Archives

.

Compartelo:
0

Hacker de Facebook cuenta su historia

Jesus Bourne 29 de abril de 2012

Glenn Mangham de York, Inglaterra, dijo que no pretendía hacer daño y manifestó su esperanza en que Facebook lo dejara libre.

El hacker que robó el código fuente de Facebook ha declarado públicamente, con una explicación detallada, cómo penetró la red social más popular del mundo.

Glenn Mangham, de York Inglaterra, publicó en su blog un largo artículo y un video, indicando que acepta por completo la responsabilidad de sus acciones y que no pensó en las consecuencias potenciales.

"Estrictamente hablando, lo que hice violó la ley, porque en aquel momento y posteriormente, no fue autorizado", escribió Mangham. "Estaba trabajando bajo la premisa de que a veces es mejor pedir perdón que pedir permiso".

Mangham insinuó que intentó contactar a Facebook una vez que se dio cuenta de que el sitio web había observado sus intrusiones, de las cuales hizo poco esfuerzo por ocultar.

No utilizó servidores proxy porque dijo que haría su auditoría más tardada, debido al retraso en cada petición hecha al servidor. 

También dijo que esperaba que cuando lo atraparan, Facebook lo dejara libre, eso no sucedió, fue acusado y eventualmente se declaró culpable de tres cargos de acceso no autorizado a equipos de cómputo y modificación no autorizada de datos, de acuerdo al periódico The Press en York.

Mangham fue sentenciado a ocho meses de prisión en febrero, pero la sentencia fue reducida a cuatro meses por una corte de apelaciones a principios de Abril. Luego fue liberado, sujeto a monitoreo electrónico y restricciones en su uso de Internet.

El joven utilizó una vulnerabilidad para descargar el código fuente de Facebook, lo que se considera una de las propiedades intelectuales más valiosas y secretas de la compañía.

Mangham se describió como un investigador de seguridad que continuó atacando a Facebook porque quería investigar a mayor profundidad otros problemas de seguridad, debido a que la mayoría de los sistemas tienen "una coraza dura y un relleno suave". Escribió que anteriormente había sido contratado por Yahoo para encontrar vulnerabilidades.

Mencionó que tomó precauciones para evitar daños a los sistemas de Facebook, codificando un retraso en los scripts que utilizó para extraer el código fuente, para prevenir "la saturación del servidor e impedir su disponibilidad".

Después de que supo que Facebook estaba tras sus pasos, Mangham escribió que entró "en pánico, porque sabía que se vería muy mal sin el contexto apropiado". Mantuvo que "casi nadie" sabía que tenía una copia del código fuente del sitio, y que la mantuvo "físicamente desconectada de Internet."

"En muchos aspectos, estaba más segura que el original", escribió.

La copia del código fuente que tenía Mangham seguramente habría sido de interés para los cibercriminales que desean utilizar a Facebook para efectuar estafas enternamente, pero escribió que nunca tuvo intenciones de vender el código.

"También vale la pena mencionar que tuve el código por poco más de tres semanas, sin nada que me detuviera en absoluto de hacer copias y distribuirlo, este tiempo fue más que suficiente para haber causado un daño significativo a Facebook o para encontrar un comprador, si esa hubiera sido mi intención, pero es claro que no lo fue", escribió Mangham.

"Cuando consideran que lo único que se interpuso entre Facebook y su aniquilación total fue mi ética, pienso que el hecho de que todo siga funcionado correctamente debería ser prueba de que no soy uno de los malos", escribió.



Fuentes: ComputerWorld 

0

Nuevos ataques dirigidos a grandes empresas y gobiernos

Jesus Bourne

Que los ataques informáticos a empresas y gobiernos se han convertido en algo frecuente no debería sorprender a nadie a estas alturas. 

El año pasado fue un buen ejemplo de cómo de vulnerables se puede ser ante uno de estos ataques si no se toman las medidas necesarias y este año no parece que la tónica vaya a ser diferente.

En lo que llevamos de semana hemos conocido tres importantes casos de ataques dirigidos a empresas o gobiernos.

Empezamos el lunes con la noticia de un nuevo ataque sufrido por el Ministerio de Petróleo Iraní y otras empresas asociadas al mismo que habrían sufrido una infección en sus sistemas por parte de un gusano informático. 

De nuevo las alarmas saltaron al recordar el caso Stuxnet y corrieron ríos de tinta especulando sobre las posibles consecuencias de este nuevo ataque aunque desde las fuentes oficiales se aseguró que ningún documento oficial se había visto comprometido y que solo se desconectaron temporalmente las refinerías para evitar daños en las mismas.

Este casó ha llegado a la primera plana de muchos diarios, ya que el Irán y su programa nuclear sigue estando en el punto de mira de muchas superpotencias y cualquier noticia de un posible ataque puede hacer crecer la tensión en esa área. Pero no ha sido el único caso sonado que hemos observado recientemente.

La compañía automovilística japonesa Nissan también anunció una intrusión en la red de su empresa y la detección de un malware que tendría supuestamente la intención de robar datos confidenciales. 

Según las declaraciones de la propia compañía, tan pronto como se descubrió esta intrusión se tomaron medidas para eliminar este malware de la red corporativa y proteger los datos sensibles relacionados con empleados, clientes y distribuidores en todo el mundo. 

Ninguno de estos datos ha salido a la luz desde que se detectó la intrusión el pasado 13 de abril por lo que parece confirmarse un ataque dirigido con una finalidad claramente de espionaje.

Por último, la compañía VMware también anunció ayer por la tarde de la publicación del código fuente de uno de sus productos, concretamente VMware ESX. 

Cómo en otras ocasiones anteriores, el enlace desde el cual descargar esta información se está compartiendo en múltiples sitios como Pastebin y, aunque la empresa ha anunciado que esta filtración no supone un peligro para sus usuarios antiguos, siempre es desagradable que se produzcan este tipo de sucesos en grandes empresas.

Cómo vemos, este tipo de ataques dirigidos y filtraciones suponen un riesgo muy importante para empresas y gobiernos y, aunque en las últimos meses se ha hecho mucho eco de las acciones emprendidas por grupos hacktivistas como Anonymous, lo cierto es que hay otros muchos interesados en seguir realizando este tipo de ataques y robando secretos a empresas de la competencia o a gobiernos declarados como potenciales enemigos.


Fuentes : Ontinet.com
0

Microsoft soluciona una grave vulnerabilidad en Hotmail

Jesus Bourne

Uno de los servicios de correo más famosos, Hotmail, se ha visto afectado en las últimas semanas por una grave vulnerabilidad que permitía a un atacante resetear la contraseña de un usuario por una de su elección, pasando a controlar dicha cuenta de correo e impidiendo el propietario legítimo de la misma pudiese acceder.

Investigadores de la empresa Vulnerability-Lab informaron a Microsoft de la existencia de este grave fallo de seguridad el pasado 6 de abril, pero la existencia de esta vulnerabilidad se filtró y no han tardado en aparecer usuarios sin escrúpulos que no han dudado en comprometer cuentas de Hotmail en beneficio propio, e incluso ofrecer sus servicios para acceder de forma ilegal a cualquier cuenta por cantidades tan bajas como 20 dólares.

Microsoft confirmó ayer la existencia de esta vulnerabilidad, indicando también que lanzó un parche temporal la semana pasada, tras comprobar que estaba siendo aprovechada de forma masiva, sobre todo en países árabes del medio oriente y norte de África.

Concretamente, el servicio afectado era el encargado de restablecer contraseñas del servicio MSN Hotmail.

Esta vulnerabilidad es especialmente grave para aquellos usuarios que tengan vinculados otros servicios como Paypal o Xbox Live a su Windows Live ID, aunque, a estas alturas, ya deberían ser conscientes de si su cuenta se ha visto afectada puesto que no podrían acceder a la misma.

