domingo, 6 de marzo de 2011

a variant of Win32/Injector.BZ trojan

Nombre: a variant of Win32/Injector.BZ trojan
Riesgo en el mes: Normal
Intervalo: 2011-01

Detectado por primera vez en el mes: 2011-01-05 09:17
Detectado por última vez en el mes: 2011-01-27 01:51
Cantidad de muestras detectadas en el mes: 47 099
Mes: 2011-01
Fecha más activa en el mes: 2011-01-10
Promedio de infección (2011-01-10): 0.036 %



miércoles, 2 de marzo de 2011

Facebook enjuicia a tres spammers que ofrecían servicios inventados

Facebook ha iniciado un juicio contra dos individuos y una empresa acusados de violar la ley y los términos de uso del sitio al promover sus productos, estafar a sus usuarios y difundir programas malintencionados.

La red social afirma que Steven Richter, Jason Swan y Max Bounty Inc. “usaron Facebook para ofrecer productos y servicios atractivos, pero inexistentes”. Se cree que los acusados obligaron a los usuarios a “enviar spam a sus amigos, subscribirse de forma automática a servicios para teléfonos móviles o compartir información personal” para participar en ofertas fraudulentas.

Esto no sólo viola los términos de uso de Facebook, también es una violación del acta CAN-SPAM, que controla la publicidad engañosa y no solicitada en Internet.

Facebook cree que Steven Richter creó más de 40 páginas fraudulentas en Facebook que utilizó para ganar dinero entre diciembre de 2009 y marzo de 2010. Antes de mostrar el producto que interesaba a los usuarios, Richter los redirigía a una serie de sitios intermediarios que le pagaban una comisión por conseguir visitantes.

Richter empleaba programas maliciosos para impulsar sus campañas publicitarias. Uno de los productos inventados más populares que ofrecía eran cuentas “Facebook GOLD” para usuarios “selectos” de Facebook.

Otro de los acusados, Jason Swan, creó 27 cuentas de Facebook falsas, 13 páginas en el sitio y múltiples aplicaciones para la red social. Swan también ganaba dinero por dirigir visitantes a sitios de Internet específicos. Uno de los servicios inexistentes de Swan que más atrajo a sus víctimas fue el botón “no me gusta” que complementaba al actual botón “me gusta” de Facebook.

Por último, se cree que la empresa canadiense Max Bounty Inc. difundió mensajes spam en los que falsificó el logo de Facebook y se hizo pasar por la red social para convencer a los internautas de que compren tarjetas pre-pagadas de tiendas, iPads, y otros productos.

“Nos comprometemos a seguir utilizando la ley para que los spammers entiendan que no son bienvenidos en Facebook”.

Microsoft alerta sobre un “sorprendente” aumento de ataques a Java

Microsoft ha alertado al público sobre el surgimiento de una “ola sin precedentes” de exploits para atacar vulnerabilidades en el código de programación Java.

Holly Stewart, analista de Microsoft, afirmó que había descubierto el fenómeno mientras recolectaba datos para noveno volumen del Informe de inteligencia acerca de la seguridad de Microsoft.

Stewart explicó en el blog de Microsoft que en los últimos meses la cantidad de exploits para Java ha aumentado de algunos cientos de miles a más de 6 millones. Esta cifra también es mucho mayor que los casi 100.000 exploits para Adobe que se detectaron al mismo tiempo.

La mayoría de los ataques explotan tres vulnerabilidades conocidas de Java que llevan meses parchadas.

La vulnerabilidad más explotada es la denominada CVE-2008-5353 por el “diccionario” de vulnerabilidades CVE (Common Vulnerabilities and Exposures), que es el blanco de más de la mitad de los ataques. Esta vulnerabilidad es una falla de deserialización en Java Runtime Environment que permite la ejecución remota de código en navegadores con Java de varias plataformas, como Windows, Linux, y Mac OS X.

