Detectado un intento phishing muy peligroso dirigido a clientes de Cajamadrid, mostramos un correo electrónico con asunto "CajaMadrid PROMO (Felicidades, Has GANADO) Ultimas entradas!!! cuyo objetivo no es otro que intentar el robo de claves de acceso a clientes de Cajamadrid. En este caso la entidad financiera ha demostrado rapidez y eficacia eliminando la web-trampa, redireccionandola a un servidor seguro.
Página fraudulenta: http: //tonisliquors.com/oi.cajamadrid.es/promociones/Login/promo.login.php
La imaginación de los delincuentes no tiene límites, en este caso el correo-trampa "nos pone los dientes largos" con falsos regalos para que accedamos a la web-trampa que no es otra cosa que una copia exacta a la web auténtica de identificación de clientes de Cajamadrid, hablamos de una web que envía las claves que introduzcamos en los campos de usuario y contraseña a terceras personas poniendo en peligro nuestro dinero e información personal y financiera.
Nos acosan con falsos regalos directos y sin sorteo solo con entrar a la web de Cajamadrid desde el enlace del correo-trampa, !!incluso con un coche!!.
Con toda probabilidad el creador del ataque phishing se vale de servidores vulnerables para subir archivos y utilizarlos en ataques como el que nos ocupa.
En la imagen de abajo mostramos una captura del correo-trampa donde posiblemente más de uno se hubiera visto tentado por alguno de los falsos regalos.
En este caso destacamos la rapidez y eficacia de Cajamadrid ante esta estafa, un ejemplo que deberían seguir todas la entidades que ofrecen banca on-line.
31/10/08 PHISHING
Phishing a clientes de Paypal
Otro correo electrónico suplantando la identidad de www.paypal.com, aludiendo a una supuesta alerta en nuestra cuenta de Paypal tratan que accedamos a ella desde un enlace-trampa que, salta a la vista, nada tiene que ver con la famosa entidad de pagos on-line www.paypal.com
Página fraudulenta que suplanta a www.paypal.com: hxxp://redes.umsa.bo/webps/
28/10/08 DELINCUENCIA EN LA RED
Falsas actualizaciones instalan malware
Mostramos un ejemplo de web-trampa que por desgracia está bastante extendido desde hace ya algo de tiempo, se trata de páginas trampa que instalan troyanos bajo falsas actualizaciónes del famoso codec flash Player de Adobe.
(!!OJO No visiten la web, contiene exploit que infecta ordenadores sin actualizar!!)
Página fraudulenta: hXXp://adobeflash.mx.com
Hablamos de páginas que nos avisan de la instalación obligatoria del supuesto códec de video como excusa para poder visualizar la web completa. El archivo malicioso lo denominan AdobeFlash.exe" ocupa 95744 bytes, HASH MD5: e7d102af4a238d288d8384741246ca59 y es detectado por kaspersky Lab Trojan-Downloader.Win32.Delf.pju
Desconfie de cualquier actualización de software que no provenga de la web del fabricante, en este caso instale solo actualizaciones de flash player solo desde la web de www.adobe.com y como siempre disponga de un antivirus y firewall completamente actualizados, mantenga su sistema operativo completamente actualizado.
ESET SysInspector es una utilidad gratuita capaz de mostrarnos datos completos del estado de nuestro sistema operativo; procesos en ejecución, conexiones de red, dns. Su Heurística es capaz de asignar un color para cada nivel de riesgo en los objetos analizados. Diseñado para descubrir objetos ocultos(Rootkits) en MBR, drivers, entradas del registro, procesos y servicios
Principales Características:
Habilidad para generar logs de análisis avanzado para ser analizados por expertos o en cualquier foro de análisis on-line.
Opción disponible para excluir información privada en el log resultante.
Diseñado para descubrir objetos ocultos(Rootkits) en MBR, drivers, entradas del registro, procesos y servicios.
Habilidad para comparar dos logs y obtener el resultado de los cambios generados.
Navegación intuitiva en árbol jerarquizado.
Archivo ligero y fácilmente transportable por ejemplo en una llave USB, instalación sencilla.
23/10/08-ACTUALIZACION WINDOWS CRITICA- ACTUALICE SU SISTEMA OPERATIVO INMEDIATAMENTE.