Se recomendamos revisar que podemos acceder sin problemas a nuestra cuenta de Hotmail y a los servicios que tengamos asociados con ella, contactando con su servicio de soporte en el caso de que nos hayamos visto afectados.


Fuentes: Josep Albor/Ontinet.com
0

Se descubre nuevo Troyano en Mac OS X, SabPub

Jesus Bourne 27 de abril de 2012

Kaspersky Lab reporta que hay un nuevo malware en la red, llamado Backdoor.OSX.SabPub.a. Hay al menos dos variantes siendo esparcidas a través de exploits de Java.

El investigador en seguridad de Kaspersky Lab, Costin Raiu, ha descubierto otro Troyano en Mac OS X. Backdoor.OSX.SabPub.a (mejor conocido como SabPub).

El malware utiliza exploits de Java para infectar a una Mac, conectada a un sitio Web remoto, en espera de instrucciones que incluyen tomar impresiones de pantalla de la Mac del usuario y la ejecución de comandos.


"Los exploits de Java parecen ser bastante normales, pero han sido ofuscados usando con el flexible y muy 
poderoso ZelixKlassMaster", escribió en el blog Raiu Securelist. "Esto se hizo evidente con el fin de evitar la detección de productos anti-malware".


El descubrimiento de Raiu sucedió en el momento en el que los usuarios de las  Mac se encuentran en alerta máxima sobre el troyano Flashback, que ha infectado alrededor de 600,000 Macs en todo el mundo. 

Ese exploit, que también utiliza Java, es capaz de pescar las contraseñas del usuario, otra información de su navegador de Internet o algunas aplicaciones.

Apple lanzó una herramienta diseñada para eliminar Flashback de las máquinas infectadas. Antes de ese lanzamiento, se creía que había 270,000 Macs que estaban infectadas con el troyano, muy abajo de la cifra real.

En un post de seguimiento sobre Securelist, Raiu proporcionó un poco más de información sobre SabPub para ayudar a diferenciarlo de Flashback. Informó que circula actualmente al menos dos variantes de SabPub en la red, incluyendo una que se remonta a febrero. 

El malware parece que se distribuye a través de ataques dirigidos, lo que limita su habilidad propagarse como lo hizo Flashback.

Raiu también informó de que el malware parece estar propagándose a través de documentos de Word que se aprovechan de la vulnerabilidad CVE-2009-0563 relacionado con un desbordamiento de búfer en Office para Mac.

"Lo más interesante aquí es la historia del segundo variante SabPub. En nuestra colección de virus, se llama '8958.doc'”. Raiu escribió en el blog. "Esto sugiere que fue extraído de un documento de Word o se distribuye como un archivo doc."

Apple no respondió de inmediato a la solicitud de CNET para hacer comentarios.



Fuentes: Cnet




0

El kit Nuclear Pack exploit introduce función para evitar ser rastreado

Jesus Bourne 24 de abril de 2012
Mientras se realiza el perfil de otro software malicioso y la campaña de aprovechamiento de software malicioso, investigadores de ESET han encontrado una nueva característica que se introdujo en el kit de Nuclear Pack web malware exploitation kit. 



Por años, la comunidad de seguridad ha desarrollado métodos efectivos para evaluar el peligro de tantos sitios web como sea posible, buscando contenido malicioso automáticamente.

Gracias al crecimiento de las botnets como plataformas de explotación, los cibercriminales de hoy dependen en gran medida de infraestructura legítima comprometida como medio para distribuir contenido malicioso,  comparado con el uso de simples sitios web maliciosos como puntos de propagación y/o infección. 

Naturalmente los cibercriminales están al tanto de las últimas investigaciones sobre anti-malware y se adaptan constantemente a las últimas inovaciones, introduciendo nuevas características dentro de los kits de propagación de malware Web mas utilizados.

De acuerdo con los investigadores de ESET, mientras se perfila otra campaña de software malicioso, han encontrado una nueva característica implementada en el kit de Nuclear Pack web malware explotation. 

Más detalles:

Hemos rastreado actividad interesante a través de un bloque de código inyectado que usa redirección con iFrame: el código de JavaScript se utiliza para capturar los movimientos del ratón con el evento "onmuosemove" y solo después de que se detecte (el movimiento del ratón) la actividad maliciosas continua con la redirección. 

Esta actividad nos permitió identificar este simple método utilizado para evitar rastreadores de compañías AV y de otros tipos. Estos son los primeros intentos proactivos que usan los criminales para detectar la actividad de usuarios reales y evitar los rastreadores y recolectores de malware de los hackers éticos.

La nueva característica es solo la punta del iceberg, a continuación se mencionan algunas de las actividades evasivas más comunes que utilizan los cibercriminales para evitar a programas e investigadores de seguridad al analizar sus campañas: 


  • El uso de cookies de sesión
  • El uso de datos de origen HTTP (referrers) para asegurar que la cadena de explotación está completa
  • EL bloqueo de direcciones IP conocidas de distribuidores de seguridad
  • EL uso de técnicas de identificación de sistemas operativos o navegadores
  • Enviar el contenido malicioso solo una vez por IP
  • El uso de servicios de cifrado y ofuscación de JavaScript, incluyendo dinámicamente scripts con tasas bajas de detección


Mientras tanto, el kit de malware web más utilizado sigue siendo Black Hole exploit kit. Solo el tiempo nos dirá si su creador introducirá la característica anti-rastreo web en su exploit kit, pero dado que se aparecen nuevos exploits constantemente, seguramente ya está en la lista de pendientes del cibercriminal detrás del kit.

Fuente: ZD Net 

0

Apple ofrece exterminador de Flashback



Apple reconoció por primera vez la campaña del malware Flashback, el cual explotó una vulnerabilidad de Java para infectar a cientos de miles de Macs.

Al mismo tiempo, Apple se comprometió a elaborar una herramienta de detección y eliminación para limpiar las máquinas comprometidas del código atacante.

La más nueva actualización  para Java en Mac OS X incluye una herramienta que "eliminará las variantes más comunes del malware Flashback". Más información en Apple's advisory.

Apple superó por mucho, el tiempo que le tomó el año pasado para llegar al diseño de una herramienta similar que  eliminara el software de seguridad falso MacDefender. Apple lanzó la herramienta prometida anti-MacDefender una semana después de que anunciara sus planes.

La actualización también deshabilita la ejecución automática de los applets de Java en el plug-in de Java en el navegador; el exploit utilizado por Flashback para infectar equipos Mac estaba escondido dentro de un applet malicioso de Java alojado en sitios web comprometidos.

Una de las razones por las que Flashback fue capaz de infectar tantas Macs se debió a que el plug-in de Java ejecutaba de forma automática el applet ofrecido. El movimiento de Apple es un paso hacia la deshabilitación de Java, algo que la mayoría de los expertos de seguridad han sugerido a los usuarios.

Los usuarios pueden eludir la nueva configuración Java off-by-default mediante la configuración de preferencias de Java. Sin embargo, Apple intercederá.

"Como medida de aseguramiento, el plug-in de Java para el navegador y Java Web Start son desactivados si no han sido utilizados durante 35 días", comentó Apple.

Java Web Start es una tecnología de Oracle que permite a los usuarios lanzar con un simple clic una aplicación Java desde un navegador sin la necesidad de descargarlo primero en el equipo.

Java tiene cada vez menos vínculo con Mac OS X: En julio pasado, Apple quitó Java de su OS X 10.7, mejor conocido como Lion, aunque sigue emitiendo parches para Java tanto en Lion, como en Snow Leopard y OS X 10.6.