En segundo lugar se encuentra CVE-2009-3867, que permite que los atacantes introduzcan código maliciosos usando URLs demasiado largos. La tercera vulnerabilidad, conocida como CVE-2010-0094, es la menos atacada y tiene características similares a CVE-2008-5353.

“Java es omnipresente y, como solía suceder con los navegadores y los lectores de documentos como Adobe Acrobat, a los usuarios no se les ocurre actualizarlo. Java opera en segundo plano para hacer más visible el trabajo de otros componentes (…). Ahora debemos decidir qué hacer con esta tecnología omnipresente que los atacantes han comenzado a explotar”.

Fuentes:
'Unprecedented wave' of Java exploits hits users, says Microsoft Computerworld

Microsoft warns of "unprecedented" Java exploitation SC Magazine

Java exploits have skyrocketed, Microsoft researcher says NetworkWorld

martes, 1 de febrero de 2011

Gene Simmons y Anonymous intercambian “besos de la muerte”

Gene Simmons, el vocalista de la conocida banda de rock Kiss, le ha declarado la guerra al grupo de hackers informáticos Anonymous tras haber sido el blanco de un ataque DDoS.

El grupo Anonymous inhabilitó los sitios SimmonsRecords.com y GeneSimmons.com con un ataque DDoS que saturó sus servidores. El ataque surgió como respuesta a unas declaraciones de Simmons contra la piratería en Internet.

“La industria de la música estaba adormecida y no tuvo las agallas para enjuiciar a cada jovenzuelo ocioso que descargaba material por Internet. Ahora cientos de miles de personas no tienen trabajo. La industria está destruida”, dijo Simmons en el panel MIPCOM para fortalecer la industria del entretenimiento.

Para Simmons, la solución es atacar la piratería sin piedad y con todo el peso de la ley: “Protejan sus productos. Tengan cuidado. Enjuicien a todos. Quítenles sus casas y sus coches. Establezcan sus límites”, dijo Simmons.

Al día siguiente, Anonymous lanzó un ataque DDoS a los sitios de Simmons como parte de su “Operation Payback” (Operación Venganza). Hace algunas semanas, la campaña Operation Payback de Anonymous comenzó a lanzar ataques DDoS a los sitios de empresas, individuos y organizaciones que protegen los derechos de autor, para protestar contra el cierre de los sitios para compartir archivos en Internet.

Gene Simmons no recibió el ataque en silencio y amenazó a Anonymous: “Nuestro equipo de abogados y el FBI han estado investigando el caso y hemos identificado a algunos jóvenes ‘aventureros’, que creen que pueden burlar la ley. Como dije en mi discurso en MIPCOM, vamos a enjuiciarlos hasta el cansancio. Primero los castigaremos. Después los encerraremos en prisión, donde compartirán la celda con algún reo que ha estado allí por años y necesita una nueva novia. Pronto publicaremos sus nombres y fotos. Los encontraremos. No pueden esconderse. Estén atentos.”, dijo Simmons.

Pero en lugar de espantar al grupo de hackers, la reacción de Simmons encolerizó al grupo, que no tardó ni un día en lanzar otro ataque DDoS a sus sitios.

Anonymous también agregó los sitios de Simmons a la lista negra de la Operation Payback para oficializar su enemistad con el artista. “Esto apenas comienza, Gene. Disfruta tu tiempo fuera y bienvenido a Internet”, respondió Anonymous.

Facebook estrena contraseñas desechables

Facebook ha lanzado un nuevo servicio que permite que sus usuarios se conecten a la red social desde ordenadores públicos con una contraseña temporal.

Los ordenadores públicos, como los de hoteles, cafés y aeropuertos, pueden estar infectados con programas maliciosos que roban contraseñas. Este servicio evita que los cibercriminales consigan las contraseñas reales de sus usuarios aunque se conecten desde ordenadores inseguros.

Para utilizar el servicio, los usuarios deben configurar su cuenta y enviar un mensaje de texto con la palabra “otp” al número 32665 para recibir una contraseña que sólo permite ingresar a Facebook por 20 minutos.