Boletín de seguridad de Microsoft MS08-067 – Crítico-
Esta actualización de seguridad se considera crítica para todas las ediciones compatibles de Microsoft Windows 2000, Windows XP y Windows Server 2003; y se considera importante para todas las ediciones compatibles de Windows Vista y Windows Server 2008. Actualice su sistema operativo inmediatamente
La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC(del inglés Remote Procedure Call, llamada a Procedimiento Remoto) especialmente diseñada en un sistema afectado.
En los sistemas Microsoft Windows 2000, Windows XP y Windows Server 2003, un atacante podría aprovechar esta vulnerabilidad sin autenticación para ejecutar código arbitrario.
Es posible que esta vulnerabilidad se pueda usar en el diseño de un gusano, todos recordamos el famoso gusano Blaster usando una vulnerabilidad RPC/DCOM (parece que un fragmento de la linea de código del famoso gusano Blaster ha sido detectada, usando el procolo Server Mensage Block para distribuirse en redes de uso compartido). Recordamos que el uso de firewalls actualizados es imprescindible para evitar riesgos contribuyendo a proteger recursos de red de los ataques que se originen fuera del ámbito de la empresa.
06/10/08 DELINCUENCIA EN LA RED
14/10/08 CONTINUAN LOS ATAQUES; ACTUALIZADA NUEVA WEB TRAMPA
Delincuentes informáticos crean utilidades fraudulentas bajo la imagen de supuestos antivirus o limpiadores de malware.
Descubierta una web muy peligrosa creada expresamente para infectar a visitantes con ordenadores sin actualizar(por desgracia miles), hablamos de una web que bajo la falsa apariencia de una útil aplicación denominada "AntiMalware2009" que supuestamente limpiará nuestro PC de malware intentará que descarguemos un peligroso archivo: "AntiMalware2009Installer.exe"( MD5: 95d8476007c4eb27ea6f98fe1fc88ccd ) detectado a fecha de hoy por pocas firmas antivirus.
Página fraudulenta:(OJO No visiten la web) hXXp://your-windows-scanner.com/winscan/
Aquí tenemos un ejemplo de algo que se está comenzando a detectar cada vez con más frecuencia, se trata de páginas web que usando una falsa utilidad detectará si nuestro PC está infectado de malware.
Como es de suponer el resultado será siempre el mismo, nuestro PC necesita una "limpieza a fondo" y para ello nos invitan a descargar un archivo denominado AntiMalware2009Installer.exe el cual no es otra cosa que un archivo malicioso capaz incluso de tomar el control del escritorio de nuestro PC.
Si observamos el código fuente de la página, la web fraudulenta explota fallos en los navegadores de aquellos ordenadores que no contienen actualizaciones críticas como el SP2 para usuarios de Windows XP, la descarga del archivo malicioso se realiza silenciosamente sin la intervención del usuario en aquellos ordenadores con XP sin actualizar.
Utilice el sentido común y haga caso omiso del correo Spam, no siga enlaces de correos no solicitados y recuerde que debe mantener su sistema operativo así como su antivirus completamente actualizados.
Actualizado al día 14/10/08 Detectamos otra URL trampa idéntica a la anterior y con el mismo propósito; infectar ordenadores con malware
(OJO No visiten la web, contiene un exploit que infecta ordenadores con windows xp y Vista totalmente actualizados que no dispongan de antivirus actualizados, capaces de detectar el malware y bloquear la descarga automática del mismo) hXXp://online-virus-scanning.com/
Aquí mostramos una captura de la web trampa en acción, comprobado en Windows Vista completamente actualizado con navegador Internet Explorer:
Al visitar la web el navegador muestra un aviso donde usando javascript obligan a nuestro Internet Explorer a darnos una advertencia, nos sugieren la descarga del archivo malicioso por un supuesto comportamiento lento debido a virus y malware.
En la siguiente tenemos otra captura de la web trampa donde tratan de intimidarnos con un supuesto análisis con el resultado de varios troyanos y spyware en nuestro ordenador, por supuesto todo ello con un solo objetivo, instalar el archivo malicioso y tomar el control del PC.
27/09/08 DETECTADO CODIGO MALICIOSO EN EL SERVIDOR DE ESRTE BANK EN POLONIA
Websense® Security Labs™ nos informa de esta terrible noticia.
El archivo malicioso "foto.exe" (SHA1: 0f7151400dbb7ecf5f9e7a4dc7947891) aparenta ser una imagen ya que utiliza el ícono que windows xp usa para mostrar archivos con extensión ".JPG" Tras ejecutar el archivo malicioso se realiza la descarga de un peligroso troyano bancario capaz de enviar toda la información financiera que al Hacker le interesa como son contraseñas de acceso y datos personales.
