Nuestro Laboratorio acaba de hallar una nueva amenaza que simula ser una actualización de Microsoft pero que en realidad se trata de un troyano que ESET NOD32 detecta como TrojanDownloader.FakeAlert.CV.

La descarga de este troyano se ofrece a través de falsos perfiles de MySpace, los cuales se encuentran activos al momento de escribir el presente:

Si cometemos el error de descargar este archivo, resultararemos infectados con el troyano mencionado.

Para ver más claramente que este perfil en realidad es un engaño podemos abrir el código fuente de la página, en donde se hace referencia a la imágen de la supuesta actualización:

Nota: la imagen no representa ninguna amenaza.

En cambio, al descargar el archivo ejecutable puede comprobarse que en realidad la ubicación es un servidor FTP, ubicado en China, en donde además existen otras variantes del mismo troyano:

Puede observarse también la fecha y la hora de publicación de estos troyanos, los cuales son muy recientes.

Desde ESET no descartamos que pronto aparezcan otros sitios conteniendo el mismo tipo de engaño o alguno similar, por lo que la navegación utilizando el sentido común en estos días es fundamental. No confíe en cualquier sitio e intente pensar que quizás lo que le ofrecen, pueden ser un engaño.

FUENTE

Se han reportado múltiples vulnerabilidades en varios controles ActiveX relacionados con populares sitios. Los controles utilizados por Facebook y MySpace, por ejemplo, pueden ser fácilmente comprometidos por un atacante para la descarga de código malicioso en la computadora de la víctima.

Estos controles son utilizados (por ejemplo por los usuarios de MySpace y FaceBook), para subir imágenes a sus páginas.

Los primeros informes surgieron la pasada semana, y el domingo una nueva vulnerabilidad era reportada por el mismo investigador que dio la primera alerta. El nuevo control ActiveX vulnerable, es escrito y distribuido por Aurigma Imaging Technology.

Las restantes vulnerabilidades afectan controles ActiveX utilizados por Yahoo!, Jukebox MediaGrid (Yahoo! Music Jukebox), y DataGrid.

Hasta el momento, son seis las vulnerabilidades del tipo desbordamiento de búfer, que afectan a una serie de controles ActiveX de amplia distribución.

Se conoce por lo menos un exploit, publicado el 3/02/08. Estas vulnerabilidades pueden ser utilizadas para ejecutar código en los equipos de los usuarios que visiten aquellos sitios que los utilicen.

Lo que más preocupa, es la amplia distribución de estos controles, por lo que cualquier exploit que saque provecho de esto para propagar algún malware, podría ser un botín muy apetecible para los creadores de código malicioso.

La protección sugerida por el momento, es aplicar el “kill bit” a los identificadores de dichos controles, es decir, marcarlos en el registro de Windows para que no puedan ejecutarse (vea más información sobre este tema al final de este artículo).

Los siguientes identificadores de clase (CLSID) identifican los ActiveX que se sabe son vulnerables:

Aurigma (‘ImageUploader4.ocx’)
Aurigma ImageUploader4 4.6.17.0
Aurigma ImageUploader4 4.5.70.0
Aurigma ImageUploader4 4.5.126.0

* {6E5E167B-1566-4316-B27F-0DDAB3484CF7}

Aurigma (‘ImageUploader5′)
Aurigma ImageUploader5 5.0.10.0

* {BA162249-F2C5-4851-8ADC-FC58CB424243}

FaceBook PhotoUploader 4.5.57.0

* {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0}

Yahoo! MediaGrid

* {22FD7C0A-850C-4A53-9821-0B0915C96139}

Yahoo! DataGrid

* {5F810AFC-BB5F-4416-BE63-E01DD117BD6C}

MySpaceUploader.ocx version 1.0.0.4

* {48DD0448-9209-4F81-9F6D-D83562940134}

Para aplicar el kill-bit a dichos controles, descargue y ejecute el siguiente archivo .REG para modificar el registro:

http://www.videosoft.net.uy/myspace-yahoo-uploader-killbit.reg

Si por alguna razón quisiera deshacer los cambios hechos, solo descargue y ejecute el siguiente archivo:

http://www.videosoft.net.uy/myspace-yahoo-uploader-killbit-normal.reg

Sobre el “Kill Bit”

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

En el registro de Windows, si vemos la sección “HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility”, nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000000-5eb9-11d5-9d45-009027c14662}.

En cada clave existe un valor llamado “Compatibility Flags”. Cuando este valor es equivalente a “1024″, se evita que ese control se instale o ejecute (no saldrán ventanas con opciones ni habrá que preocuparse más de que se nos instale el software relacionado al visitar una página, etc.).

FUENTE

Al acceder a un determinado perfil de usuario en MySpace, surge una ventana emergente que simula ser una actualización de Microsoft, pero si el usuario la acepta y la descarga, su PC terminará infectado.

Los sitios sociales, como MySpace de Google, una comunidad en línea que permite compartir imágenes y cualquier otra clase de información de interés común con amigos y conocidos, son un blanco muy apetecible para los ciberdelincuentes, quienes siempre buscan la manera de obtener provecho de la inocencia de muchos desprevenidos internautas.

Casos como éste, deben hacernos cada vez más conscientes del peligro que estos sitios representan, no por si mismos, sino por el contenido que pueden ofrecer.

Utilizando un perfil de MySpace que ha sido comprometido de alguna manera, los malhechores intentan engañar a sus víctimas para que descarguen un troyano disfrazado en este caso (irónicamente), como la herramienta de limpieza de códigos maliciosos de Microsoft.

Cuando las personas acceden a la página, lo que parece ser una ventana emergente, solicita al usuario la descarga de la utilidad de Microsoft. Sin embargo, la imagen es falsa, y ocupa toda la ventana del navegador, de modo que sin importar donde se haga clic, se comienza la descarga y ejecución del malware, un troyano del tipo downloader que descargará y ejecutará otros códigos maliciosos.

El archivo descargado tiene el nombre de UPDATEKB890830.EXE, y el enlace muestra un sitio que simula ser de Microsoft, ya que agrega “winxpupdate.Microsoft” en su nombre (pero que no es Microsoft.com).

Microsoft y Google han sido avisados, y al momento se desconoce si la página del perfil afectado fue hackeada utilizando alguna vulnerabilidad desconocida en MySpace, o si fue tomada por medio de la ingeniería social.

Sitios como MySpace utilizan una serie de herramientas de creación Web, que podrían ser comprometidas de alguna manera por los delincuentes.

En este caso, el perfil pertenece a una mujer de 42 años nativa de Arkansas llamada “Rita” -que tal vez ni siquiera exista-. Es posible incluso, que el mismo haya sido creado especialmente para esta clase de ataque. Podrían haber muchas otras páginas de otros perfiles en las mismas condiciones.

A principios de octubre pasado, el mismo truco fue utilizado con una página diferente, perteneciente a alguien llamada “Nancy”. El nombre del ejecutable y las características del engaño (falsa actualización de Microsoft, ventana emergente simulada en una imagen más grande, etc.), eran exactamente las mismas.

Podrían haber existido muchos otros casos que no fueron reportados.

Mientras más sofisticados y más opciones se hacen disponibles en estos sitios que forman parte de extensas redes sociales, más oportunidades aparecen a los ojos de los atacantes para propagar sus códigos, y hacerse del control de más equipos, aumentando sus oportunidades de obtener grandes ganancias con otras clases de ataques generados a partir de allí.

Por el momento la página está todavía disponible en el sitio de MySpace.

FUENTE

Nuestro Laboratorio ha tenido un día agitado debido a que MySpace está siendo masivamente explotado como recurso y pretexto para infectar usuarios. El primero y más de los casos se debe a la propagación de malware vía MSN como técnica para propagar un troyano. En este caso se trata de una invitación a descargar un archivo comprimido denominado myspace.zip que contiene el archivo Image-006.JPEG_www.myspace.com detectado como IRCBot por ESET NOD32.

Pero, el caso más peculiar que nos ocupa es la creación de sitios web falsos y procedentes de China en donde se simula ser el perfil sitio web de un usuario de MySpace para lograr que otro usuario inocente ingrese al mismo y descargue en forma automática y sin su intervención un troyano downloader que descargará otros malware en el equipo ya infectado.

El funcionamiento es el siguiente:

* A través de la posibilidad de ver los perfiles de ciertos usuarios de MySpace se simula ser uno de estos usuarios.
* La URL creada por el atacante es similar a las verdaderas de Myspace pero generalmente el dominio apunta a sitios chinos creados para alojar malware.

# El usuario engañado creyendo que verá el perfil de otro usuario, ingresa (haciendo clic) a la dirección falsa.
# Este sitio contiene un script ofuscado que se ejecuta en el equipo del usuario y descarga un archivo dañino que se ejecuta automáticamente infectando el sistema. Esta descarga y ejecución automática se logran a través de la explotación de fallos en el navegador o aplicaciones que el usuario no ha parcheado.

En este caso los troyanos descargados son detectados por la heurística avanzada de ESET NOD32, logrando la protección del usuario desde incluso antes que este vector de ataque sea conocido por nuestro laboratorio.

Como puede verse la falta de prevención por parte del usuario tiene diferentes facetas como:

1. No verificar una dirección web puede hacer que ingrese a un sitio falso.
2. No actualizar las aplicaciones puede ser que se descarguen archivos dañinos automáticamente a su sistema sin su intervención.
3. No utilizar un antivirus con capacidades proactivas puede hacer que se infecte.

FUENTE