Un nuevo troyano para Mac inserta anuncios en Chrome, Firefox y Safari

Una de las consecuencias naturales de que un sistema operativo sea más popular es que los crackers se fijan más en él a la hora de crear malware. Es lo que le ha pasado a Mac, que últimamente se ha visto afectado por más malware. Uno de los más recientes es Yontoo1, un troyano que inserta anuncios en Chrome, Firefox y Safari en Mac.

Los atacantes preparan páginas falsas, normalmente de películas, que invitan al usuario a descargarse un plugin para poder ver el vídeo. El instalador, que se llama Free Twit Tube, en realidad instala extensiones en Chrome, Firefox y Safari. A su vez, estas modifican ciertas páginas (incluida la de Apple) para mostrar anuncios, como veis en la imagen.

El método de infectar a los usuarios no aprovecha ninguna vulnerabilidad del sistema ni es novedoso Windows). Sin embargo, sí que es llamativo el hecho de que se cada vez se tenga más en cuenta a los usuarios de Mac como objetivo. Como siempre, lo mejor que podéis hacer es ser prudentes y no instalar programas de dudosa procedencia, y si creéis que habéis sido infectados en Applesfera podéis encontrar antivirus sencillos para Mac.

Leer más »

Posted in: troyano,virus

Nuevo malware para Android extiende sus tentáculos a ordenadores Windows

Los investigadores de Kaspersky han encontrado una nueva pieza de malware que se aprovecha de la facilidad de acceso a dispositivos móviles Android para acabar introduciéndose en PCs con sistema operativo Windows.

Dicho malware actúa a través de las aplicaciones “Superclean” y “DroidCleaner” que se presentan como aplicaciones de limpieza que mejoran el rendimiento de los terminales eliminando datos antiguos. Pero, en realidad, se dedican a descargar tres archivos identificados como “autorun.inf”, “folder.ico” y “svchosts.exe” en el directorio root de la tarjeta SD.

A partir de ahí, el malware está listo para infectar cualquier PC al que se conecte el smartphone vía USB. O al menos estará listo para infectar equipos con versiones antiguas o sin parchear de Windows, que admiten la ejecución automática de dispositivos extraíbles.

Aunque Google ya ha retirado ambos programas de la tienda Google Play, todavía pueden descargarse desde app stores no oficiales. Y, según comentan los expertos, se desconocen las intenciones de sus autores.

Leer más »

Posted in: android,virus

Malware para Windows 8 utiliza Google Docs como Proxy.

 

La firma de seguridad Symantec, ha descubierto el troyano Backdoor.Makadocs modificado para funcionar con Windows 8 y Windows Server 2012 y que utiliza Google Docs para comunicarse con su servidor de control.

El troyano se esconde en documentos de Microsoft Word y en otros formatos como texto enriquecido RTF, inyectando código malicioso a través de Trojan.Dropper.

Además de su modificación para funcionar con los nuevos sistemas operativos cliente y servidor de Microsoft, el otro aspecto destacado de este troyano es el uso de Google Docs.

Leer más »

Posted in: troyano,virus

La 'botnet' Dorkbot infecta a más de 81.000 equipos en países de habla hispana.

 

El gusano Dorkbot continúa siendo una de las amenazas con mayor índice de detección en países de habla hispana. Propagado principalmente a través de redes sociales, convierte a los equipos infectados en parte de una red 'botnet', roba credenciales de acceso de los usuarios y realiza ataques de phishing contra bancos de la región. ¿Habéis oido hablar de este gusano?

La compañía de seguridad Eset ha explicado que la botnet, que ya lleva reclutados más de 81.000 equipos, se convierte de este modo en una de las 'botnet' más importantes descubiertas hasta el momento que se ha distribuido casi de forma exclusiva entre usuarios hispanoparlantes.

Chile, es el país más comprometido con el 44% de equipos infectados, por delante de Perú con el 15% y Argentina con el 11%. España no se queda atrás con la cifra del 8 % de infecciones.

Dorkbot cuenta con un módulo de robo de información. Cuando el usuario infectado se conecta a servicios como Gmail, Facebook, Hotmail o Twitter, sus credenciales de acceso se envían al atacante.

