“Te hemos bloqueado el equipo, para poder liberarlo envíanos un SMS”
Descubierto un peligroso troyano capaz de además de bloquear el acceso al escritorio de la víctima, chantajearle con el envío de un SMS como pago para obtener la contraseña de desbloqueo del ordenador "secuestrado". De momento la IP de los equipos atacados por este tipo de malware están en Rusia
Según nos informa Dr.Web el troyano se instala en nuestro ordenador como un codec de video (ojo con esto), una vez instalado al arrancar el sistema nos aparece el mensaje que podemos ver bajo estas lineas donde en varios idiomas nos exigen un sms para el envío del código que desbloquea el acceso al escritorio de nuestro ordenador.
Se trata de una variante de RANSOMWARE al que Dr.Web denomina Trojan.Winlock.19 , Mcafee lo controla como Ransom.a , Panda como Trj/SMSlock.A, y si bien no es nueva en su tipo, es de las primeras en impedir el acceso al escritorio, mientras que otras solo bloqueaban acceso a archivos o documentos.
Datos del Troyano según análisis en VirusTotal, positivo en 19 de 40 motores antivirus:
Result: 19/40 (47.50%)
File size: 86016 bytes
MD5...: 6211d3af9d2ee3dcd44c948a4ecf6633
SHA1..: 35b88e921f6289cfe814473dd820f8bc6b5699fa
En caso de que nuestro ordenador quede bloqueado Dr.Web ha creado una utilidad on-line que desbloquea nuestro pc aunque debido al idioma es difícil que algún ordenador hispano quede infectado: http://news.drweb.com/show/?i=304&c=5&lng=en
14/04/09 MALWARE
Falsos Antivirus (Fake Alert)
Alertamos a todos los internautas ante una infección masiva de malware relaccionada con resultados de la búsqueda de la palabra FORD en buscadores web. En concreto PandaLabs ha localizado 1,2 millones de resultados maliciosos en los buscadores cuando se realizan búsquedas sobre la marca Ford Motor Co. dirigiendo a algunas de esas páginas maliciosas
Información actualizada a fecha 16-04-2009
No solo los usuarios de la marca ford están siendo afectados con los resultados maliciosos de búsquedas en navegadores web, también lo son los de la marca de automóviles NISSAN.
En las siguientes imagenes trataremos de mostrar el funcionamiento de este tipo de malware, de este tipo de malware sólo en los tres primeros meses de 2009 se detectaron 111.086 ejemplares nuevos y únicos de falsos antivirus, un 20% más que en todo 2008.
En la primera imagén observamos el resultado de la búsqueda de la palabra Ford Motor Co. En realidad puede que más de un millón de páginas web con resultados de búsqueda Ford Motor Co. estén en condiciones de infectar con "fake alert" mediante el método Blackhat SEO (técnicas SEO o de mejora del posicionamiento en buscadores con fines maliciosos).
En este caso han utilizado la famosa marca de automóviles Ford para tratar de infectar a sus usuarios cuando éstos tratan de buscar algo relaccionado con la marca.
Cuando el usuario hace click sobre algún enlace malicioso es enviado a una web que tratará de infectar al usuario mediante la supuesta reproducción de un video, para visualizar el supuesto video nos indican que es necesaria la instalación de un supuesto códec que en realidad se trata de un malware camuflado como un falso Antivirus, el archivo es un ejecutable llamado softwarefortubeview.40030.exeMD5: 3C146F57FE65BF03CAB8289F31B57618
.
En concreto, PandaLabs ha localizado dos falsos antivirus que están siendo distribuidos de esta forma: MSAntiSpyware2009 y Anti-Virus-1, pulse aquí para ampliar información.
Tras instalarse el falso códec se efectuará un simulacro de búsqueda de virus en nuestro ordenador dando como resultado una falsa detección de diferentes variantes de virus y malware, los creadores del malware nos dan como solución a ello la compra de la fraudulenta solución antivirus.
En caso de no realizar la compra el falso antivirus impedirá el correcto funcionamiento de nuestro ordenador tratando con ello obtener el pago del falso antivirus.
Detectado un ataque phishing masivo a clientes de la famosa entidad CajaMadrid, el spam detectado contiene como asunto: "Caja Madrid | "PROMO" te invita ganar un premio SIN SORTEO (hazlo tuyo ya)" tratando con ello de enviar a clientes de la entidad financiera a una web-trampa (alojada en Brasil) diseñada para el robo de claves de acceso y firma electrónica a clientes de dicha entidad financiera.
