ESET, proveedor global de soluciones de seguridad, anuncia el lanzamiento de su nuevo Centro de amenazas con el objetivo de ofrecer una valiosa fuente de herramientas para conocer las últimas novedades en seguridad informática. Con esta iniciativa, ESET pretende continuar con su aporte a la circulación pública de información confiable y de primera línea sobre el universo de los códigos maliciosos, así como a la educación de los usuarios en seguridad en Internet.

Con el actual panorama de malware cada vez más complejo y la constante evolución de las técnicas de ataque a los usuarios de Internet, la información y capacitación en seguridad constituyen piezas fundamentales para prevenir ser víctimas de los ciberdelincuentes. En este sentido, el nuevo Centro de amenazas en línea ofrece múltiples recursos entre los que se destacan:

• Artículos y whitepapers: ESET Latinoamérica realiza periódicamente nuevos artículos e informes técnicos en los que se analizan las últimas tendencias de seguridad informática en América Latina a los que el público puede acceder libremente
• Recursos multimedia: son los videos educativos y podcast que ofrecen información actualizada y explicaciones acerca del funcionamiento de diversas técnicas y tipos de malware de relevancia actual en Internet. Los recursos multimedia de ESET Latinoamérica son un complemento ilustrativo, dinámico y didáctico que permite a los usuarios profundizar su conocimiento acerca de complejas amenazas informáticas
• Estadísticas de malware: es el top 10 de los principales códigos maliciosos del mes, según el porcentaje mundial de detecciones registrados por ThreatSense.Net, el sistema de Alerta Temprana de ESET
• Descripción de tipos de amenazas: se incluye la clasificación y definición de códigos maliciosos además de detalles sobre su funcionamiento y principales acciones maliciosas
• Consejos: en esta sección, el Departamento de Educación de ESET Latinoamérica ofrece una serie de consejos para la prevención de los más recientes ataques informáticos.

Además, visitando el Centro de amenazas, los usuarios podrán acceder a las últimas novedades y noticias de ESET Latinoamérica.

“Nuestra intención con el nuevo Centro de amenazas de ESET es ofrecer al público información de relevancia para conocer el panorama actual con respecto a las amenazas informáticas y poder hacer un uso seguro de los recursos de Internet”, dijo Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica. “El nuevo Centro de Amenazas de ESET Latinoamérica responde a la necesidad de que todos los usuarios, sin importar su nivel de conocimiento técnico, puedan capacitarse en seguridad informática y acceder a la información más completa desde un único sitio”, concluyó Borghello.

El Centro de amenazas de ESET presenta además un nuevo diseño amigable para los usuarios, que facilita un acceso rápido a todos los recursos disponibles para la información y educación en seguridad informática.

Para más información, puede visitar el nuevo Centro de amenazas de ESET:
http://www.eset-la.com/centro-amenazas/

“Con el compromiso de garantizar la más alta protección a los usuarios, en ESET trabajamos constantemente por optimizar nuestras soluciones de seguridad según las necesidades de nuestros clientes y demandas del ambiente informático en constante evolución. Junto con ello, consideramos que es fundamental contribuir con información y herramientas para la educación y capacitación de todos los usuarios en seguridad informática”, dijo Ignacio Sbampato, Vicepresidente de ESET Latinoamérica.

Fuente: ESET

En la lista de correo de Ciberderecho reenviaron un correo que le llego a uno de los suscriptores que contenía el siguiente mensaje:

From: “Pagos Fibertel” [cobros2009@fibertel.com.ar]
To: ***********@fibertel.com.ar
Sent: Friday, June 12, 2009 12:55 AM
Subject: Problema con el cobro

Estimado Cliente/a.

Le comunicamos que debido a un problema en nuestro sistema de Cobros.
No ha sido posible realizar el cobro de los servicios del mes de Mayo
Debido a este inconveniente le solicitamos que verifique los datos de Facturación

Clique aqui para verificar sus datos.

Si Ud. ignora este correo y prefiere no verificar sus datos.
Procederemos a la suspensión de su Servicio.

Atte.

En este correo se le solicita al usuario que ingrese a una web supuestamente de Fibertel para verificar sus datos, la misma contiene un simple formulario para ser completado con la información de una tarjeta de crédito/debito.

http://208.98.**2.**3/~maverick/fibertel/

Lo raro o interesante de este caso es que el sitio está siendo alojado en servidores de Datafull.org, que nada tienen que ver con la empresa de 4k. Esta gente tiempo atrás se decía que habría estado relacionada con los ataques DDoS a empresas como Dattatec, ElServer, etc. Y son los mismos que ofrecen “soluciones” y “protección” contra este tipo de ataques. ¿Habrán sido víctimas de un ataque? da que pensar, sino ¿cómo pueden haber llegado ahí esos archivos del ataque de phishing?