En noticias relacionadas, Kaspersky Lab, una de las compañías antivirus que analizan Flashback, liberó su herramienta gratuita para la eliminación del malware, después de los reportes de que la utilidad eliminaba algunas configuraciones de usuario.Dicha herramienta es llamada Flashback Removal Tool.

También e Symantec dio a conocer su propia herramienta gratuita de detección y eliminación, publicando un enlace de descarga en una página, en la que promociona su Norton AntiVirus 12 para Mac, un antivirus especialmente diseñado para Mac.

La última actualización de Java para Apple se puede descargar desde la página de Apple para Snow Leopard o Lion: éstas pesan 80 MB y 67 MB, respectivamente. Los usuarios de Mac OS X con Java instalado serán automáticamente alertados por Software Update.

Los usuarios que ejecutan Leopard (OS X 10.5) o una versión anterior deben deshabilitar de forma manual, o quitar Java de sus Macs, ya que Apple no admitirá las versiones anteriores. Ese grupo de usuario es muy grande: Uno de cada seis Macs ejecutan una versión no soportada de OS X.  




Fuentes : Info World
0

Vulnerabilidad de día cero encontrada en la distribución de Linux Backtrack

Jesus Bourne 22 de abril de 2012

Vulnerabilidad de día cero que afecta la última versión de la distribución de Linux Backtrack ha sido descubierta por un estudiante durante el seminario de Ethical Hacking organizado por el instituto InfoSec.

El descubrimiento se publicó en el sitio web de InfoSec y detallado por el mismo estudiante, quien dice que los componentes del demonio de conexión inalámbrica (WICD) tienen varios errores de diseño que pueden ser aprovechados para ejecutar un ataque de escalamiento de privilegios.

"Fallas en la validación de entradas en las interfaces DBUS del WICD permiten a un atacante, casi de manera arbitraria, escribir opciones de configuración en el archivo 'wireless-settings.conf' del WICD, incluyendo pero no limitado a definir scripts (ejecutables, de hecho) para ejectuarse junto con varios eventos internos (por ejemplo, al conectarse a una red inalámbrica)", explicó.

"Estos scripts se ejecutan con privilegios de root, lo que lleva a ejecución arbitraria de código/comandos por un atacante con acceso a la interfaz DBUS de WICD como el usuario root."

El estudiante y el equipo de InfoSec inmediatamente comenzaron a trabajar en un exploit de prueba de concepto en paralelo con un parche para la vulnerabilidad. Ambos pueden ser descargados del sitio web del grupo.

Backtrack es una distribución de Linux popular con pentesters alrededor del mundo, debido a que viene precargada con cientos de herramientas de seguridad útiles. La vulnerabilidad afecta a la última versión - Backtrack 5 R2.

Los usuarios pueden utilizar el parche que ofrece el grupo o, aún mejor, actualizar WICD a la última versión (1.7.2) que corrige la vulnerabilidad.


Fuentes: Help Net Security 
0

Samba libera parche de seguridad para corregir error crítico

Jesus Bourne

Una vulnerabilidad de Samba puede ser explotada por atacantes remotos sin autenticación, para ejecutar código arbitrario en los sistemas afectados.

Los desarrolladores de Samba, software libre que permite compartir archivos e impresoras entre equipos Linux, Windows y Mac OS X, liberaron parches de seguridad el martes  para solucionar una vulnerabilidad crítica que puede ser explotada por atacantes remotos para ejecutar código arbitrario en sistemas en los que el servicio de Samba esté en ejecución.

La vulnerabilidad se identifica con la clave CVE-2012-1182 y se ubica en el código de Samba que maneja el procesamiento de las peticiones de Llamadas a Procedimiento Remotas (RPC), particularmente en la parte en la que se transforman en al formato de  Representación de Datos de Red (NRD).

Un cliente puede enviar un llamada RPC especialmente creada al servidor Samba para explotar la vulnerabilidad y ejecutar código no autorizado con privilegios administrativos (root) en el sistema.

"Como no se requiere de una conexión autenticada, se trata de la vulnerabilidad más crítica para un programa; se recomienda a los usuarios y proveedores parchar sus instalaciones de Samba inmediatamente", mencionó el equipo desarrollador de Samba en un comunicado de seguridad.

Para mitigar los riesgos asociados con esta vulnerabilidad, los administradores de Samba también pueden actualizar su instalación a la última versión, Samba 3.6.4, Samba 3.5.14 y 3.4.16, dependiendo de la rama que utilicen, o aplicar manualmente los parches a sus instalaciones sin hacer una actualización completa.

La vulnerabilidad es muy seria y esto se hace evidente por la decisión del equipo de desarrollo de Samba de liberar parches incluso para las versiones que no cuentan con soporte oficialmente, mencionó Carsten Eiram, jefe de seguridad especialista en la gestión de vulnerabilidades de la empresa Secunia.

Secunia calificó la vulnerabilidad como moderadamente crítica debido a que las mejores prácticas establecen que los servicios de Samba sólo deben ser accesibles a través de redes locales. 

Sin embargo, Samba también puede ser configurado para trabajar a través de Internet y para casos como ese, la vulnerabilidad debe ser considerada como altamente crítica, dijo Eiraim.

Samba está instalado por defecto en la mayoría de las distribuciones Linux, así como en Mac OS X Server de Apple. También se encuentra disponible para BSD, Solaris y otros sistemas operativos tipo UNIX.

Además, al estar instalado de forma recurrente en tantas computadora, Samba también se utiliza en dispositivos UNIX, como impresoras de red o dispositivos de almacenamiento en red, mencionó Eiram.

Esto hace de la vulnerabilidad un objetivo atractivo para desarrolladores de exploits, para herramientas de pruebas de penetración comercial y libres, como Metasploit, así como para el uso en ataques maliciosos. 

"Una vulnerabilidad de ejecución de código que no requiere autenticación en Samba hace muy interesante el trabajar en un exploit para aprovecharla", concluyó Eiram.

Fuentes: Tech World 

0

Circula versión troyanizada de Angry Birds

Jesus Bourne

La enorme popularidad del juego de Rovio Angry Birds hace de él y sus ediciones especiales el perfecto anzuelo para usuarios desprevenidos para que descarguen el malware.

Una versión troyanizada de la última versión del juego “Angry Birds Space” fue recientemente descubierta por investigadores de Sophos y está disponible en diferentes tiendas no oficiales de Android. 

Los usuarios que lo descargan pueden no darse cuenta que han descargado una aplicación maliciosa, el paquete pretende ser una versión completa del juego, el nombre y el ícono de la app corresponde a las usadas por la app legítima, la cual fue lanzada el 22 de marzo.

Sin embargo, el exploit GingerBreak se ejecuta en segundo plano para obtener permisos de administrador en el dispositivo y usarlo para descargar e instalar malware adicional de un sitio web remoto. 

El dispositivo comprometido está a merced de los delincuentes que controlan el malware y es parte de una botnet. Los criminales pueden descargar cualquier paquete adicional que quieran o navegar a cualquier página que elijan. 

Como siempre, se aconseja a los usuarios ser extremadamente cuidadosos cuando descarguen aplicaciones de tiendas en línea no oficiales. 


 Fuentes: Net Security

0

Tiendas de aplicaciones chinas hospedan programas maliciosos


El gobierno chino llama la atención a compañías telefónicas por medidas de seguridad deficientes.Las autoridades chinas han expresado su preocupación después de descubrir vulnerabilidades en las tiendas de aplicaciones de las operadoras móviles, China Mobile y China Telecom.

El periódico local, Guangzhou Daily, informó (a través de Sina Tech) que de acuerdo al Ministerio de Industria y Tecnologías de la Información; la seguridad de las redes de operadores móviles, en términos generales, presenta un impresionante cumplimiento del 98 por ciento.