Aunque el servicio está diseñado para mejorar la seguridad de los usuarios, los expertos advierten que podría tener el efecto contrario si el usuario pierde su teléfono. En tal caso, la persona que lo encuentre sólo debe mandar el mensaje de texto para tener 20 minutos de acceso ilimitado a la cuenta de su víctima.

Por ahora este servicio sólo está disponible para unos pocos usuarios seleccionados mientras se lo evalúa, pero Facebook tiene planeado expandirlo para que todos sus usuarios puedan utilizarlo. Sin embargo, en una primera etapa la red social se enfocará en sus usuarios estadounidenses, porque el número para solicitar la contraseña sólo funciona dentro de Estados Unidos.

Martes de parches: Microsoft parcha 49 vulnerabilidades

Este martes Microsoft publicó parches para 49 vulnerabilidades en sus sistemas y programas. Esta es la primera vez que Microsoft soluciona tantas vulnerabilidades en un sólo Martes de parches.

La empresa solucionó las fallas en una serie de 16 boletines de seguridad. Tres de los boletines solucionan un total de 34 vulnerabilidades, mientras que cuatro boletines se enfocan en sólo una vulnerabilidad cada uno.

Microsoft clasificó cuatro de los 16 boletines como críticos porque la mayoría de las vulnerabilidades que parchan permiten que un atacante controle el ordenador infectado sin necesidad de interactuar con el usuario.

Diez de los boletines están clasificados como importantes, y solo dos son de riesgo moderado.

La empresa aconseja a sus usuarios que prioricen la instalación del boletín MS10-071, que soluciona problemas en Internet Explorer 6, 7 y 8. Este mes, dos de las vulnerabilidades críticas se encuentran en IE, y Microsoft parchó un total de 10 vulnerabilidades en su navegador.

Microsoft también solucionó una de las cuatro vulnerabilidades que explota Stuxnet: antes había parchado otras dos, así que todavía queda una vulnerabilidad pendiente.

Hasta ahora, Microsoft ha publicado 86 parches de seguridad en 2010, así que es probable que alcance el centenar de parches hasta fin de año.

La empresa ha publicado una tabla (en inglés) para ayudar a sus usuarios a conocer los nuevos parches y detectar los que deben priorizar según sus necesidades.

Cibercriminales usan correos robados para vender la casa de una de sus víctimas

Cibercriminales usan correos robados para vender la casa de una de sus víctimas
Gabriela Villarreal | 17.09.2010 11:47 MSK | Comentar

La policía australiana está investigando a los cibercriminales responsables de haber vendido una casa de medio millón de dólares con datos y documentos que robaron de la cuenta de correo electrónico de un internauta.

Se cree que los delincuentes robaron los datos de acceso a la cuenta de correos de Roger Mildenhall, el dueño legítimo de la propiedad, y al espiar entre sus correos encontraron una serie de documentos personales, entre ellos los títulos de propiedad de una de las casas de Mildenhall.

La propiedad se encuentra en Australia, pero el dueño reside en Sudáfrica desde hace un año. La distancia evitó que Mildenhall se diera cuenta de lo sucedido, y sólo se enteró del problema la semana pasada, cuando sus vecinos le comentaron que alguien había puesto su casa en venta.

Mildenhall viajó a Australia justo a tiempo para evitar que se cierre el trato, pero allí se enteró de que en junio los cibercriminales habían vendido otra de sus propiedades, avaluada en $500.000.

Brian Greig, del Instituto de Bienes Raíces de Australia Occidental (REIWA) dijo que todas las transacciones se realizaron por correo electrónico, teléfono y fax, sin tener ninguna relación personal con el dueño de los bienes.

“Los agentes nos han informado que es cada vez más frecuente que se realicen transacciones sin interacción cara a cara, en especial cuando los compradores viven en otros países o estados”, explicó Greig.

