Son capaces de cualquier cosa. Para estafarnos, no sólo se aprovechan de las fiestas de fin de año y del Día del Amigo. No sólo nos aseguran que hemos ganado remotas loterías o que nos hemos convertido en repentinos herederos.

Ahora, los piratas informáticos se están sirviendo también de la tragedia del vuelo 447 de Air France, desaparecido hace una semana, para deslizar sus ataques.

Ayer, la compañía de seguridad informática Trend Micro informó que se detectaron engaños informáticos que utilizan el accidente del AF 447 como anzuelo para atrapar a sus víctimas. ¿Cómo funciona?

El lector estará al tanto del blooper que desde la semana pasada sufre Microsoft: al usar la palabra ladrones en la versión argentina del nuevo buscador de la compañía, llamado Bing ( www.bing.com ), el sitio lista en primer lugar la página de inicio de la Casa Rosada ( www.casarosada.gov.ar ).

Esta clase de maniobra se basa en las técnicas de optimización de los motores de búsqueda o SEO (por sus siglas en inglés). El envenenamiento de SEO permite elevar artificialmente la posición de un sitio cuando se usan palabras o frases específicas en los buscadores.
Estafas y ataques

Así como se explota esta técnica con ánimo de burla o para operaciones políticas, los piratas pueden aprovecharla para estafar o atacar al usuario.

Así, elevan el ranking de sitios diseñados para infiltrar virus cuando el usuario busca información sobre el vuelo AF 447.

“Los resultados arrojados por las búsquedas sobre la tragedia del vuelo 447 de Air France muestran vínculos que, una vez abiertos, envían al usuario a varios sitios que, a su vez, llevan a descargar software antivirus falso”, explica Maximiliano Cittadini, t eam leader de Servicios de la compañía.

Si el usuario acepta el peligroso convite, obtiene un instalador que parece normal, pero que, en realidad, está cargado de artillería malintencionada. Su nombre es Install_2022.exe, y Trend Micro ha identificado en su interior el troyano Troj_FakeAV.bim . Si se lo ejecuta, como es posible que hagan muchos usuarios inadvertidos, el virus se conecta con una dirección de Internet de la que descarga un archivo consignado como Troj_Yektel.AA que, al ejecutarse, muestra los cuadros de diálogo para instalar un antivirus llamado Personal Antivirus.

Se trata de un software falso. Si la persona sigue adelante, termina encontrándose con que su PC está llena de infecciones. Estas son advertencias falsas, cuya única finalidad es la de inducir al asustado usuario a comprar una copia completa del antivirus que, por supuesto, tiene un costo.

El ataque es particularmente avieso, porque los sitios originales que aparecen en las búsquedas muestran información real sobre el vuelo 447 de Air France.

“Pero, a la vez, advierten a quien los visita acerca de una posible infección de virus en su equipo, que pone en riesgo la integridad del sistema”, describe Cittadini.
Escurridizos

Esta advertencia es, desde luego, el primer eslabón en una cadena de engaños. El ejecutivo agrega que, según sus propias observaciones sobre la evolución del ataque, desde el informe de Trend Micro al cierre de esta edición, el nombre del instalador ya había cambiado, lo que indicaría una nueva variante del mismo malware ; tal es el nombre que genéricamente se le asigna a todo software diseñado para causar daño, estafar o robar datos.

“Desde que se comunicó la situación en el blog de Trend Micro [http://blog.trendmicro.com], los motores de búsqueda han limpiado bastante los resultados”, dice Cittadini para explicar por qué hacia la tarde de ayer la aparición de estos sitios engañosos se habían reducido notablemente.

Sin embargo, nuevos intentos de aprovechar el interés del público por el destino del vuelo 447 podrían detectarse en los próximos días, después de este antecedente.