Sin embargo, el subdirector Xiong Sihao informó que hay "muchos problemas" en las tiendas de aplicaciones de los dos operadores, que entre ambos comparten el 80 por ciento del mercado.China Unicom, la cual tiene alrededor del 20 por ciento, está fuera del informe.

Los comentarios de Sihao en el informe dan a entender que el ministerio está un poco inconforme con que los operadores no estén haciendo más para preservar la seguridad del ambiente para sus usuarios.

"A juzgar por la industria en la actualidad, no ha habido un cambio fundamental en las debilidades de seguridad de los operadores, y a pesar de algunos esfuerzos no ha habido mejoras sustanciales", menciona Sihao.

Aunque no hay estadísticas confiables, China parece tener un gran problema cuando se trata de aplicaciones móviles maliciosas, que se pueden descargar de sitios legítimos como los de estos operadores o de plataformas de terceros de reputación dudosa.

Roy Ko, un consultor del Centro de Coordinación del Equipo de Respuesta a Incidentes en Cómputo de Hong Kong, dijo a The Register que parte del problema radica en los mismos usuarios de móviles.

"En China, a la gente le gusta crackear software y distribuirlo gratuitamente.Google Play cuenta con algunos controles de calidad; sin embargo, existen sitios donde es peligroso descargar aplicaciones porque te puedes encontrar con software malicioso junto con las aplicaciones modificadas", señaló.

El objetivo final más común de los autores de estas aplicaciones maliciosas es robar datos o hacer dinero por medio del malware, aunque son cada vez más los hackers que usan estos canales de infección para convertir teléfonos inteligentes en bots, explicó Ko.

Tomando en cuenta que el gobierno siempre se sale con la suya de una manera u otra en la República Popular, probablemente no pasará mucho antes de que los operadores anuncien nuevas medidas para vetar aplicaciones en sus tiendas de forma más rigurosa.

Con el número de suscriptores de móviles en el país llegando a mil millones y Android encabezando la competencia, es bastante seguro que los cibercriminales se enfocaran en el S.O. por medio de aplicaciones maliciosas en el futuro.

Fuentes: The Register 

0

Herramienta gratuita detecta malware Flashback para Mac

Jesus Bourne 18 de abril de 2012
Un desarrollador de Mac ha publicado una herramienta que detecta la infección del malware Flashback en las computadoras de Apple.

La pequeña herramienta -- es solo una descarga de 38 KB -- fue creada por Juan Leon, un ingeniero de software de Garmin Internacional, la compañía con sede en Kansas es mejor conocida por dispositivos GPS.



La herramienta descubre el malware mediante la automatización de un largo proceso publicado por primera vez por la firma de seguridad F-Secure el mes pasado. El procedimiento de F-Secure requiere introducir múltiples comandos en la terminal del sistema operativo OS X de las Mac.

Cuando el Checker Flashback se ejecuta, muestra el mensaje "No hay signos de infección encontrados" o proporciona información adicional si es capaz de detectar los cambios que el malware ha hecho al sistema Mac.

Los usuarios afectados con el malware Flashback pueden eliminar de sus equipos la amenaza utilizando software de seguridad comercial - tanto la firma francesa Intego como la finlandesa F-Secure ofrecen productos antivirus demo por 30 días para sistemas Mac.


De acuerdo con Dr. Web, la compañía de seguridad Rusa que fue la primera en cuantificar las infecciones del malware Flashback, se han visto afectadas casi el 2% en todos los sistemas Mac.

Dr. Web utiliza una técnica diferente para la detección del malware Flashback. En lugar de examinar el propio sistema Mac, la herramienta Dr. Web compara el UUID (identificador único  universal) de una computadora con la lista de UUID de los equipos Mac infectados obtenida de un servidor central de la red maliciosa (C&C).

Flashback ha estado en circulación desde el pasado mes de septiembre, pero hasta hace unas semanas ha podido instalarse de forma silenciosa a través de ataques "drive-by" que dependen de la explotación de una vulnerabilidad recién actualizada en Java de Oracle.

Apple solucionó el fallo de Java el 3 de abril, siete semanas después de que Oracle liberara el parche de la vulnerabilidad para usuarios de Windows y Linux.



Fuentes: PCWorld
0

Ataques web usan redireccionamiento dinámico para evitar herramientas de seguridad para direcciones URL

Jesus Bourne 16 de abril de 2012
Investigadores de seguridad de la firma antivirus ESET se han encontrado con ataques web que usan malware para tratar de evadir las herramientas de seguridad para direcciones URL, verificando el movimiento del ratón.



Los nuevos ataques fueron vistos en el espacio web de Rusia y no requieren la interacción del usuario para infectar equipos con malware.  (Véase también “¿Cómo eliminar malware de tu PC de Windows?”).

La mayoría de los ataques de este tipo dependen de iframes ocultos inyectados en sitios web legítimos, pero comprometidos para redirigir a los visitantes a la página del ataque real.  Sin embargo, los sitios web afectados por esta nueva campaña no presentan estos elementos criminales.

En su lugar, el código JavaScript se añade a los archivos JS locales que se cargan en la cabecera (head) de cada página HTML, haciendo que la infección sea más difícil de detectar, comentaron los investigadores de seguridad de ESET en su blog el viernes. 

Cargar JavaScript de esta manera es una práctica muy común y no es una seña particular de que se haya comprometido la información.

El código inyectado en estos archivos locales de JavaScript carga un archivo JS diferente a una ubicación externa, pero sólo si el movimiento del cursor del ratón se detecta en la página. 

El propósito de la detección de movimiento del ratón es evitar los escáneres de URLs y rastreadores Web que utilizan las empresas de seguridad o los motores de búsqueda para detectar sitios web infectados.

Es una técnica sencilla, pero sugiere que los ciberdelincuentes están buscando formas más proactivas para diferenciar entre los visitantes humanos y los robots automatizados, para que puedan mantener sus ataques sin ser detectados durante largos períodos de tiempo, comentaron los investigadores de ESET. 

"Es una evolución natural para ataques que te conducen a descargas el incluir código malicioso utilizando técnicas proactivas para la detección de las actividades de los usuarios reales y evitar a los sistemas de recolección de malware.

Si la verificación determina que la solicitud proviene de un ser humano, el código JavaScript externo inyecta un iframe en la página HTML original sobre la marcha, y a continuación carga el código de ataque desde una instalación de un conjunto de herramientas de un exploit llamado Pack Nuclear.

Como la mayoría de herramientas de este tipo de ataques, Nuclear Packs intenta aprovechar las vulnerabilidades de ejecución remota de código en las versiones no actualizadas de los complementos del navegador como Java, Adobe Reader o Flash Player, con el fin de infectar los ordenadores de las víctimas con malware.

En este caso, la instalación de Pack Nuclear intenta explotar la vulnerabilidad CVE-2012-0507Java, la cual fue parcheado en Java para Windows en febrero y en Java para Mac la semana pasada, así como una vulnerabilidad mucho mayor en Adobe Reader, el cual es identificado como CVE-2010-0188.

Los usuarios deben asegurarse de que su navegador y plug-ins estén siempre actualizados para navegar por la Web y se debe ejecutar un antivirus en sus ordenadores en todo momento, aconsejan los expertos en seguridad.

Fuentes: PCWorld 

0

El troyano FlashBack infecta mas de 600,000 mac

Jesus Bourne 13 de abril de 2012
La Semana Santa que acabamos de dejar atrás ha estado sin duda protagonizada en materia de seguridad por el descubrimiento de más de 600.000 equipos Mac infectados con una nueva variante del troyano Flashback.

Este troyano, del cual ya hemos hablado en este blog, lleva infectando equipos con sistemas Mac OS desde mediados de 2011 y, con el paso del tiempo, mejora sus técnicas, pasando de ser un falso instalador de Adobe Flash Player en sus primeras versiones a aprovecharse de diversas vulnerabilidades en Java en la versión más reciente y que ha causado este elevado número de sistemas infectados.