“Está claro que este fue una ataque sofisticado que engañó al dueño, al agente de Bienes Raíces, al agente de convenios, a los bancos, y (…) al Departamento de Administración de Tierras”, dijo Greig.

El Departamento de Protección al Consumidor de Australia ha iniciado una investigación para determinar con exactitud qué hicieron los cibercriminales para hacerse pasar por Mildenhall y recolectar la cantidad suficiente de documentación como para vender las propiedades.

sábado, 1 de enero de 2011

Detienen a 19 personas por utilizar el poder de Zeus para robar cuentas bancarias

La Unidad Central de Cibercrimen de la Policía Metropolitana de Londres (PCeU) ha detenido e interrogado a 15 hombres y cuatro mujeres sospechosos de haber empleado el troyano Zeus para robar los datos bancarios de los usuarios de Internet.

“Creemos que hemos desmantelado una red criminal organizada que empleó métodos sofisticados para robar grandes cantidades de dinero de las cuentas de gente inocente, causando mucha ansiedad a sus víctimas y un daño financiero significativo, que claro, los bancos deben reponer a un precio considerable para la economía”, dijo el detective de la Policía Metropolitana Terry Wilson.

La policía acusa a esta banda de haber robado alrededor de $9,5 millones de dólares a los clientes de bancos británicos en sólo tres meses, pero como el ataque también afectaba a usuarios de otras partes del mundo es posible que en total los cibercriminales hayan ganado cientos de miles de dólares.

La banda empleaba Zeus para infectar a sus víctimas y obtener los datos de acceso a sus cuentas bancarias en línea. Los delincuentes contrataban mulas para transferir el dinero a cuentas temporales hasta que lo lavaran.

La policía todavía no formuló cargos contra los detenidos, que tienen entre 23 y 47 años, pero es posible que se los acuse de uso indebido de un ordenador y fraude y se agreguen cargos de posesión de armas de fuego contra dos de los sospechosos.

Zeus ataca los teléfonos móviles para burlar los sistemas de autentificación de dos factores

Los cibercriminales han iniciado un ataque para robar las cuentas bancarias de los usuarios de teléfonos móviles protegidos por sistemas de autentificación de dos factores. Para ello, los delincuentes están infectando los dispositivos con una modificación del troyano Zeus.

Muchas empresas y bancos han implementado un sistema de autentificación de dos factores para evitar que sus clientes sean víctimas de robo de identidad. Esto significa que sólo escribir la contraseña de una cuenta no es suficiente para acceder a ella, el usuario también debe escribir un código que el banco le envía mediante un mensaje SMS.

Los delincuentes infectan los teléfonos desprotegidos con métodos tradicionales, como enviando correos electrónicos infectados o difundiendo enlaces maliciosos.

El troyano muestra una ventana emergente en el aparato infectado, en la que pide al usuario que confirme su número de teléfono y el modelo de su teléfono móvil.

El cibercriminal utiliza estos datos para enviar un SMS malicioso al número de su víctima con un programa malicioso diseñado especialmente para su tipo de teléfono.

El mensaje pide al usuario que pulse en un enlace para descargar un nuevo “certificado de seguridad”, que en realidad es un programa malicioso que registra toda la actividad del teléfono del usuario, incluyendo los mensajes de texto que recibe.

Esto permite que el hacker obtenga la contraseña de la cuenta bancaria del usuario y además tenga acceso al código que el banco le envía mediante un mensaje de texto. Estos datos son suficientes para que el cibercriminal vacíe la cuenta de su víctima y llene sus bolsillos de dinero.

Un hombre puede ir a prisión por atacar los sitios que publicaron sus secretos más vergonzosos

Un jurado de Kansas ha hallado culpable a un hombre que formó una red zombie para lanzar ataques de negación de servicio a revistas y periódicos en línea que publicaron artículos que lo avergonzaban.