No se trata de Phishing bancario, se trata de la web auténtica del Banco "Erste Bank group" en Polonia a la que solamente con acceder puedes quedar infectado por un troyano bancario del cual no sabemos nada aún. En la imagen superior mostramos una captura de la web del banco.
Se trata de un banco Polaco pero como dice el refrán... cuando las barbas del vecino veas cortar.....
Recuerde, es muy importante que windows muestre la extensión real de los archivos, para ello debemos desactivar manualmente la pestaña "Ocultar las extensiones de archivo para tipos de archivo conocidos", ya que por defecto en windows viene habilitado..
Para ello como observamos en la imagen (superior izquierda) debemos desmarcarlo en "Opciones de Carpeta"
Gratis si pero.... a cambio de instalar un juego que inundará nuestro PC con publicidad no deseada. Casos como el que analizamos existen miles y gracias a la "daltónica gratitud" anunciada por su autores, acaban realizando su particular negocio inundando nuestro ordenador de Adware.
En el video observamos como tras la simple descarga del juego gratuito windows defendernos avisa ante la posible instalación de un software nocivo (imagen adjunta), en el caso de aquellos que dispongan del mismo pueden bloquear la descarga pero hoy en día desgraciadamente aún existen ordenadores con actualizaciones pendientes de su sistema operativo o de sus antivirus.
Una vez descargado el juego y tras su análisis en www.virustotal.com comprobamos que es algo más que un juego.
Tras la instalación del juego, se realiza una conexión a internet con la dirección: www.openwares.org que no es otra que la web que dice ser la propietaria del juego.
Detectamos un envío masivo de correos (Spam)conteniendo troyanos bajo una falsa actualización de windows xp y Vista
Siempre hemos advertido del peligro que supone el simple hecho de abrir correos Spam, si a ello le sumamos la terrible imprudencia de aquellos que siendo usuarios de banca on-line, hacen clic en cualquier enlace, habrá (por desgracia) otra víctima más de delincuentes informáticos que bajo falsas actualizaciones de sistemas operativos e incluso de antivirus logran con éxito vaciar alguna que otra cuenta bancaria usando troyanos bancarios.
En la imagen de abajo observamos un correo Gmail recibido en numerosas ocasiones, si observamos el código fuente la supuesta actualización es un archivo ejecutable que no es otra cosa que un peligroso troyano, en ese caso el archivo malicioso lo denominan "install.exe" MD5: ea16ed25be6a2e5f207c184bb52473de
Citibank devolverá 14 millones de dólares a miles de usuarios de tarjetas La entidad bancaria se apropió de este dinero de forma ilegal y pagará 3,5 millones en multas
La oficina que dirige el fiscal Edmund Brown alcanzó un acuerdo extrajudicial con el banco, relativo al uso ilegal de un programa informático que transfería fondos de cuentas de tarjetas de crédito al banco sin el conocimiento de los titulares.
"La compañía robó de una manera consciente a sus clientes, muchos de ellos pobres o que había muerto recientemente, al diseñar y aplicar esas transferencias", señaló Brown en un comunicado de prensa.
Agregó que, cuando un empleado descubrió esas operaciones y lo comunicó a sus superiores, éstos lo despidieron, al tiempo que "enterraron la información y continuaron con esa práctica ilegal".
La fiscalía explicó que, entre 1992 y 2003, Citibank usó un programa informático que buscaba saldos positivos en las cuentas de las tarjetas de crédito de sus clientes y los transfería al fondo del banco.
Un saldo positivo en ese tipo de cuentas se registra cuando un cliente paga dos veces el mismo recibo o se devuelve el importe de una compra anulada, por ejemplo.
La transferencia de esos importes al fondo general de la entidad se realizaban sin notificarlo al cliente o comprobar si éste tenía algún pago pendiente al banco, según la fiscalía.
Esa práctica afectó a mas de 53.000 usuarios en Estados Unidos, según la investigación iniciada por la fiscalía en 2005 y que se ha prolongado por tres años.
Citibank se comprometió a devolver a los afectados las cantidades que ingresó indebidamente, más un 10 por ciento de intereses, y a no utilizar más ese tipo de transferencias.
Principales Características:
La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC(del inglés Remote Procedure Call, llamada a Procedimiento Remoto) especialmente diseñada en un sistema afectado.
Según nos informan en el periódico 