Pero, ¿cómo ha podido producirse una infección tan grande (comparable a la de Conficker en Windows) en un sistema que siempre ha presumido de seguridad e inmunidad al malware? Para encontrar la respuesta, primero de todo hay que analizar uno por uno los diversos factores que han intervenido en esta infección masiva.

Por una parte tenemos a Apple y su manera de entender la seguridad. Actualmente, la compañía de la manzana no se caracteriza por la rapidez a la hora de lanzar parches de seguridad, pudiendo pasar meses entre ellos y dejando una ventana de tiempo bastante amplia para que los ciberdelincuentes hagan de las suyas.

Luego tenemos al software de Java que ha sido usado para propagar e infectar con las últimas variantes de Flashback aprovechando diversas vulnerabilidades. Estas vulnerabilidades se conocían desde hace tiempo y ya fueron solucionadas en otros sistemas operativos hace semanas mediante una actualización del software.

El problema en Mac es que no es Oracle (la desarrolladora de Java) la que lanza las actualizaciones para los usuarios con una versión vulnerable, sino la propia Apple, y esta ha tardado más de lo debido.

Por último tenemos al, normalmente, eslabón más débil: el usuario. Si en sistemas Windows el engaño y el uso de ingeniería social es algo que funciona muy bien a los ciberdelincuentes, en Mac no es una excepción, acrecentado además por la falsa sensación de tener un sistema “invulnerable” cuando la verdad es que las últimas versiones de Flashback no necesitaban siquiera que el usuario introdujese su contraseña de administrador.

Ante este panorama, ¿deben los usuarios de Mac asustarse ante una inminente llegada de grandes cantidades de malware para su sistema? De momento no hay motivos para que cunda el pánico, puesto que el número de muestras que se detectan cada día de malware para Mac sigue siendo muy bajo si lo comparamos con las destinadas a afectar sistemas Windows.


No obstante, todos los laboratorios antivirus hemos visto en los últimos meses un creciente interés de los desarrolladores de malware en los sistemas Mac OS, por lo que sería aconsejable que los usuarios empezasen a tomar medidas preventivas y destierren de una vez por todas el mito de usar un sistema invulnerable.

A continuacion aqui ese muestran  una serie de consejos a aquellos usuarios de Mac que quieran obtener más información sobre cómo proteger su sistema:

Comprobar si nuestro sistema está infectado por el troyano Flashback. Para ello se pueden seguir las instrucciones que nuestros compañeros de Seguridad Apple han preparado para tal efecto.

Si no se ha hecho ya, aplicar las actualizaciones correspondientes que Apple lanzó para solucionar las vulnerabilidades en Java aprovechadas por el troyano para infectar los sistemas.

Se puede forzar una búsqueda de actualizaciones desde el menú Aplicaciones > Preferencias del sistema > Actualización de software > Buscar ahora.


Desactivar Java. Si no se usa este software, cuyas vulnerabilidades son de las más aprovechadas actualmente para instalar malware, es recomendable desactivarlo. 

Para ello accedemos al menú Aplicaciones > Utilidades > Preferencias de Java y desmarcamos las casillas correspondientes a la versión de Java usada.



Por último, recordamos que existen varias soluciones de seguridad como ESET Cybersecurity para Mac que pueden ayudarnos a detectar y eliminar este tipo de amenazas.

En conclusión, las amenazas para Mac han dejado de ser algo anecdótico para pasar a ser un riesgo real. 

Con más de 600.000 sistemas infectados, Flashback ha demostrado que es perfectamente posible portar el malware que estamos acostumbrados a ver en Windows a Mac con buenos resultados. 

Es por ello que es necesario que tanto los usuarios como la propia Apple tomen medidas ahora que aún están a tiempo para protegerse proactivamente y evitar más infecciones de este tipo.

Fuentes: Josep Albors Ontinet.com

0

Autoridades ucranianas deshabilitan foro de malware

Jesus Bourne
Autoridades ucranianas deshabilitaron un foro en el que se compartía información para la fabricación de código malicioso, lo que sugiere, que la justicia de dicho país está vigilando más de cerca a los cibercriminales.

Administradores del foro VX Heavens, publicaron que sus servidores fueron censurados el 23 de marzo; supuestamente por crear e intentar vender software malicioso, una violación al código de justicia de Ucrania. Dicho sitio calificó como absurdo este hecho, y mencionó que no podría seguir ofreciendo sus servicios mientras el caso estuviera en la corte. 


Este foro fue un blanco fácil para las autoridades ucranianas, ya que había sido señalado como semillero de cibercriminales por varios expertos de seguridad.

Graham Cluley, consultor sénior de tecnologías de Sophos, escribió que VX Heavens operó durante muchos años hospedando tutoriales de malware, así como la publicación de muestras de código malicioso. Sin embargo, este sitio representa sólo una pequeña parte del mundo de los criminales, el cual crece cada vez más.

"Los miembros de VX Heavens no trabajaban como los cibercriminales motivados por el dinero, más bien el sitio servía como pasatiempo para los desarrolladores de malware]", escribió Cluley.

"Sin embargo, está claro que a las autoridades ucranianas no les pareció inofensivo el sitio, y confiscaron los servidores del sitio en busca de evidencia criminal", destacó.

Ucrania ha intensificado sus esfuerzos contra la delincuencia y el fraude electrónicos en los últimos años. En junio pasado, su servicio de seguridad, el SBU, desarticuló un conjunto de delitos informáticos que consiguieron aproximadamente 72 millones de dólares a través de Conficker, un gusano de rápida propagación que apareció en 2008.

Desde octubre de 2009, el FBI colocó a un agente especial de supervisión en la Embajada de Estados Unidos en Kiev, para ayudar en las investigaciones de delitos contra el país americano. 

Fuentes: Computerworld IA

0

Twitter demanda a spammers ¿Comienzo de batallas legales?

Jesus Bourne
Twitter presentó una demanda en contra “cinco de los proveedores de herramientas más agresivas de los spammers" en una corte federal en San Francisco, abriendo un nuevo frente en su batalla contra el spam. Este podría animar a otras redes sociales víctimas del spam.

"Con esta demanda vamos directamente a la fuente", dijo Twitter en una entrada de su blog. Se espera que la demanda civil actúe como disuasorio para otros spammers. Asimismo, con el cierre de proveedores de herramientas se espera evitar que otros spammers tengan a su disposición menos fuentes para atacar, dijo la compañía.

Datos de interés: Datos de interés del uso de Twitter en México 

Twitter es la empresa de Internet más reciente en realizar acciones legales contra los supuestos spammers. En enero, Facebook y el fiscal general del estado de Washington anunciaron demandas en contra de los dos co-propietarios del medio de comunicación Adscend, una red de anuncios que anima a usuarios a colocar mensajes de Spam, incluso a través de la técnica llamada "clickjacking".

Adscend negó las acusaciones y en su lugar dijo que investigará a las malas prácticas de los afiliados que contratan para conducir el tráfico a los sitios de los anunciantes.

Con esta demanda es posible que otras redes sociales también tomen acciones legales contra los spammers, pues esta práctica es cada vez más frecuente.

El caso más reciente es el de Pinterest, otra red social que gracias a su popularidad empieza a hacer blanco de los spammers. Consulta: Usuarios de Pinterest deben tener cuidado de los spammers, advierte experto en seguridad.

Fuentes :PC World

0

Malware infecta equipos Mac a través de vulnerabilidad en Microsoft Office

Jesus Bourne 11 de abril de 2012
Investigadores de seguridad encontraron nuevos ataques dirigidos de correo electrónico que explotan una vulnerabilidad de Microsoft Office para instalar un troyano de acceso remoto en sistemas Mac OS X.