Bruce Raisley, de 49 años, difundió un programa malicioso en Internet con el que llegó a crear una red zombi compuesta por 100.000 ordenadores infectados. La red zombi tenía el propósito exclusivo de lanzar una serie de ataques dirigidos de negación de servicio (DDoS) a las revistas The Rolling Stone, The Radar y Perverted Justice, entre otras.

Todas estas revistas habían publicado un artículo sobre él en el que describían un amorío virtual que acabó arruinando su matrimonio.

Todo comenzó con una pelea entre Raisley y Xavier Von Erck, líder del grupo Perverted Justice, al que también pertenecía Raisley. Los miembros del grupo se hacían pasar por menores de edad para descubrir y exponer a los pederastas que operaban en Internet.

Raisley abandonó el grupo después de la pelea y Von Erck se vengó haciéndose pasar por “Holly”, una mujer que lo seducía en Internet. Raisley llegó a enamorarse y confiar tanto en Holly que le envió fotos explícitas de sí mismo y decidió abandonar a su esposa para iniciar una relación seria con ella.

Pero, la mujer no apareció cuando Raisley por fin iba a conocer en persona a su nuevo amor y fue a recibirla a un aeropuerto de Arkansas con un ramo de flores. En su lugar había un fotógrafo contratado por Von Erck que documentó la vergonzosa situación.

Von Erck publicó la historia en la revista de Perverted Justice y la compartió con otras revistas virtuales y medios de comunicación. Esta humillación pública hizo que su esposa iniciara el proceso de divorcio y Raisley perdiera el contacto con su hijo.

Fue por eso que el pirata informático decidió atacar los sitios de las revistas que publicaron su historia, acción que podría hacer que pase hasta 10 años tras las rejas.

Los agentes federales y el CERT de Eslovenia descubrieron que los dos dominios que controlaban el programa malicioso estaban registrados bajo el nombre de Raisley. Las autoridades registraron la casa del sospechoso y encontraron un dispositivo de almacenamiento USB con el programa malicioso que se usó para crear la red zombi.

Aun así, Raisley se declaró inocente y se enfrentó a un juicio de seis días, pero un jurado de 7 mujeres y 5 hombres lo declaró culpable de los cargos que se le imputaban. El juez dictará su sentencia el 7 de enero.

El supuesto responsable de VBMania dice que quería protestar contra la guerra y la intolerancia religiosa

Un usuario de Internet ha publicado un video en YouTube en el que se hace responsable por haber distribuido el gusano VBMania, también conocido como “Here you have”, que tanto ha dado de qué hablar durante los últimos días.

El gusano emplea métodos viejos y pocos sofisticados, pero aún así ganó notoriedad por haber infectado los sistemas de grandes empresas y organizaciones como Disney, la NASA, el Departamento de Transportes de Florida, Coca Cola, Google, etc.

Algunos expertos creen que el pirata, que se hace llamar “IRAQ Resistance”, es un ciudadano de Libia que encabeza el grupo Tarek Bin Ziad Group, un grupo musulmán que organiza “Jihad cibernéticas”. El video también incluye un mapa de Andalucía, y el perfil del pirata dice que reside en España.

El pirata dice que una de las razones principales por las que se dedicó a crear y difundir el programa malicioso es para protestar contra la guerra de Estados Unidos en Irak.

“Lo que quería decir es que Estados Unidos no tiene derecho a invadir a nuestra gente y robar el petróleo en nombre de las armas nucleares ¿Acaso han visto alguna?… ¡con qué facilidad matan y destruyen!”, dice parte del mensaje que está grabado en un inglés pobre con una voz computarizada.

El pirata también aprovechó para defenderse de las acusaciones de algunos medios de comunicación que dicen que es un terrorista. IRAQ Resistance afirmó que los verdaderos terroristas eran personas como Terry Jones, el pastor de una pequeña iglesia de Florida que amenazó con movilizar a la población cristiana para que quemara copias del Corán para conmemorar el ataque terrorista del 11 de septiembre.

“Podría aplastar a todos los infectados, pero no lo haré, y por favor no utilicen la palabra ‘terrorista’. Espero que todos comprendan que no soy una persona negativa”.

Microsoft parcha una vulnerabilidad explotada por Stuxnet

Este martes Microsoft ha lanzado una serie de actualizaciones para sus sistemas operativos, incluyendo una para parchar una vulnerabilidad antes desconocida que el gusano Stuxnet ya había comenzado a explotar para atacar a los internautas.

En total, Microsoft publicó nueve boletines de seguridad para solucionar 13 vulnerabilidades, cuatro de ellas críticas, que ponían en riesgo a sus usuarios.

Uno de los boletines de seguridad más importantes de esta serie es el denominado MS10-061, descubierto por expertos de Kaspersky Lab mientras investigaban el gusano Stuxnet. El gusano estaba explotando esta vulnerabilidad en Print Spooler, aprovechando que los expertos en seguridad todavía no la habían descubierto.

“Es muy difícil saber con exactitud lo que un programa malicioso va a hacer en una plataforma específica porque el comportamiento en cada plataforma es muy diferente, así que tuvimos que analizar el código byte por byte. (…) Pudimos lograrlo mucho más rápido trabajando en equipo, y el boletín es en esencia fruto de ello [del trabajo en equipo]”, dijo Maarten Van Horenbeeck, del Centro de Respuesta de Seguridad de Microsoft (MSRC).

Microsoft ha clasificado esta vulnerabilidad como “crítica” para Windows XP e “importante” para Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2. La vulnerabilidad permite que los atacantes tomen control del ordenador infectado, pero en XP la amenaza es mayor porque crea una cuenta para visitantes de forma automática cuando detecta a un usuario anónimo, a diferencia de los otros sistemas que piden que el usuario lo haga manualmente.

Mientras tanto, Microsoft está desarrollando un parche para otras dos vulnerabilidades que los expertos en seguridad también descubrieron mientras analizaban a Stuxnet. El gusano ya está explotando estas otras dos vulnerabilidades.

Bollywood combate la piratería con ataques DDoS e intrusiones informáticas

Una empresa india ha admitido que presta sus servicios a las empresas cinematográficas de Bollywood para lanzar ataques DDoS a los sitios de Internet que comparten sin autorización copias piratas de películas indias.

Girish Kumar, director administrativo de la empresa Aiplex Software, explicó que sus clientes los contratan para buscar en la web sitios que ofrezcan descargas piratas de películas que violan los derechos de distribución de sus dueños.

Airplex sigue una serie de pasos para detener esta actividad ilegal: “Cuando detectamos un sitio web que ofrece un enlace o descarga, contactamos a los alojadores del servidor y les hacemos notar la actividad ilegal. Ellos notifican al dueño del sitio. Si el sitio nos ignora, se lo puede suspender o desactivar”.

Alrededor del 95% de las veces esto es suficiente para que los dueños de los sitios web retiren el contenido. Pero Kumar explicó que entre el 20% y el 25% de los sitios de Torrent hacen caso omiso a esta advertencia.

“En esos casos, inundamos el sitio web con cientos de miles de solicitudes, lo que causa un error en la base de datos y una negación de servicio, ya que cada servidor tiene una capacidad de ancho de banda establecida”. La empresa no advierte a los sitios que lanzará un ataque de negación de servicio (DDoS) a sus servidores si no cumplen con la ley.

Si el ataque de negación de servicio no es suficiente para que los dueños retiren la película pirata, la empresa recurre a medidas aún más drásticas: “A veces tenemos que dar un paso más y atacar el sitio y destruir la información para evitar que la película siga circulando”.

Kumar afirmó que Airplex trabaja con más de 30 empresas de Bollywood y obtiene la mayor parte de sus ganancias controlando la piratería de películas indias. En algunos países los ataques DDoS son ilegales, por lo que el método de control de la piratería de Airplex ha causado controversia alrededor del mundo.