Los expertos de los laboratorios de seguridad de G Data advierten sobre la circulación en Internet en los últimos días de una actualización falsa del popular Adobe Flash Player.

El método al que recurren los cibercriminales es particularmente descarado: al buscar en los motores de búsqueda el término “flash player”, los usuarios encontrarán en primera posición un enlace directo a un sitio web que dice albergar una actualización para el popular reproductor, pero que en realidad se trata de la familia de malware Win32:Agent.

El peligro se agrava al poder confundirse con el lanzamiento de la versión 10 de Flash Player anunciada hace escasos días por Adobe, versión que, entre otras cosas, soluciona agujeros de seguridad de versiones anteriores. Por ello, la demanda actual de los usuarios es bastante alta, lo que puede provocar que muchos de ellos accedan al enlace fraudulento a través de Google, en lugar de a la actualización legítima de Adobe.

El método de los atacantes es sencillo y efectivo: gracias a anuncios específicos contratados en Google Ads, el sitio web trampa encabeza el ranking, mientras que el sitio web oficial de Adobe Flash Player cae varias posiciones por debajo. Muchas víctimas potenciales harán click probablemente en el primer resultado sin desconfiar, cayendo directamente en manos de los atacantes.

En consecuencia, los expertos de los laboratorios de seguridad de G Data recomiendan llevar a cabo dichas actualizaciones exclusivamente a través de los sitios web oficiales del fabricante y tomar otras precauciones adicionales en sus PC, tales como utilizar un filtro web capaz de detectar y bloquear el contenido malicioso antes de que produzca daño alguno.

FUENTE

Los hackers están tratando de engañar a la gente para que descargue software malicioso etiquetado como Flash Player de Adobe Systems, lo que ha generado una alerta de parte de la compañía.

Adobe le está advirtiendo a los usuarios que ignoren vínculos en sitios de redes sociales que llevan a otros sitios Web que supuestamente alojan Flash Player, pero en realidad esos sitios tienen software malicioso.

“Si la descarga es un URL o una dirección IP no familiar, debería sospechar”, dijo la advertencia de Adobe.

El malware etiquetado como el software legítimo es una táctica de vieja ingeniería social. Pero dado el amplio uso del Flash en sitios Web, la mayoría de la gente ha instalado el Flash Player para desplegar el contenido.

Adobe también ha actualizado el Flash Player varias veces este año debido a otros asuntos de seguridad, así que no parece ser una sorpresa ver un mensaje de actualización, aunque sea una falsa. La actual versión es la 9.0.124.0.

Adobe dijo que el Flash Player disponible en la Web está firmado digitalmente y validado para el sistema operativo Windows durante la instalación. Los usuarios también pueden verificar que el instalador del Flash Player es legítimo al darle click derecho en él, seleccionando “propiedades” y yendo a la pestaña “firmas digitales, debería decir que el publicador es “Adobe Systems, Incorporated.”

El vendedor de seguridad Kaspersky Lab escribió el lunes que el sitio de micro blog Twitter estaba siendo usado por atacantes que usaban la artimaña del Flash Player.
Un perfil que fue creado en lenguaje portugués que incluía un vínculo a un video que, si se le hacía click, comenzaba a descargar lo que se suponía era el Flash Player. En su lugar, diez variedades de malware que roban información relacionada con bancos bajaba a la PC.

FUENTE

La última actualización de XP se está ofreciendo con una versión ya descatalogada del Flash Player de Adobe que es vulnerable a ataques que aún están operativos, según la información de soporte de la propia Microsoft.

Windows XP SP3 incluye Flash Player 9.0.115.0, una versión lanzada por Adobe en diciembre de 2007. Esta versión de Flash Player fue sustituida por la 9.0.124.0 el 8 de abril, casi dos semanas antes de que Microsoft decidiera dar por concluido el SP3 y lo diese en versión RTM para su distribución.

La versión que va con el SP3 tiene un error que los crackers han estado aprovechando desde la semana pasada; y por eso es por lo que algunas empresas de seguridad pudieron dar la voz de alarma.