FUENTE

No es la primera vez (ni será la última) que en este Blog mencionamos herramientas gratuitas pero que el usuario termina pagando, sin saber la verdad. Este es el caso del rogue Antivirus Plus o Real Antivirus (que ESET NOD32 identifica como Win32/Adware.AntivirusPlus), que tiene todas las funcionalidades ya conocidas de los falsos antivirus, e incorpora algunas otras funciones para engañar al usuario.

Al terminar de instalarse en el sistema, puede verse que ofrece al usuario las siguiente herramientas, además de las clásicas opciones falsas para explorar el sistema:

Si se observa con cuidado podemos llegar a la siguiente conclusión: todas ellas son herramientas que se encuentran disponibles en el sistema operativo por defecto, sin siquiera instalarlas, y por supuesto en forma gratuita:

* Performance Monitor: es el monitor de rendimiento incorporado desde Windows XP en adelante. El comando para ejecutarlo, sin necesidad de instalar ni pagar nada, es “C:WINDOWSsystem32perfmon.msc”
* Computer Cleanup: es el liberador de espacio en disco, disponible desde hace tiempo en los sistemas Windows. Para ejecutarlo simplemente es necesario “C:WINDOWSsystem32cleanmgr.exe”
* Disk Defragmentation: es el defragmentador de disco. Su comando es “C:WINDOWSsystem32dfrg.msc”
* Computer Management: es el administrador del sistema. El comando es “C:WINDOWSsystem32compmgmt.msc”
* Disk Management: es el administrador de disco del sistema. El comando asociado es “C:WINDOWSsystem32diskmgmt.msc”
* Admistrative Tools: es un acceso directo a las herramientas que permite administrar el sistema
* System Service: es un acceso directo a los servicios del sistema
* Task Manager: sin palabras… es nuestro viejo amigo el administrador de tareas
* Las demás opciones por supuesto siguen el mismo patrón, pero para hacer limpieza del sistema

Este supuesto producto gratuito, si se desea utilizar, debe ser registrado por el módico precio de U$S 99.95 (en oferta):

Lo cual significa que abonaremos ese precio para acceder a las herramientas que ya tenemos instaladas en nuestro sistema operativo desde siempre.

FUENTE

PAntispyware09 y AV Antispyware, dos nuevos antivirus fraudulentos que infectan el equipo y muestran resultados de análisis falsos para que las víctimas paguen por una licencia.

Como se puede apreciar tienen un diseño similar (clones) y se diferencian únicamente en el nombre que el atacante (o los atacantes) decidieron ponerles. Por aquí puedes ver más ejemplos de antivirus fraudulentos.

Actualización: Extra Antivirus es un nuevo rogue similar a PAntispyware09 y AV Antispyware.

Estos programas pueden ser descargados desde sus respectivos sitios pero también pueden instalarse sin el consentimiento del usuario por medio de tácticas engañosas. Por ejemplo, se podría recibir un correo con un enlace a un supuesto video (video-angelina.exe) al descargarlo e intentar verlo podría abrirse una ventana del navegador que nos muestre un video cualquiera de YouTube, para disimular, mientras que en segundo plano el malware actúa en nuestro equipo con absoluta libertad.

La infección requiere la intervención del usuario en algún momento, ya sea descargando el malware desde su propia web o instalando aplicaciones de dudosa procedencia (warez, P2P, etc), es en este tipo de casos donde el sentido común es la mejor defensa.

FUENTE

Como habíamos adelantado en nuestro artículo “Waledac, el troyano enamorado“, los creadores de este malware han basado gran parte de su trabajo en la constante actualización de las técnicas de Ingeniería Social para infectar a los usuarios. Esto hace de Waledac una de las principales botnets que están siendo utilizadas en la actualidad.

En el día de la fecha, todos los dominios controlados por Waledac han modificado nuevamente su apariencia para corresponder con la nueva campaña de spam para propagar el malware. En este caso, muchos usuarios estarán recibiendo a partir de la fecha correos no deseados anunciando “un programa para leer SMS gratuito”.