Estas personas estarían relacionadas también con los sitios:
quienteadmite.com
borrado.net
sharktech.net

Este tipo de mensajes o avisos no se deben tener en cuenta, si hay errores en un pago la empresa seguramente se comunicara telefónicamente con usted y siempre podrá solucionarse cualquier inconveniente personalmente en una de sus sucursales. Es importante no ingresar a este tipo de sitios, uno puede ser infectado fácilmente con solo visitarlo.

WebAir es una empresa de web hosting que, si bien cumple con las “tres B” (Bueno, Bonito, Barato) se queda muy atrás en lo que concierne a seguridad de sus servidores. Es por eso que no es raro escuchar a sus usuarios quejarse de haber sido “hackeados” o que sus sitios ahora se encuentran propagando malware (virus) o están siendo utilizados en algún tipo de estafa online.

Yuu, un amigo que aloja sus sitios y algunos de sus clientes, se encontró un día con que un grupo de jóvenes brasileros estaban usando uno de sus dominios para robar información de usuarios de Orkut y los bancos Caixa Econômica Federal y Bradesco.

Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) y descargar un troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut (red social MUY popular en Brasil), Caixa Federal, Bradesco y algunas herramientas en PHP (c99shell, r57, etc.) comúnmente utilizadas para cometer este tipo de travesuras. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del SPAM.

Phishing en Orkut

El robo de datos de Orkut se cometia invitando al usuario a visitar una comunidad de “TOP | Gatos e Gatas | VIP” (gente bonita ). Una vez ingresados los datos en la web falsa, los mismos eran enviados a una casilla de correo de Gmail y a posteriori se redireccionaba al usuario a la comunidad antes mencionada.

// Configuracao de variaveis:
$mailto = “e noisxx”;
$mailtoaddr = “so.alegriass@gmail.com”;
$subject = “/”;
$redirectpage = “http://www.orkut.com/Community.aspx?cmm=5554597″;

Phishing Caixa Econômica Federal

Para este banco el usuario es llevado hacia una copia de la web del banco en donde el único enlace funcional es el de la imagen que nos permite acceder a la banca en línea, obviamente también parte de la misma treta.

Los datos obtenidos son almacenados en archivos en texto plano cuyo nombre se corresponde con la fecha y hora del ingreso de la víctima.

$today = date(“d-M-Y-H-i-s”);
$myFile = “../arquivos/” . $today.”.txt”;

Esta información es enviada además via email a la dirección dos casillas de correo de Gmail luego redirecciona a una página de error.

$para = “so.alegriass@gmail.com, rcricardonb1@gmail.com”;
$assunto = “CaixaNew [ ". $ip_usuario. " ] “;

Phishing Bradesco

La otra entidad bancaria afectada es Bradesco, en este caso el ataque va mucho mas allá debido a que no solo solicita la información de acceso a la banca sino también los datos completos de la tarjeta de coordenadas necesaria para realizar operaciones en línea con este banco.

Una vez completados los datos son guardados y enviados por correo como en el caso anterior de Caixa Federal.
$today = date(“d-M-Y-H-i-s”);
$myFile = “../arquivos/” . $today.”.txt”;

$para = “so.alegriass@gmail.com”;
$assunto = “XDEXCO – “. $ip_usuario. ” – “. $today;
$boundary = strtotime(‘NOW’);
$headers = “From: XDESCO \r\n”;
$headers .= “De: XDESCO \r\n”;
$headers .= “To: $para <$para>\r\n”;

Las entidades han sido informadas ya para que tomen las medidas que crean necesarias. Uno de los correos utilizados en estos scripts me llevo a lo que sería un posible perfil del atacante en Orkut (¿qué brasilero no tiene Orkut ?), de todas maneras no es nada seguro, pero a juzgar por los comentarios dejados por algunas personas este individuo también tiene la costumbre de distribuir malware a sus contactos como supuestos cheaters o bots para juegos.

CommonCraft, empresa que se ha destacado mucho últimamente por realizar videos explicativos utilizando términos y ejemplos muy simples; ha realizado un video sobre estafas en línea o normalmente llamadas “Phishing Scams“. Vi que estaba en DotSub.com pero sin subtitulo en español, así que me hice un tiempito y subí este subtitulo faltante. Les dejo el video y espero que les sea de utilidad.

Vía | http://www.commoncraft.com/phishing

En estos últimos días muchas hemos recibido mensajes en ingles en donde un individuo nos hace saber su interés por adquirir uno de nuestros dominios, el mensaje es como el siguiente:

I am interested in purchasing your web site SU-DOMINIO.com . If you would like to sell it send me your phone number to call you.
I have cash to buy today!

Thank you.

, a simple vista y siendo muy paranoico y desconfiado , lo que podemos pensar es que se trata de un timo o estafa, con solo realizar una búsqueda en Google vamos a encontrarnos con decenas de mensajes parecidos y con diferentes remitentes. Hay que a tener mucho cuidado con este tipo de propuestas, así como las solicitudes de appraisal y la compra de enlaces, uno puede terminar siendo mulero de algún phisher.

Enlaces relacionados:

Compra de sitios (raro)
http://www.forodewebmasters.com/foro/showthread.php?t=4770

Possible scam on domains and sites
http://selfmademinds.com/200806/possible-scam-on-domains-and-sites/

Hey Rexanne, I’m on to you!
http://domainnamewire.com/2008/06/05/hey-rexanne-im-on-to-you/

Domain Buying Scam?
http://www.geeked.info/domain-buying-scam/

Possible Domain Appraisal Scam
http://selfmademinds.com/200803/domain-appraisal-scam/

Luego de ver esta noticia en LaFlecha.net, me quede pensando en la siguiente frase del mismo:

“…hacían transferencias no consentidas a cuentas externas…”

Si ese fuese el gran problema, ¿qué sucedería si un malware determinado le mostrara una ventana al usuario con un extenso texto detallando un contrato o “Términos y condiciones de uso” del software?, en el que se especificara que se hará uso de los datos registrados en el sistema y se transferirá dinero a otras cuentas bancarias. Creo que la mayoría haría clic en “Acepto” por inercia, la gran mayoría no lee los contratos o texto de condiciones de uso de cierto servicio, solo acepta ciegamente.

Ahora bien, la pregunta del millón, los atacantes/phishers con presentar el listado de los usuarios que aceptaran ese contrato ¿estarían “salvados” ante la ley?, en el caso obvio de que solo se utilizara la información de aquellos que accedieron a ser estafados.

Fue algo que me vino a la mente en un momento, puede parecer una tontería, pero nunca se sabe lo que podemos esperar de estos individuos. Además, si lo piensan bien, todos los que utilizan Gmail, han accedido a ser espiados y a dejar toda la información contenida en los correos a disposición del tercero que a Google le apetezca.

Symantec ha hecho publíca la noticia de que el troyano Infostealer.Monstres habría estado robando información sensible (1) del portal de empleos Monster.com.

El funcionamiento del troyano consistía en realizar conexiones hacia la web de Monster.com y así realizar búsquedas laborales utilizando credenciales de empresas empleadoras (2). La comunicación con la web en cuestión era realizada a través de subdominios dedicados a personas/empresas que pagan por el servicio de búsqueda de candidatos apuestos de trabajo.

Dicho servicio, puede ser accedido mediante un pago periódico y en algunos casos está limitado en la cantidad de consultas que pueden ser realizadas, por lo que nos hace suponer que para llegar al 1.6 millón de datos que según Symantec han sido extraídos, deberían de haber utilizado los datos de acceso de empresas que han contratado el servicio semestral o anual, los cuales no tienen límites de consultas.

Symantec también resalta la similitud entre Infostealer.Monstres y Trojan.Gpcoder.E, ambos utilizan un mismo archivo e icono, similar al de la compañía Monster.com, lo que daría a suponer que un mismo grupo de individuos estaría detrás de ambos troyanos.

Además, Trojan.Gpcoder.E, ha estado utilizando datos reales en correos no deseados (SPAM), lo que ha dado como resultado en un excelente ataque de phishing.

Algunos medios informaron erróneamente que el ataque había sido hacia la web de Monster.com y utilizando cuentas de empleados (3) de dicha empresa, cuando en realidad fueron cuentas de empleadores y el ataque lo sufrieron los usuarios de la web y no un servidor como se pretendía dar a entender.

Enlaces relacionados:

Roban los datos personales de miles de usuarios del portal de empleo Monster:

http://www.20minutos.es/noticia/268597/0/robo/datos/moster/

Monster attack steals user data

http://news.bbc.co.uk/2/hi/technology/6956349.stm

A Monster Trojan

http://www.symantec.com/enterprise/security_response/weblog/2007/08/a_monster_trojan.html

Los datos de miles de usuarios de Monster.com desvelados

http://www.hispamp3.com/noticias/noticia.php?noticia=20070822081824

(1) Según la empresa Monster.com, la información extraída no sería considerada por ellos de alta sensibilidad, alegando que es la misma que puede ser sacada de un listado telefónico.

(2) Dichas cuentas puede haber sido robadas haciendo uso del troyano en cuestión o también creadas por los mismos atacantes, la relación costo beneficio es muy conveniente, el acceso semestral tiene un costo de €4,999 y si hacemos uso de una buena red zombie en pocos días se puede lograr lo que Symantec ha reportado, es decir miles de equipos realizando consultas y enviando la información a los atacantes.

(3) Employers, del inglés Empleador, no Empleado como asumió el diario 20minutos.es.

# Martin Aberastegue
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática

Via SecurityFocus me enteraba de un error de diseño en Opera, mi navegador favorito. Y mirando bien, el error aunque un poco tonto, puede prestarse para mucha confusion. En si el problema radicaria en que Opera, al mostrar el recuadro de dialogo de autentificacion (HTTP Basic Authentication) corta los caracteres correspondientes al nombre de dominio al cual se pretende ingresar.

Por ejemplo, al ingresar a la URL:
securelogin.profiles.microsoft.com.testing.bitsploit.de
, Opera corta el nombre del dominio y solo muestra en los datos del servidor:
securelogin.profiles.microsoft.com…
Imagen de ejemplo (extraida de Kriptopolis.org) :

Como pueden ver, facilmente uno podria llegar a pensar de que estamos ingresando a un subdominio de Microsoft.

Bueno hasta aqui lo publicado por la gente de THW; pero que sucede si ademas personalizamos un poco el mensaje mostrado por el navegador, en el caso anterior es: “Do you like phishing?” (¿Te gusta el phishing?). Si agregamos unos caracteres como por ejemplo un TAB horizontal (x09), lograremos algo asi:

en Opera:

en Firefox:

en Internet Explorer:

En el caso de Firefox e Internet Explorer, se han agregado algunos caracteres mas, porque estos navegadores no limitan bien el largo del mensaje, asi que podemos ayudar a nuestra “estafa” utilizando un poco mas de ingenieria social en el texto del mensaje. Si bien en Firefox al final del mismo muestra la URL completa, por lo general la gente suele tender a no leer todo lo que se le muestra en pantalla, y posiblemente solo se quede con las palabras “CAJA MADRID” y “ACCESO SEGURO” en mente. En la barra de titulo de la ventana mostrada en Internet Explorer, se puede ver tambien que el nombre del dominio es recortado, lo que vendria a ser un “equivalente” al error de diseño en Opera, aunque si posamos el mouse sobre dicha barra se nos mostrara un aviso con la URL completa a la cual estamos intentando acceder. Ver captura.

Este articulo, lo unico que pretende es demostrar que ningun navegador (al menos los 3 mas populares) estan totalmente sanos en cuanto a diseño se trata, es cuestion de encontrarle la vuelta.

Prueba de concepto:
http://www.oie.cajamadridempresas.es.martinaberastegue.com/

NOTA: He utilizado el nombre de “Caja de Madrid” solo por citar una entidad conocida, esto no significa que dicha entidad sea vulnerable y/o insegura para sus usuarios.

Mas Capturas:

Opera:

Firefox:

Internet Explorer:

Enlaces relacionados:

Opera HTTP Auth Phishing
http://www.0×000000.com/?i=334

Opera Web Browser Basic Authentication Server Domain Spoofing Vulnerability
http://www.securityfocus.com/bid/24352

Fallo de diseño en Opera facilita el phishing
http://www.kriptopolis.org/vulnerabilidad-en-opera-facilita-phishing

No es raro que luego de eventos como el de VirginiaTech salgan virus y troyanos, aprovechándose del mismo para propagarse, lo hemos visto antes con asuntos desde la muerte de un Papa, Fidel Castro, incluso el actual presidente de Bolivia tuvo su virus.

Sans advierte por estos días sobre una oleada de registros de dominios relacionados con la masacre, que seguramente serán utilizados en falsas colectas y demás excusas para ayudar a los familiares y víctimas de la tragedia, recolectando así datos bancarios y todo tipo de información sensible utilizando estos dominios como señuelos. En Wired han reportado la venta de dominios en eBay relacionados a VT, llegando a sumas de hasta US$ 500.000.

Enlaces Relacionados:
http://www.blogantivirus.com/
http://seguinfo.blogspot.com/

Vía EsLoMas.com me encuentro con este articulo sobre ataques a SQL vía inyección de código, y no solo nos estamos refiriendo a ataques en ASP.NET y SQL Server, sino que también los mismos ejemplos pueden ser puestos en practica con portales un tanto descuidados que utilicen MySQL y PHP.

Muchas veces no se tienen en cuenta este tipo de errores, y da hasta vergüenza ajena rabia ver como entidades bancarias y grandes corporaciones siguen siendo vulnerables a este tipo de ataques, cuando los mismos podrían ser solucionados aplicando los filtros correspondientes y en menos de una hora, y si bien nadie esta a salvo de ser vulnerable, dichas entidades podrían tomar mayores recaudos a la hora de proteger la intimidad de sus clientes.

También se recomienda la lectura de los siguientes articulos:
http://www.eslomas.com/upload/2006/06/advanced_sql_injection.pdf
http://www.hernanracciatti.com.ar/..Injection%20-%20Un%20Repaso.pdf