Los correos falsos parecen tener como objetivo a organizaciones activistas tibetanas, y distribuyen documentos de Microsoft Word que explotan una vulnerabilidad de ejecución remota del código en Microsoft Office para Mac, de acuerdo con expertos de la firma de seguridad Alien Vault.

"Esta es una de las pocas veces que hemos visto un archivo de Office malicioso usado para entregar malware en Mac OS X", comentó el martes Jaime Blasco, investigador de seguridad de Alien Vault, en una publicación.


Investigadores de seguridad del fabricante de antivirus para Mac, Intego, creen que los ataques se propagarán aún más. "Este malware es bastante sofisticado, y vale la pena señalar que el código en estos documentos de Word, no está cifrado, de manera que cualquier programador de malware que obtenga copias de él, será capaz de alterar el código y de distribuir sus propias versiones de este tipo de documentos", mencionaron este jueves en una publicación.

"El ataque será muy efectivo en usuarios que no hayan actualizado sus copias de Microsoft Office, o que no tengan instalado un software antivirus", comentaron los investigadores de Intego.

Si la vulnerabilidad es explotada con éxito, los falsos archivos de Word instalarán un troyano, nunca antes visto para Mac OS X. Los atacantes remotos podrán dar instrucciones al malware para descargar, subir y eliminar archivos, o para iniciar un shell remoto en el sistema.

Alien Vault cree que este ataque fue llevado a cabo por la misma banda que la semana pasado distribuyó un troyano similar para Mac, el cual explota una vulnerabilidad en instalaciones desactualizadas de Java.

Este tipo de ataques dirigidos, también conocidos como "spear phishing", se han vuelto comunes en los últimos años, y están asociados generalmente con gobiernos u operaciones corporativas de espionaje cibernético. 

Sin embargo, la gran mayoría de los correos de spear phishing habían sido, hasta ahora, sólo dirigidos a usuarios de Windows.

"Aunque antes no veíamos este tipo de ataques dirigidos a usuarios de Mac, es claro que el juego ha cambiado, y estamos entrando a un nuevo periodo de malware para Mac", dijeron los investigadores de Intego.

Se aconseja a los usuarios de Mac mantener actualizado todo el software instalado en sus equipos, especialmente las aplicaciones populares, y ejecutar programas antivirus en todo momento. Muchos productos antivirus para Mac están disponibles gratuitamente.

Fuentes: PC World

0

Compañía de juegos recibe penalizaciones por poner en riesgo datos de sus usuarios

Jesus Bourne 10 de abril de 2012
Un desarrollador de juegos estadounidense enfrenta una multa de 250 mil dólares por dejar expuestos los datos de sus clientes.

La FTC (Federal Trade Comission) de Estados Unidos mencionó que se llegó a un acuerdo con la firma de "social gaming" RockYou, misma que dejó 32 millones de cuentes de usuario, incluyendo cuentas de menores de edad, vulnerables en la red.

La comisión declaró que la multa será parte de un acuerdo mayor sobre los cargos que implica que la compañía violara el acuerdo sobre la privacidad de menores de edad (Children's Online Privacy Protection Act, COPPA por sus siglas en inglés) al recolectar información personal de por lo menos 190 mil jóvenes menores de 13 años sin el consentimiento de sus padres, o sus tutores legal.

De acuerdo a la FTC, los servicios de medios y la plataforma de juegos de RockYou requieren que los usuarios creen una cuenta para la que necesitan una dirección de correo y una contraseña.

La FTC mencionó en la corte que de acuerdo a los informes, la compañía no tomó las medidas apropiadas para asegurar la información, esta práctica tiene como riesgo el uso no autorizado de las contraseñas almacenadas; y por lo tanto de las direcciones de correo electrónico de los usuarios.

Es bien sabido que muchas veces los usuarios reutilizan las contraseñas en diferentes cuentas. El hecho de que RockYou pregunte por la contraseña del correo electrónico, para después crear una cuenta, aumenta las posibilidades de que los usuarios introduzcan la misma contraseña para ambas cuentas.

Además de la multa en efectivo, el acuerdo especifica que la compañía debe estar sujeta regularmente a auditorías de seguridad por los próximos 20 años, además de establecer mejores controles de seguridad y aclarar su términos de servicio.

El acuerdo va orientado a corregir las prácticas de compañías que recolectan ilegalmente datos de menores de edad, así como a qué datos se pueden obtener y cuándo se debe informar a los padres.



Fuentes: V3 
0

Advierten de 'estafa' que cobra a los usuarios por recibir mensajes de texto

Jesus Bourne 9 de abril de 2012
Se advierte a usuarios de smartphones sobre un nuevo tipo de estafa de mensajes tarifados.

PhonepayPlus, organismo regulador de servicios tarifados por teléfono en Reino Unido, dijo que las personas están siendo engañadas para suscribirse a servicios que no solicitan, a menudo, con sólo escribir su número de teléfono en algún sitio en línea.

Con esto, los mensajes son enviados a los usuarios, costándoles hasta 7 dólares por mensaje de texto recibido. A menos que las personas mantengan una revisión regular de su factura telefónica, estos cargos pueden aumentar muy rapidamente.

Beth Coundley (24 años, de Chichester, Reino Unido), se sorprendió después de haber recibido alrededor de cinco mensajes de texto al mes, durante cinco meses. 

"Los mensajes venían con un enlace que me hizo pensar que si le daba clic me cobrarían, así que sólo los eliminaba inmediatamente. Debido a que no consulto mi factura de teléfono, un día llamé a mi compañia telefónica y descubri que cada mensaje me había estado costando más de siete dólares"

En total, ella comenta que le cobraron alrededor de 260 dólares a pesar de insistir en que nunca se suscribió a servicio alguno.

"Es terrible, [me siento] muy, muy enojada, absolutamente horrendo. No tengo mucho dinero, así que esto es realmente malo". Beth intentó contactar a la compañía que le envío los mensajes de texto, para quejarse y exigir su dinero de vuelta.

"Los contacté por correo electrónico y les llamé, pero no pudieron ayudarme. No respondieron a nada, por correo fueron respuestas automáticas y por teléfono fueron inútiles". Beth dijo que, finalmente, obtuvo una promesa de reembolso, pero tres semanas después aún no ve dinero alguno.

Typo-squatting

A menudo, los consumidores son engañados al ser víctimas del llamado typo-squatting; que es cuando las personas se equivocan, por una letra generalmente, al escribir direcciones web comunes, dijo PhonepayPlus. 

Cuando eso pasa, los usuarios pueden ser dirigidos a sitios muy parecidos al real (es decir al que el usuario pretendía ir) en los que se ofrecen dinero o regalos costosos y se indica que, para recibirlos, el usuario unicamente debe ingresar su número de teléfono móvil.

PhonepayPlus dijo que sólo ha recibido 38 quejas formales acerca de este tipo de estafa, pero están preocupados de que el problema se extienda.

Shirley Dent, directora de comunicaciones de PhonepayPlus, dijo lo siguiente: "No hablamos de la inmensa mayoría de buenos proveedores de servicios. Hablamos de los proveedores conflictivos que causan problemas a los consumidores, problemas a la industria y problemas a nosotros como organismo regulador".

En febrero, PhonepayPlus multó a dos compañías con $159,000 dólares cada una, por quebrantar su código de buenas prácticas, después de realizar typo-squatting con muchos sitios.

Cómo evitar ser víctimas de este tipo de estafa:

Revisa con regularidad tu factura telefónica.

No ingreses tu número de teléfono en cualquier sitio.

Agrega a los marcadores tus sitios web favoritos de manera que no tengas que escribirlos cada vez.

Contacta al organismo regulador correspondiente si sospechas que eres víctima de este tipo de estafas.