Adobe ha confirmado que este agujero sigue siendo vulnerable a ataques actuales que están produciéndose desde servidores chinos. Los usuarios se vieron atacados después de visitar sitios Web legítimos que habían sido crackeados utilizando el ataque conocido como inyección SQL.

Los usuarios que tengan instalado el SP3 de XP pueden conocer la versión del Flash Player que tienen en esta página. Adobe recomienda a sus usuarios que actualicen a la versión 9.0.124.0.

FUENTE

Según reportes recientes, la vulnerabilidad explotada en Flash Player de la que ayer informábamos, no sería un problema para usuarios que estuvieran instalada la última versión del programa en sus navegadores (al momento de este artículo, sería la 9.0.124.0).

La vulnerabilidad está siendo explotada por sitios maliciosos y es provocada por un desbordamiento de búfer. El ataque puede producirse por la simple visita a un sitio web que contenga un archivo flash malicioso.

Los últimos reportes confirman que el exploit se encuentra activo en varios sitios chinos. Estas páginas, luego de utilizar la vulnerabilidad en Flash, descargan diferentes clases de malware en los equipos de los usuarios.

Utilizando otros exploits, como los empleados para la inyección de código SQL en sitios Web vulnerables a ese tipo de ataque, los usuarios pueden ser redirigidos a las páginas que aprovechen la vulnerabilidad en Flash Player para infectarlos.

Se calcula como muy grande la cantidad de páginas web propensas a este tipo de ataque, haciendo que esta vulnerabilidad sea muy peligrosa.

Si la ejecución de código falla, de todos modos podría provocarse una condición de denegación de servicio (DoS), dejando de responder el programa asociado (por ejemplo Internet Explorer), o incluso Windows.

Se ha publicado información detallada sobre la técnica requerida para explotar esta vulnerabilidad, además de una prueba de concepto.

Se aconseja la inmediata actualización a la versión de Flash Player más reciente (al momento de este artículo, la 9.0.124.0).

No son vulnerables los usuarios que utilicen los siguientes productos y versiones en sus navegadores:

- Adobe Flash Professional 8 8.0.42.0
- Adobe Flash Player Plugin 9.0.124.0
- Adobe Flash Basic 8.0.42.0
- Adobe AIR 1.01

Podrían ser vulnerables las versiones independientes del reproductor, pero no lo son las que se instalan como plugins o complementos en navegadores como Internet Explorer o Firefox.

Adobe Flash Player es un reproductor multimedia de archivos SWF (películas en Flash), FLV (Flash Video) y otros. Este tipo de archivos, incluye audio, video y metadatos, incluidos scripts.

FUENTE

En la noche de ayer las casillas de nuestro Laboratorio se vieron invadidas de correos con supuestas postales en idioma portugués y seguramente provenientes de Brasil.

El correo hace mención al ya acostumbrado cuento de la tarjeta que espera nuestra visita en un sitio web para ser visualizada:

Al ingresar al sitio web, se menciona que nuestra versión de Flash Player debe ser actualizada para ver la supuesta postal:

Cualquier botón que se presione vuelve a insistir en la descarga de la actualización:

Por supuesto esto se trata del típico engaño en donde se termina descargando un troyano downloader que ESET NOD32 detecta como TrojanDownloader.Banload.NXX.

Lo curioso de este caso es que este downloader descarga otros troyanos bancarios desde cuatro diferentes sitios web y los copia como:

* X:\windows\system\IEXPLORERS.cmd (donde X es la unidad del sistema)
* X:\windows\eguis.cmd
* X:\windows\system\brcc.cmd
* X:\windows\system\libmysql41.dll
* X:\windows\system\IEXPLORERS.EXE
* X:\windows\system\IEXPLORERS.cmd

Al realizar el análisis de los troyanos descargados nos encontramos que ESET NOD32 los detecta como Delf.NKP y Delf.NKQ siendo casi uno de los pocos antivirus que detecta las tres amenazas.

Como siempre es fundamental no creer todo lo que se ve y lee en cualquier correo electrónico y mucho menos si ellos ofrecen descargar otros archivos. En este caso una supuesta actualización de Flash Player puede ser la entrada de tres tipos de troyanos diferentes.

FUENTE