Según los datos obtenidos por el Laboratorio de Análisis e Investigación de Eset, se han logrado vulnerar más de 1.500 cuentas corporativas. Este incidente es especialmente preocupante cuando se ocasiona a nivel empresarial ya que puede generar daños en la reputación de la empresa afectada, ocasionar pérdidas de datos o robo de información sensible así como también provocar un mal funcionamiento de la red corporativa.

Des de Seccion 9 Seguridad os podemos orientar de que manera proteger vuestros equipos y contar con las herramientas necesarias para prevenir ataques informáticos.

Leer más »

Posted in: redes sociales,robo de datos,seguridad en la red,virus

Troyano se filtra en las tiendas de aplicaciones App Store y Google Play.

 

Bien sabemos que el proceso de aprobación de aplicaciones para las tiendas App Store y Google Play no es perfecto, pero al menos nos consuela que tanto Apple como Google intenten mantener protegidos a sus usuarios a pesar de sustos ocasionales como el de esta ocasión. Nos referimos a una aplicación llamada "Find and Call" que ofrecía buscar contactos en un libro de teléfonos pero en realidad subía la libreta de contactos (previa aprobación del usuario) a un servidor remoto y procedía a enviar spam de manera incesante a todos los números disponibles.

Kaspersky confirmó que se trataba de un troyano puro y duro y procedió a contactar a Apple y Google, quienes (con cierta demora) eliminaron la aplicación de sus tiendas respectivas (o al menos eso pensamos, porque no podemos encontrarla).

Leer más »

Posted in: google,spam,virus

Microsoft provee nueva información para identificar a los autores de Zeus

 

Microsoft ha identificado a dos personas a las que acusa de liderar el movimiento cibercriminal detrás del troyano Zeus. La empresa, que ha iniciado una demanda contra 39 personas que considera responsables de esta amenaza, entregó la información sobre estos dos individuos al FBI para que los investigue más a fondo y los arreste si confirma su culpa.

Los acusados son Yevhen Kilibaba y Yuriy Konovalenko, dos ucranianos que se encuentran cumpliendo una sentencia en una prisión de Gran Bretaña. Kilibaba cumple una sentencia de cuatro años y Konovalenko una de ocho meses por cargos relacionados con crímenes virtuales. Los demás criminales que se mencionan en la demanda de Microsoft permanecen en el anonimato.

Microsoft confirmó que el servidor de control de Zeus sigue desactivado, lo que podría estar relacionado con un notable descenso en la cantidad de infecciones de Zeus: en marzo había alrededor de 780.000 IPs infectadas con este programa, mientras que a mediados de julio sólo había 336.000. Aun así, como su código se hizo público el año pasado, se siguen encontrando variantes del troyano y herramientas para utilizarlo.

Richard Boscovich, abogado de la Unidad de Crímenes Digitales de Microsoft, dice que espera que las recién descubiertas identidades de los cabecillas impulsen al FBI a avanzar con la investigación.

Leer más »

Posted in: estafas,virus

Utilizaron WordPress para distribuir #Flashback

Seccion9 seguridad os informa de la distribución de un virus: 

Miles de sitios Web que operan con la plataforma de blogging, WordPress fueron utilizados por los responsables de Flashback para ampliar la capacidad de distribución del malware que a principios de abril puso en jaque los sistemas de seguridad de las Mac.

De acuerdo con una investigación a cargo de Kaspersky, diversos sitios de WordPress fueron infectados sin que los administradores de los mismos se percatarán que su portal era utilizado como una plataforma de distribución maliciosa.

Los portales infectados redirigían a los internautas a una página que tenía instalado Flashabck, de este manera dichos internautas se convertían también en víctimas del malware y así la distribución del mismo se aceleraba de manera vertiginosa, alertó Kaspersky.

Una investigación de Websense indica que más de 30,000 sitios basados en WordPress fueron utilizados por los criminales, 85% de los portales infectados se encuentran basados en Estados Unidos, alertó la firma de seguridad.

Los analistas de Websense recomendaron a los administradores de sitios basados en WordPress mantener actualizados sus portales para evitar que éstos sean vulnerables frente a los embates de los cibercriminales.

Leer más »

Posted in: virus

TapLogger: troyano experimental capaz de determinar contraseñas basándose en los movimientos de dispositivos Android

Seccion9 seguridad os informa de un nuevo virus:

Un equipo de investigadores de la Universidad Estatal de Pensilvania (PSU) e IBM ha desarrollado un troyano basado en Android que puede utilizar los sensores de movimiento del smartphone para romper las contraseñas.

Bautizado como TapLogger es una aplicación experimental que se basa en la premisa de que, al tocar en la pantalla táctil, se está interactuando con la misma, pero también estamos moviendo todo el dispositivo. Así que si presionamos un botón en la esquina superior derecha, el teléfono en realidad se moverá en esa dirección un poco, y ese movimiento sutil es leído por el acelerómetro y otros sensores integrados del el dispositivo.

¿ Creéis que este virus puede llegar a hacer daño?

Los datos del acelerómetro y de los sensores de orientación no están protegidos por el modelo de seguridad de Android, y esto significa que están expuestos a cualquier aplicación, independientemente de sus permisos en el sistema.

Leer más »

Posted in: virus

Facebook admitió que tiene millones de usuarios con identidad falsa

Entre un cinco y un seis por ciento de los 845 millones de seguidores de la red social tienen un perfil ficticio

Restando el porcentaje de usuarios falsos, a Facebook le quedarían unos 800 millones de usuarios auténticos. El dato es significativo dado que cada usuario individual de la red suma valor a la empresa.
Des de seccion9 seguridad os preguntamos: ¿Os habeis econtrado con algun perfil falso?

Al fin y al cabo cuantos más tenga, más ingresa la firma a través de publicidad y juegos.

Los inversores analizan actualmente con lupa la marcha de los negocios de la red social de cara a la salida a Bolsa prevista por valor de 5.000 millones de dólares (3.800 millones de euros). Todavía no está claro cuándo comenzará a cotizar Facebook ni cuánto costará cada acción.

Leer más »

Posted in: estafas,redes sociales,virus

Aidra:botnet que afecta routers, tablets y otros dispositivos

Seccion9 seguridad os informa de un virus peligroso para que estéis al tanto.

El 12 de febrero el sitio atma.es emitió una alerta sobre una nueva amenaza que posee la particularidad de infectar diferentes tipos de dispositivos, como por ejemplo routers hogareños o cámaras de vigilancia IP, entre otros. Esta amenaza es detectada por ESET NOD32 Antivirus como una variante de Linux/Hydra.B y es conocida bajo el nombre de Aidra.

Aidra se caracteriza por ser una botnet cuyo principal objetivo es la de infectar a la mayor cantidad de dispositivos posibles para que estos formen parte de una red de equipos zombis. La particularidad de esta nueva amenaza es que no afecta a sistemas operativos tradicionales como lo hace por ejemplo Dorkbot, sino que afecta a aquellos dispositivos que poseen un sistema operativo embebido basado en Linux. Algunos de los sistemas más afectados son:
¿Tenéis algun dispositivo Linux que pueda estar infectado?

    Routers domésticos
    Cámaras de vigilancia IP
    Sistemas VOIP
    Smartphones
    Tablets


Una funcionalidad de Aidra que vale la pena destacar es que en primera instancia intenta acceder al dispositivo realizando fuerza bruta a través de contraseñas comunes o preestablecidas. Si consigue acceso a este dispositivo, infecta el sistema operativo embebido en él e intenta realizar la misma tarea con aquellos que se encuentran conectados al dispositivo infectado. En el caso de una infección positiva, comienza a reportarse al panel de control utilizando protocolo IRC.

Leer más »

Posted in: antivirus,virus

Aplicación para desactivar Facebook Timeline roba datos de usuarios

El engaño inicia con mensajes en redes sociales y spam a través e correos electrónicos en los que se incluye un enlace al sitio web de “Facebook Remover App“. Supuestamente, con esta aplicación los usuarios pueden desactivar Timeline fácilmente con el simple hecho de ingresar los datos de acceso de su cuenta.

“¿Odias Timeline? Pues es momento de que decidas eliminarlo por siempre y para siempre. Una vez que ingreses tu dirección de correo electrónico y contraseña aquí, se eliminará por completo timeline”. Es el mensaje con los que los cibercriminales intentan enganchar los usuarios”.

Con el fin de hacerlo parecer más auténtico, en la página se adjunta un vídeo legítimo de YouTube de Facebook Timeline y también se muestra el logotipo de un fabricante de productos antivirus, asegurando que ofrece protección para la página. Sin embargo, todo se trata de una trampa, y una vez que el usuario ingresa sus datos para iniciar sesión, es enviado a otra página web en la que, irónicamente, sólo se muestra una captura de la interfaz de Timeline.