Fuente: Msn -  noticias

0

Error en Twitter permite dejar de seguir a otras cuentas sin autorización

Jesus Bourne
Los usuarios de Twitter empiezan a verse afectados por una falla que está causando dejar de seguir los tweeters de otros, sin su permiso.

La compañía de microblogging admitió que esto es ya un problema. Un portavoz de Twitter dijo: "Esta es una falla, y nuestro equipo está trabajando para solucionarla".  

La falla causa que usuarios de Twitter dejen de seguir al azar a otros usuarios sin su consentimiento, o conocimiento previo. Twitter aconseja a los usuarios afectados, visitar la página de soporte, e ir a las páginas de perfil de los tweeters para corroborar a quiénes ha dejado de seguir y a quiénes no.

Diputado y fanático de Twitter, Tom Watson, también fue afectado por la falla y 'twitteó': "Pensé que estaba haciendo algo mal", y después lo enlazó a una columna de consejos sobre el tema, publicada por Jeremiah Owyang, un analista de tecnologías que escribe para TechCrunch.

Owyang escribió: "Me pregunto ¿cuántos negocios, relaciones personales o casuales están tensas por la falla de dejar de seguir? Nos hace tomar una pausa, y cuestionarnos sobre la estabilidad de la infraestructura de Twitter, el uso de la red social, miis datos personales, y qué mensajes importantes pude haber perdido por fiarme de Twitter".

Miles de usuarios han twitteado sobre su experiencia con dicha falla y su reacción ante ésta.
Adam Rifkin, cofundador del sitio web Pandwhale, twitteó en una entrada: "¿Soy yo o ya comenzó a fallar Twitter? ¿Qué es tan difícil de reparar?"

Mientras Janet Davis, una historeadora de arte y diseño, publicó: "Twitter lo ha hecho siempre. [Esto] es lo peor de las últimas semanas". 



Fuente: The Telegraph CE

0

Crece la amenaza del código malicioso SpyEye

Jesus Bourne 5 de abril de 2012
AhnLab anunció que sus investigaciones identificaron que una significativa mayoría de los dominios y hosts para el troyano bancario SpyEye se localizan en Estados Unidos. El código malicioso captó la atención recientemente, al amenazar la información de los usuarios de banca en línea.

De acuerdo con datos relevantes extraídos del host de SpyEye por el The AhnLab Packet Center, el 48% de todos los dominios de SpyEye se encontraron en EU, seguido por Rusia con el 7% y Ucrania con el 6%.

The AhnLab Packet Center es el sistema de análisis de paquetes maliciosos de la empresa, evalúa los datos de paquetes sospechosos, incluyendo los del servidor de C&C de SpyEye.

Los resultados indican que los principales objetivos de SpyEye se encontraron principalmente en EU, y que las instituciones financieras de América del Norte y sus usuarios deben permanecer atentos.

Desde que su primer toolkit se hiciera público en 2010, el troyano SpyEye ha producido muchas variantes. Según el análisis de AhnLab, la variante "10310" fue identificada como la versión más distribuida, con el 34.5%.

Las variantes "10299" y "10290", con un 14.7% y 14.6%, respectivamente. Se esperan otras variantes en el futuro.

SpyEye, junto con Zeus, son los troyanos bancarios más notables al ayudar a los ladrones a robar más de $100 millones de dólares en todo el mundo. 

Sin una solución en la PC del usuario final, los bancos tienen grandes dificultades para proteger a sus clientes individuales de estas sofisticadas amenazas que representan estos códigos maliciosos.


Fuentes: Help Net Security 
0

Troyano Carberp permanece activo e inmune

Jesus Bourne 4 de abril de 2012
El troyano bancario Carberp sigue muy activo y en operación a pesar del arresto de una banda de ocho hombres rusos la semana pasada, quienes fueron acusados de ser los principales usuarios de la botnet de malware, menciona la compañía de seguridad Kaspersky Lab.

La compañía detectó que criminales vendían el troyano en foros de malware, y al menos una nueva campaña fue lanzada contra usuarios rusos de un sitio web de juegos.

Todos los intentos y propósitos de la nueva campaña detectada por Kaspersky son  los mismos que aquéllos realizados por los hombres arrestados por la policía rusa, ya que se usa la misma mezcla de kit de exploits BlackHole infectando sitios web, y golpeando a los visitantes con una mezcla similar de exploit de Java y Adobe de 2010 y 2011.

Recalcó que se trata de una banda independientemente a los arrestados por la policía rusa, ya que el dominio de comando y control fue registrado el día que se hizo público el arresto de los hombres, el 20 de Marzo.

"En definitiva, los responsables del desarrollo de Carberp siguen en libertad, y la banda cibercriminal que usan el troyano permanece activa. 

En otras palabras, aún falta un largo camino para llegar a la victoria", dijo Vyacheslav Zakorzhevsky miembro de Kaspersky.

La relevancia de la captura aún no ha sido revelada, pero la participación de varios servicios de policía desde el interior del país, resultó casi sin precedentes.

Las actividades de Carberp se han centrado mayormente en Rusia que cualquier otra plataforma de malware, un perfil que podría haber llevado a las autoridades rusas a actuar, después de haber minimizado la presencia de la ciberdelincuencia organizada que afecta a los extranjeros.

Desde su primera aparición en 2009, Carberp resultó sin duda peligroso, capaz de eludir el Control de Cuenta de Usuario de Windows (UAC – User Account Control) sin necesidad de tener privilegios de administrador. Como troyano bancario, habría superado a sus rivales más conocidos, como Zeus y SpyEye.

A la par, la plataforma del troyano bancario Zeus fue finalmente golpeada esta semana (o al menos el mundo lo espera), ya que una coalición de organizaciones de seguridad lideradas por Microsoft incautaron exitosmente servidores en un pequeño proveedor de servicios en Scranton, Pensilvania (EUA), los cuales eran usados para alojar infraestructura de comando y control de la botnet.

"Hay dos tipos de usuarios, aquéllos que han sido hackeados y los que están a punto de ser hackeados", dijo el ex-jefe del Departamento de Seguridad Cibernética, Greg García en un video de Microsoft durante la incursión.



Fuentes: Fuente: TechWolrd LG

0

Microsoft censura vínculos de The Pirate Bay en Windows Live Messenger

Microsoft decidió bloquear el acceso al sitio The Pirate Bay desde Windows Live Messenger. Cuando un usuario trate de enviar un mensaje instantáneo a un amigo con un vínculo de The Pirate Bay, Windows Live Messenger muestra un mensaje de alerta, diciendo que el vínculo "ha sido bloqueado al ser reportado como inseguro".


"Bloqueamos mensajes instantáneos si contienen URLs maliciosas o spam basados en algoritmos de inteligencia, fuentes de terceros y/o quejas de los usuarios. Las URLs de The Pirate Bay fueron señaladas por uno o más de estos elementos y en consecuencia fueron bloqueadas," dijo Redmond a The Register en una declaración vía correo electrónico.

The Pirate Bay ha sido un "para rayos de controversia" durante años hasta ahora, ya que los propietarios de derechos de autor han apuntado hacia la organización por brindar acceso a su contenido. Uno de los objetivos principales de la malograda ley "Stop Online Piracy Act" (SOPA) del año pasado se centraba en detener a The Pirate Bay, y otros sitios que proveen un servicio similar. Sin embargo, The Pirate Bay sigue a flote.

The Pirate Bay sabe que enfrenta muchos enemigos, y está usando una variedad de trucos y herramientas para combatirlos, incluyendo, hemos escuchado, drones WiFi.

Sin embargo, la aparente prohibición bloqueará la URL estándar de The Pirate Bay, los usuarios pueden fácilmente compartir el vínculo añadiendo un espacio o modificándolo de otras formas.