El nuevo aspecto de los sitios web es el siguiente:

Nótese el cierre del texto para captar la atención de la víctima: “¡Este es un servicio extremadamente nuevo!”. Como en los casos anteriores, si el usuario descarga este supuesto programa, estará descargando un malware, detectado por ESET NOD32 como una variante de Win32/Waledac troyano.

Los nombres utilizados nuevamente varían para ser coherentes con la temática del sitio:

* free.exe
* freetrial.exe
* install.exe
* smsreader.exe
* setup.exe
* smsspy.exe
* sms.exe
* trial.exe

Sin embargo, cabe destacar que los dominios utilizados no mantienen todos la misma lógica: aunque fueron registrados nuevos dominios con las palabras “sms”, “spy”, y otras; los dominios anteriores se siguen utilizando según las técnicas utilizadas previamente, pudiendo ver la nueva interface en dominio con palabras como “love”, “cupon”, “song”, “news”, etc.

Claramente Waledac será una amenaza que estará latente por un buen tiempo, e independientemente de la protección que brinda el antivirus, es importante que los usuarios estén educados respecto a estas técnicas de infección.

FUENTE

Un lector nos informó nuevamente sobre un sitio web malicioso. En este caso se trata de un nuevo scam.

Los atacantes se aprovechan, una vez más, de aquellas cosas que atraen a las personas, como por ejemplo, leer conversaciones ajenas.

En este caso, el usuario llega a una página que ofrece al usuario la posibilidad de leer los mensajes de otros usuarios. Según la información de la portada, la página web es “el lugar en el que podrás descubrir todo lo que hablan tus amigos de MSN con otras personas“. Sólo que para ello, el usuario deberá brindar su cuenta de correo y su clave de acceso.

Si el usuario ingresa sus datos, no podrá observar ninguna conversación ni nada por el estilo. Sólo se trata de un engaño para obtener credenciales de acceso válidas.

Este tipo de engaños es muy frecuente, y su realización es muy simple. No es necesario ningún tipo de código malicioso ni programación avanzada. El atacante solo necesita armar el sitio web, y utilizar una técnica efectiva de Ingeniería Social.

En este momento, el ataque no es posible de realizarlo a través Mozilla Firefox y, si el usuario accede al sitio web con dicho navegador, observará una ventana como la siguiente:

Si se observa, la principal diferencia entre ambas imágenes es que en Firefox no aparece el formulario de ingreso de datos (en su lugar, aparece la nota resaltada en rojo en la imagen superior).

Si se analiza el código fuente, esto se debe a que el sitio contiene un iframe para insertar el formulario de robo de credenciales, desde otra URL:

Este formulario no es visualizado en Firefox, dado que los usuarios han denunciado la URL maliciosa, y la misma ha sido bloqueada por el navegador:

Estos casos pueden ser denunciados desde el propio navegador web, como lo explicamos en denunciar casos de phishing. La responsabilidad de realizar la denuncia permitirá, como en este caso, impedir que otros usuarios sean víctimas del ataque.

Nuevamente, les recordamos a los usuarios la importancia de cuidar sus claves de acceso, y no entregarlas en sitios web cuya reputación no es reconocida.

Actualización: Hemos denunciado el sitio en 110mb.com y ha sido dado de baja. Por lo tanto, tampoco es posible visualizar el formulario desde Internet Explorer:

FUENTE

Si Ud. viera un formulario como el siguiente, ¿ingresaría sus datos?

Si lo hace quiere decir que fue engañado y la información de su cuenta está en manos de un delincuente.

Si no lo hace, ¿lo haría aquí?

Como podemos ver el formulario es el mismo, el cual primero es alojado en un sitio determinado y luego insertado en diferentes perfiles de Blogspot para lograr un mayor engaño.

Esta serie de sitios basura, son creados por las mismas personas desde hace tiempo y evidentemente es un negocio muy rentable. Por favor, NO ingrese su datos.

FUENTE

En el día de hoy hemos detectado una nueva campaña para engañar e infectar usuarios: se trata de correos y sitios web en donde se ofrece la posibilidad de enviar mensajes SMS en forma gratuita:

Por supuesto se trata de un engaño. Supuestamente para utilizar la herramienta se debe descargar una aplicación para actualizar Java, pero en realidad se termina descargando el archivo Java_update.exe que es un programa dañino detectado como Win32/IRCBot.ALD por ESET NOD32.

Lamentablemente en la actualidad este tipo de prácticas son muy comunes por parte de las personas que buscan infectarnos ya que muchas veces nos dejamos llevar por las palabras Gratis o Free, sin pensar en las consecuencias que ello puede acarrear.

FUENTE

En los últimos días ha aparecido un nuevo rogue que simula ser una conocida aplicación antispyware como lo es Spybot Search & Destroy. Como la mayoría de los rogue actuales, esta aplicación dañina es promocionada a través de un sitio web adornado con
animaciones de calidad realizadas en Flash, para intentar hacer más confiable el sitio:

Desde esta página se puede descargar el archivo SearchAndDestroy.exe que ESET NOD32 detecta como Win32/Adware.MSAntispyware2009.

Luego de instalarla, la aplicación realiza la exploración del sistema e informa de supuestos daños en el registro de Windows y, si se intenta repararlo, se informa que se debe registrar la aplicación, con el correspondiente pago de U$S 29,95 dolares en este caso:

En este “detalle” se encuentra la estafa, ya que posterior al pago, no se recibirán más noticias del sitio web y por supuesto se habrá perdido el dinero.

FUENTE

El e-mail contiene links a archivos llamados ´BarackObama.exe´. Este archivo es un Trojan Downloader.

Websense Security Labs ThreatSeeker Network ha descubierto que los creadores de los puertos maliciosos están aprovechando los recientemente anunciados resultados de las elecciones presidenciales de 2008, y se están empezando a enviar e-mails maliciosos como cebo prometiendo enseñar en un video una entrevista con los consejeros del recién elegido presidente de Estados Unidos.

Sobre la ejecución de los archivos llamados system.exe y firewall.exe entran dentro del directorio de sistemas. Un kit de phishing se abre localmente, y los archivos que han entrado saltan para arrancar. Los archivos del host también se modifican.

FUENTE

En el día de hoy hemos recibido en nuestro foro un correo (que ha sido rechazado) con la conocida estafa de las pirámides de dinero en donde una persona supuestamente puede hacerse millonario en forma rápida, “fácil, legal y honesta”:

Este tipo de estafas ha sido muy conocida en el pasado ya que se realizaba con cartas y en este momento se ha comenzado (nuevamente) a propagar por distintos sitios de internet, en lista de correos y foros. Se puede encontrar mucha información sobre este tipo de timos desde 1920 cuando se comenzó a hacer conocido por su creador Ponzi (un conocido estafador italiano) y se basa en creer en una pirámide dinero, que jamás termina de completarse y que sólo beneficia a sus creadores (los estafadores).

En este correo puede verse todas las instrucciones necesarias para llevar adelante esta pirámide y convertirse en un supuesto millonario. También pueden verse las instrucciones para propagar el correo en nuevas listas, foros y grupos con “asuntos tentadores” para hacer caer más víctimas.

Justamente ayer en un congreso y explicando el funcionamiento del scam, comentaba que resulta curioso la cantidad de estas estafas en español que han estado apareciendo en los últimos meses, de las cuales en Segu-Info tenemos muchos ejemplos. En ese momento alguien me comentó que quizás este “fenómeno” esté relacionado con el momento de crisis mundial en el que nos encontramos insertos y la necesidad de dinero rápido que es normal que aparezca en estas circunstancias.

Sea eso cierto o no, por supuesto este tipo de correos son una estafa que es llevada adelante por delincuentes que se aprovechan de la ambición de los usuarios. No responda esos correos ni envíen dinero. Como dice al final del correo, esto no es un proverbio chino sino un cuento chino.

FUENTE