La víctima no sólo no puede restaurar el anterior diseño de su perfil, sino que al facilitar sus datos, los atacantes pueden tomar control de su cuenta en cualquier momento y utilizarla para fines maliciosos. Justo hace unas semanas también comentábamos sobre otra amenaza similar llamada Facebook Rosa, por lo que les recomendamos mantenerse muy alertas ante este tipo de engaños, pues todo apunta a que seguirán en aumento.

Leer más »

Posted in: estafas,redes sociales,virus

Estudio sobre seguridad de aplicaciones [Ponemon]

El equipo de seccion9 seguridad ha encontrado un estudio de seguridad bastante complet, avisamos que esta en ingles.

El Instituto Ponemon se dedica a promover la gestión responsable de la información, la protección de datos y la privacidad en los negocios y el gobierno.

Recientemente ha llevado a cabo una investigación independiente para educar a los líderes y responsables en el desarrollo de aplicaciones y para comprender las percepciones acerca de la madurez de seguridad de aplicaciones. Los temas clave incluyen:

    -Que procesos que son considerados más eficaces
    -La adopción y uso de las tecnologías que afectan el estado de la seguridad en las aplicaciones
    -Los relación entre las personas, procesos y tecnología y el efecto que tienen en la empresa
    -Diferentes percepciones de los profesionales de la seguridad, el desarrollo de aplicaciones y su madurez
    -Las amenazas en la capa de aplicación, incluyendo las plataformas emergentes
    -Las brechas de seguridad en la capa de aplicación


El estudio publicado por ISACA puede descargarse desde aquí [PDF].

Leer más »

Posted in: seguridad en la red,virus

Troyano con polimorfismo, la nueva preocupación para Android

Symantec ha descubierto una especie de troyano bastante sofisticado diseñado para atacar el sistema operativo móvil Android, el cual es capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.

Este troyano, Android.Opfake, se basa en un mecanismo que modifica algunas de sus partes con el fin de asegurar que cada aplicación maliciosa que descarga es única. Symantec ha identificado numerosas variantes, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.

Detectar esta clase de malware que utilizan polimorfismo, puede no ser una tarea sencilla para algunos productos de seguridad, especialmente si basan su capacidad de detección en firmas estáticas.

En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.

Leer más »

Posted in: virus

Troyano recolecta documentos de Word y los almacena en SendSpace

Investigadores de Trend Micro han alertado sobre la propagación de un nuevo troyano que está siendo utilizado para robar documentos de Microsoft Word y Excel de ordenadores infectados y subirlos a SendSpace.com, un popular servicio de hosting gratuito que permite subir y compartir archivos con otros usuarios (similar al extinto Megaupload).

El intento de ataque comienza con un archivo de nombre “Fedex_Invoice.exe“, el cual es distribuido por medio de correos electrónicos que le hacen creer a los usuarios que tienen una notificación de envío de la paquetería FedeEx. Obviamente todo es falso, pero cuando la víctima descarga el supuesto archivo para obtener más detalles, se ejecuta el troyano TROJ_DOFOIL.GE, el cual a su vez descarga y ejecuta la amenaza de la que se hace alerta: TSPY_SPCESEND.A.

Según explica Trend Micro en su reporte, una vez que TSPY_SPCESEND.A ha logrado instalarse en el sistema de la víctima, se da a la tarea de analizar todo el disco duro local en busca de cualquier tipo de archivo perteneciente a Word y Excel, y una vez que los colecciona todos, estos son comprimidos en un archivo .ZIP y protegidos con una contraseña aleatoria,  de manera que sólo el responsable del malware pueda tener acceso a los datos. Posteriormente, el archivo en cuestión es subido a SendSpace y, al terminar, el malware envía el link de descarga a un servidor remoto junto con la contraseña para poder descomprimirlo.

No sólo SendSpace está siendo aprovechado para almacenar información robada, pues no es el primer caso de software maligno que utiliza servidores gratuitos, y es de esperarse que sigan apareciendo más amenazas con técnicas similares. Por desgracia, los cibercriminales han comenzado a sacar provecho de este tipo de servicios legítimos para subir información robada, ahorrándoles el tener que configurar y mantener un servidor propio para este fin.

Leer más »

Posted in: microsoft office,virus