Fuentes: The Hacker News DR

0

YouTube desbloquea cuenta de Anonymous tras advertencias a sus ejecutivos

Jesus Bourne 3 de abril de 2012
El 25 de marzo los hacktivistas de Anonymous acusaron a YouTube de censura, tras el bloqueo de la cuenta TheAnonMessage. Los hackers advirtieron a los ejecutivos de YouTube que si la cuenta no se desbloqueaba en 72 horas, tomarían represalias contra ellos, a lo que finalmente YouTube cedió.

"El bloqueo a la cuenta TheAnonMessage atenta directamente contra los derechos de la primer enmienda de la Constitución de los Estados Unidos. Esta violación atenta contra todo nuestro movimiento", añadió Anonymous.

"Al oponerse al video de la operación Kony 2012, YouTube decidió bloquear una voz que dice la verdad."
No se sabe a ciencia cierta qué es lo que Anonymous tenía planeado para la operación Kony 2012, pero seguramente no sería nada bueno.

"Sin embargo, tomaremos medidas que harán que los ejecutivos de YouTube no duerman pensando en su seguridad. No a la censura, el conocimiento es libre", muestra al final video.

Los hackers hicieron notar el hecho de que el mensaje no está dirigido al sitio de YouTube, ya que éste es considerado un medio de comunicación y conocimiento en manos equivocadas.



Antes del tiempo límite establecido por Anonymous, YouTube restableció la cuenta generando la satisfación de toda la comunidad de Anonymous.

El dueño de la cuenta TheAnonMessage escribió ayer en su cuenta de Twitter lo siguiente:
"BREAKING: GREAT NEWS! @YouTube has unlocked my account and unblocked the censored video in response to yesterday's threat!" ("NOTICIA DE ÚLTIMA HORA!! @YouTube ha desbloqueado mi cuenta y ha quitado la censura al video, gracias a la advertencia del día de ayer!)."

Esto demuestra que las advertencias de Anonymous son tomadas muy enserio actualmente por las compañías, incluso aquellas grandes como YouTube. Aunque, por otro lado, los representantes de YouTube pudieron haber desbloqueado el canal debido a acusaciones sobre la censura.

Como se ha visto en situaciones recientes, el ser acusado de censura en estos días es como estar asociado con cosas satánicas o incluso algo peor.

Fuentes: Softpedia 

0

Falso antivirus de Windows cambia de nombre, pero no su objetivo criminal

Jesus Bourne
No-Risk Agent, AntiHazard Center, Process Director, Guardian Angel, Software Keeper, Problems Stopper, Health Keeper y No-Risk Center, todos tienen una cosa en común, son antivirus (AVs) falsos para Windows, tratan de engañar a los usuarios para realizar pagos con el fin de eliminar las falsas infecciones desde sus computadoras.

Un proverbio rumano viene a la mente: "el lobo cambia su pelaje, pero nunca su naturaleza". Así como el lobo, estos antivirus falsos para Windows cambian sus nombres, pero nunca sus propósitos maliciosos.



De acuerdo con los investigadores de GFI, todas las aplicaciones maliciosas son iguales. En primer lugar, todas se presentan ante la víctima como un escáner falso en línea que advierte a cerca de múltiples infecciones, y de las amenazas que ponen en peligro la seguridad de la computadora.

Si el usuario cae en la trampa, y solicita la vacuna para la infección, un pedazo de scareware se descarga, constantemente molestando al usuario con amenazas que en realidad no existen.

Para los inexpertos, parece que la única manera de deshacerse de estas molestas alertas es mediante la compra de una herramienta de eliminación; que, por lo general, cuesta alrededor de $99 dólares (75 euros). Por supuesto, no hay garantía de que los autores intelectuales de la trampa dejen libre al equipo una vez que la cantidad sea pagada.

Además, si ven que las víctimas están dispuestas a pagar la cantidad solicitada de dinero, los estafadores pueden generar confianza y mantener activas otras operaciones similares.

Se les aconsejan a los internautas hacer caso omiso al software de seguridad que no provenga de una fuente confiable, incluso si lleva el nombre de un vendedor legítimo.

Aquellos que ya hayan caído en las trampas de los delincuentes, se les recomienda ejecutar verdaderas soluciones antivirus para eliminar las amenazas. La mayoría de las empresas de seguridad ofrecen productos que pueden deshacerse de los elementos maliciosos.

En algunos casos, la pieza de malware pueden evitar que los usuarios descarguen e instalen software de seguridad, una situación en la que se recomienda el uso de un disco de rescate, tales como el disco de rescate VIPRE de GFI.

Fuentes: Softpedia 

0

Error crítico en Windows podría exponer millones de equipos a gusano

Jesus Bourne 1 de abril de 2012
Microsoft ha dado a conocer un error crítico en todas las versiones soportadas de Windows, que permite a los atacantes dañar computadoras con ataques que se replican a sí mismos, los cuales instalan código malicioso sin la necesidad de interacción del usuario.


La vulnerabilidad en el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) es de particular interés para los administradores de sistemas en entornos gubernamentales o empresariales, debido a que utilizan frecuentemente la característica que les permite solucionar, de manera remota, problemas en servidores de correo electrónico, terminales de punto de venta y otros equipos.

RDP es también la forma predeterminada en que se administran equipos Windows que se conectan al servicio EC2 de Amazon y otros servicios en la nube.

Esto significa que millones de equipos están potencialmente en riesgo de ser dañados por un poderoso gusano informático que se propaga exponencialmente, de manera similar a como lo hicieron los exploits conocidos como Nimda y Code Red en 2001.

"Este tipo de vulnerabilidad no requiere intervención o interacción del usuario, un atacante sólo tiene que enviar algunos paquetes o peticiones especialmente diseñados, y con eso tomar control total de la máquina afectada", dijo en entrevista Amol Sarwate, director del Laboratorio de Investigación de Vulnerabilidades de la empresa Qualys. Mientras que RPD no está habilitado por defecto, el número de máquinas que lo tienen activado es una "gran preocupación", dijo, debido a que es una característica ampliamente utilizada en grandes organizaciones y entornos de negocios.


El error mencionado afecta a equipos con Windows, desde XP hasta versiones más recientes, incluyendo la versión para desarrolladores de Windows 8. Fue reportado de manera privada por Luigi Auriemma, un investigador italiano de seguridad quien se enfoca frecuentemente en vulnerabilidades que afectan sistemas de control industriales y SCADA, de control de supervisión y adquisición de información, sistemas utilizados para controlar presas, refinerías y centrales eléctricas.

Microsoft dijo que no hay indicios de que la vulnerabilidad esté siendo utilizada para atacar a usuarios de Windows, pero predijo que eso podría cambiar. "Debido a lo atractivo de esta vulnerabilidad para los atacantes, anticipamos que un exploit para ejecución de código será desarrollado en los próximos 30 días", escribieron Suha Can y Jonathan Ness, del Centro de Respuesta de Seguridad de Microsoft, en un aviso publicado el martes.

Ellos instan a los usuarios a "aplicar inmediatamente" una actualización de seguridad incluida en el aviso. Aquellos usuarios que no puedan instalar la actualización inmediatamente y estén utilizando Windows Vista o una versión más reciente de Windows, deberían activar la Autenticación a Nivel de Red (NLA, por sus siglas en inglés), una característica que obliga a los usuarios a iniciar sesión en equipos con RDP para obtener credenciales de seguridad antes de obtener acceso.

La solución para el error en RDP es uno de los seis parches de seguridad que distribuirá Microsoft como parte de su más reciente "Martes de actualizaciones". En total, arreglan al menos siete vulnerabilidades. Únicamente el error en RDP está clasificado como crítico. Cuatro boletines fueron clasificados como importantes y uno como moderado.

Fuentes : Arstechnica

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT