su router a la última versión existente, para asegurarse de solucionar cualquier problema de seguridad. La página del fabricante de su equipo debe tener información sobre esto, o de lo contrario consulte con su vendedor.

4. Si es posible, cambie el puerto que se utiliza para ingresar a la interfase de gestión, por otro diferente.

5. Si el router lo permite, configure la opción que envía a una dirección de correo especificada por usted, cualquier cambio que se realice en la configuración del dispositivo.

6. Cambie el nombre de la cuenta de administrador en el router, o mejor aún, desactívela o elimínela, y cree una nueva con nombre de usuario y contraseña.

7. Instale algún tipo de detección de intrusiones en su red para detectar actividades dolosas.

8. Instale o configure un software que le permita filtrar direcciones de acceso a sitios web maliciosos y páginas que proporcionan falsos códecs.

9. Desactive UPnP en su router, porque no es un protocolo seguro. Escriba upnp + exploit + router en un buscador como Google para encontrar cientos de páginas con información con exploits y descripciones de ataques a routers mediante UPnP.

10. Bloquee el acceso a estas direcciones IP: 85.255.116.164 / 85.255.112.81

11. Utilice una herramienta como Pure Networks Security Scan (http://www.purenetworks.com/securityscan/) para explorar la seguridad de su red inalámbrica.

12. Mantenga sus equipos actualizados con las últimas actualizaciones (Windows y todas las aplicaciones que más utilice). La mayoría de los malwares mencionados, utilizan vulnerabilidades conocidas y ya corregidas para infectar su sistema.

13. Obtenga códecs de video legítimos, nunca acepte instalar códecs de enlaces que aparecen cuando intenta ver un supuesto video. Informe de esto a todos quienes utilicen sus equipos. El siguiente sitio puede brindarle todos los códecs necesarios, y es confiable:
http://www.free-codecs.com/download/K_lite_codec_pack.htm

14. Por supuesto, mantenga actualizado su antivirus.

FUENTE

En estos días una gran cantidad de bloggers han informado que su blog, sobre plataforma WordPress, ha sido modificado.

Efectivamente en este momento se está llevando a cabo una campaña masiva de modificación de blogs debido a bugs en el complemento para subir archivos a la plataforma. Estos bugs permiten inyección SQL y subir imágenes manipuladas de tal forma que cuando el cliente carga el blog en su navegador, es redireccionado a un sitio dañino: your-ne[eliminado].info.

SecurityFocus informa de los problemas y en el sitio oficial de WordPress se brindan las soluciones que, en el caso de los administradores, pasa por revisar detenidamente el código fuente del blog y detectar cualquier anomalía, para luego actualizar a la última versión de WordPress.

Mientras tanto, los usuarios deberíamos estar atentos a las amenazas que son propagadas por este medio y mantener nuestro antivirus actualizado para que permita la detección de cualquier tipo de malware.

FUENTE

Una vulnerabilidad en servidores Internet Information Server permite a los delincuentes de Internet inyectar código SQL para manipular páginas web legitimas, de forma que redirigen a los visitantes a un sitio web malicioso diseñado para instalar todo tipo de malware en el ordenador.

Según PandaLabs, al menos 282.000 páginas de todo tipo ya han sido manipuladas, si bien el número sigue aumentando

El ataque se detecta fácilmente, ya que requiere la presencia de una cadena de código muy específica insertada en el código fuente de la página.

Según informa PandaLabs, una vulnerabilidad de los servidores Internet Information Server está posibilitando un ataque hacker masivo que ya ha afectado al menos a 282.000 páginas web, y que puede seguir afectando a muchas más.

A través de dicho problema de seguridad, los hackers pueden inyectar código SQL en todas las páginas que se encuentren alojadas en un servidor web. Dicho código está diseñado para redirigir a todos los visitantes de las páginas manipuladas a un sitio web malicioso, desde el que intentarán analizar el sistema en busca de otras vulnerabilidades que permiten descargar todo tipo de amenazas.

La situación se agrava por el hecho de que la mayor parte de las páginas afectadas no resultan sospechosas en absoluto y tienen, además, un elevado tráfico web.

Cómo detectar si una página ha sido manipulada

Panda Security aconseja a todos los webmasters que tengan sus páginas alojadas en servidores Internet Information Server comprobar, lo antes posible, si sus páginas web han podido verse afectadas. El procedimiento es sencillo, ya que se trata de buscar una cadena de código específica en el código fuente de las páginas, asociada a una etiqueta IFRAME.

Dicha cadena es:

< s c r i p t src=http://www.nihaorr1.com/1.js>

En caso de detectarla, hay que proceder a su eliminación inmediata y avisar a la persona o empresa encargadas de la gestión del servidor donde se alojan las páginas, para que proceda a tomar las medidas de seguridad pertinentes.

Dado el alto número de páginas afectadas, muchos usuarios han podido verse infectados por todo tipo de códigos maliciosos, incluso de nueva creación y, por tanto, desconocidos para las compañías de seguridad. Para comprobarlo, Panda Security recomienda entrar en la dirección http://www.infectedornot.com, y analizar el ordenador gratuitamente con el scanner online ActiveScan 2.0, una solución de seguridad que funciona en base a un sistema de Inteligencia Colectiva y que permite detectar muchas más amenazas que cualquier otra solución de seguridad existente.

FUENTE