Página fraudulenta: hxxp: //200.204.142.98/catalog/cajamadrid.es.promociones/index1.php
La imaginación de los delincuentes informáticos no tiene límites, este ataque comienza con un correo spam con una imagen en movimiento (un gif) la cual nos invita a acceder a la web trampa que suplanta a Cajamadrid para obtener un premio directamente sin sorteo alguno.
Si cometemos el error de hacer click sobre dicho correo somos enviados a otra web-trampa con una imagen en flash donde aparecen supuestamente tres tipos de regalos de premio directo, al pulsar sobre cualquier falso regalo somos enviados a una web idéntica al portal de acceso de Cajamadrid donde tratan de obtener datos de identificación y firma electrónica para poder transferir el dinero desde nuestra cuenta bancaria.
Las imágenes las he incluido en un gif donde aparecen desde el correo-trampa, la web que cotiene el video flash con los regalos fraudulentos y por último una captura de la web que imita a Cajamadrid y la situación geográfica de la ip que aloja la web-trampa. Ante todo utilice el sentido común antes de hacer click sobre cualquier cosa por muy sugerente que pueda ser.
31/12/08 PHISHING
Phishing a clientes de MasterCard
Detectado un ataque masivo a clientes de la famosa entidad de tarjetas de crédito Mastercard. Se ha detectado un envío masivo de correos con asunto "Aviso Importante" suplantando la identidad de la entidad de tarjetas de crédito antes mencionada. El objetivo del correo, como siempre, es el robo de claves de acceso a clientes de la entidad. Un enlace en el mismo correo-trampa apunta a una web fraudulenta que imita a Mastercard .
Página fraudulenta: hxxp:// masterconsultas.es.gd
Recordamos (para los más despistados) que NUNCA debemos introducir datos personales de identificación financiera en páginas que (como en este caso) proceden de enlaces que nos llegan por correo electrónico u otro medio.
En este caso si pinchamos en el enlace trampa somos enviados a una web que tratando de suplantar a "Mastercard" nos pide todos nuestros datos de acceso:Nombre, teléfono, domicilio, Número de tarjeta, código PIN y código de verificación, etc..
16/12/08 PHISHING
Phishing a clientes de Paypal
Detectado un ataque phishing muy peligroso, como siempre todo comienza con la recepción de un correo-trampa con un enlace que nos envía a una web fraudulenta que imitando (en este caso) al famoso portal de pagos on-line www.paypal.com trata de robar claves de acceso a clientes del famoso portal de pagos on-line. Decíamos muy peligroso porque al acceder a dicha web somos objeto de la descarga de un troyano, detectado por Kaspersky como backdoor.PHP.agent.aj.
Página fraudulenta: hxxp:// omexenterprises.com/catalog/images/paypal.es
14/12/08 PHISHING
Phishing a clientes del Banco Santander
Detectamos envios masivos de correos(spam) con objetivos phishing. Alertamos a clientes de la entidad financiera de un envío masivo de correos trampa cuyo objetivo no es otro que el robo de contraseñas de acceso a cuentas de clientes del Banco Santander.
Página fraudulenta: http://discountproducts.shawnp.net/catalog/images/mail/
Cuidado con el correo Spam, elimine cualquier mensaje no solicitado y nunca abra archivos adjuntos a mensajes no esperados por muy sugerentes que puedan ser. Instale un antivirus y mantengalo actualizado.
En este caso les ha tocado a clientes del Banco Santander,(recordamos para los nuevos en esto del phishing que la página trampa NO PERTENECE al Banco santander) hoy en día están tan extendidos los ataques phishing que cualquier cliente de una entidad financiera que tenga activado el servicio de banca on-line puede ser víctima de estafas de este tipo.
En el gif que he preparado se muestran el correo-trampa y la web donde somos enviados desde el enlace del correo-trampa, como siempre los delincuentes intentan que perdamos la calma advirtiendonos de la suspensión del servicio o pérdidas de datos en caso de no acceder a la web trampa desde el enlace del correo. En caso de ingresar datos en la web fraudulenta, el robo de nuestros datos de acceso estará garantizado. No visiten las páginas fraudulentas, suelen estar creadas para descargar malware en ordenadores vulnerables.
04/12/08 !!ALERTA!!
DESCUBIERTO UN TROYANO BANCARIO QUE AFECTA A CLIENTES DE ENTIDADES ESPAÑOLAS.
Infecta ordenadores que usan windows con navegador Firefox
BitDefender nos alerta sobre un peligroso troyano bancario al que denominan "ChromeInject-B" y "Trojan.PWS.ChromeInject.A". Está diseñado específicamente para infectar máquinas que usan Windows con el navegador Firefox. Advertimos del peligro del troyano en cuestión ya que se descarga simulando ser un "Plugin" de Firefox ejecutándose cada vez que lo abrimos.
Según Bitdefender el troyano es capaz de monitorizar el acceso de usuarios a casi 100 entidades bancarias entre las que se incluye una peligrosa lista de bancos españoles, el destino de los datos de identificación bancaria robados parece ser Rusia (según Bitdefender).
El troyano instala los siguientes ficheros en las carpetas "plugins" de Firefox y Chrome:
%ProgramFiles%\Mozilla Firefox\plugins\npbasic.dll
%ProgramFiles%\Mozilla Firefox\chrome\chrome\content\browser.js/
Detectado un intento phishing muy peligroso dirigido a clientes de Cajamadrid, mostramos un correo electrónico con asunto "CajaMadrid PROMO (Felicidades, Has GANADO) Ultimas entradas!!! cuyo objetivo no es otro que intentar el robo de claves de acceso a clientes de Cajamadrid. En este caso la entidad financiera ha demostrado rapidez y eficacia eliminando la web-trampa, redireccionandola a un servidor seguro.
Página fraudulenta: http: //tonisliquors.com/oi.cajamadrid.es/promociones/Login/promo.login.php
La imaginación de los delincuentes no tiene límites, en este caso el correo-trampa "nos pone los dientes largos" con falsos regalos para que accedamos a la web-trampa que no es otra cosa que una copia exacta a la web auténtica de identificación de clientes de Cajamadrid, hablamos de una web que envía las claves que introduzcamos en los campos de usuario y contraseña a terceras personas poniendo en peligro nuestro dinero e información personal y financiera.
Nos acosan con falsos regalos directos y sin sorteo solo con entrar a la web de Cajamadrid desde el enlace del correo-trampa, !!incluso con un coche!!.
Con toda probabilidad el creador del ataque phishing se vale de servidores vulnerables para subir archivos y utilizarlos en ataques como el que nos ocupa.
En la imagen de abajo mostramos una captura del correo-trampa donde posiblemente más de uno se hubiera visto tentado por alguno de los falsos regalos.
En este caso destacamos la rapidez y eficacia de Cajamadrid ante esta estafa, un ejemplo que deberían seguir todas la entidades que ofrecen banca on-line.
31/10/08 PHISHING
Phishing a clientes de Paypal
Otro correo electrónico suplantando la identidad de www.paypal.com, aludiendo a una supuesta alerta en nuestra cuenta de Paypal tratan que accedamos a ella desde un enlace-trampa que, salta a la vista, nada tiene que ver con la famosa entidad de pagos on-line www.paypal.com
Página fraudulenta que suplanta a www.paypal.com: hxxp://redes.umsa.bo/webps/
28/10/08 DELINCUENCIA EN LA RED
Falsas actualizaciones instalan malware
Mostramos un ejemplo de web-trampa que por desgracia está bastante extendido desde hace ya algo de tiempo, se trata de páginas trampa que instalan troyanos bajo falsas actualizaciónes del famoso codec flash Player de Adobe.
(!!OJO No visiten la web, contiene exploit que infecta ordenadores sin actualizar!!)
Página fraudulenta: hXXp://adobeflash.mx.com
Hablamos de páginas que nos avisan de la instalación obligatoria del supuesto códec de video como excusa para poder visualizar la web completa. El archivo malicioso lo denominan AdobeFlash.exe" ocupa 95744 bytes, HASH MD5: e7d102af4a238d288d8384741246ca59 y es detectado por kaspersky Lab Trojan-Downloader.Win32.Delf.pju
Desconfie de cualquier actualización de software que no provenga de la web del fabricante, en este caso instale solo actualizaciones de flash player solo desde la web de www.adobe.com y como siempre disponga de un antivirus y firewall completamente actualizados, mantenga su sistema operativo completamente actualizado.
ESET SysInspector es una utilidad gratuita capaz de mostrarnos datos completos del estado de nuestro sistema operativo; procesos en ejecución, conexiones de red, dns. Su Heurística es capaz de asignar un color para cada nivel de riesgo en los objetos analizados. Diseñado para descubrir objetos ocultos(Rootkits) en MBR, drivers, entradas del registro, procesos y servicios
Principales Características:
Habilidad para generar logs de análisis avanzado para ser analizados por expertos o en cualquier foro de análisis on-line.
Opción disponible para excluir información privada en el log resultante.
Diseñado para descubrir objetos ocultos(Rootkits) en MBR, drivers, entradas del registro, procesos y servicios.
Habilidad para comparar dos logs y obtener el resultado de los cambios generados.
Navegación intuitiva en árbol jerarquizado.
Archivo ligero y fácilmente transportable por ejemplo en una llave USB, instalación sencilla.
23/10/08-ACTUALIZACION WINDOWS CRITICA- ACTUALICE SU SISTEMA OPERATIVO INMEDIATAMENTE.
Boletín de seguridad de Microsoft MS08-067 – Crítico-
Esta actualización de seguridad se considera crítica para todas las ediciones compatibles de Microsoft Windows 2000, Windows XP y Windows Server 2003; y se considera importante para todas las ediciones compatibles de Windows Vista y Windows Server 2008. Actualice su sistema operativo inmediatamente
La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC(del inglés Remote Procedure Call, llamada a Procedimiento Remoto) especialmente diseñada en un sistema afectado.
En los sistemas Microsoft Windows 2000, Windows XP y Windows Server 2003, un atacante podría aprovechar esta vulnerabilidad sin autenticación para ejecutar código arbitrario.
Es posible que esta vulnerabilidad se pueda usar en el diseño de un gusano, todos recordamos el famoso gusano Blaster usando una vulnerabilidad RPC/DCOM (parece que un fragmento de la linea de código del famoso gusano Blaster ha sido detectada, usando el procolo Server Mensage Block para distribuirse en redes de uso compartido). Recordamos que el uso de firewalls actualizados es imprescindible para evitar riesgos contribuyendo a proteger recursos de red de los ataques que se originen fuera del ámbito de la empresa.
06/10/08 DELINCUENCIA EN LA RED
14/10/08 CONTINUAN LOS ATAQUES; ACTUALIZADA NUEVA WEB TRAMPA
Delincuentes informáticos crean utilidades fraudulentas bajo la imagen de supuestos antivirus o limpiadores de malware.
Descubierta una web muy peligrosa creada expresamente para infectar a visitantes con ordenadores sin actualizar(por desgracia miles), hablamos de una web que bajo la falsa apariencia de una útil aplicación denominada "AntiMalware2009" que supuestamente limpiará nuestro PC de malware intentará que descarguemos un peligroso archivo: "AntiMalware2009Installer.exe"( MD5: 95d8476007c4eb27ea6f98fe1fc88ccd ) detectado a fecha de hoy por pocas firmas antivirus.
Página fraudulenta:(OJO No visiten la web) hXXp://your-windows-scanner.com/winscan/
Aquí tenemos un ejemplo de algo que se está comenzando a detectar cada vez con más frecuencia, se trata de páginas web que usando una falsa utilidad detectará si nuestro PC está infectado de malware.
Como es de suponer el resultado será siempre el mismo, nuestro PC necesita una "limpieza a fondo" y para ello nos invitan a descargar un archivo denominado AntiMalware2009Installer.exe el cual no es otra cosa que un archivo malicioso capaz incluso de tomar el control del escritorio de nuestro PC.
Si observamos el código fuente de la página, la web fraudulenta explota fallos en los navegadores de aquellos ordenadores que no contienen actualizaciones críticas como el SP2 para usuarios de Windows XP, la descarga del archivo malicioso se realiza silenciosamente sin la intervención del usuario en aquellos ordenadores con XP sin actualizar.
Utilice el sentido común y haga caso omiso del correo Spam, no siga enlaces de correos no solicitados y recuerde que debe mantener su sistema operativo así como su antivirus completamente actualizados.
Actualizado al día 14/10/08 Detectamos otra URL trampa idéntica a la anterior y con el mismo propósito; infectar ordenadores con malware
(OJO No visiten la web, contiene un exploit que infecta ordenadores con windows xp y Vista totalmente actualizados que no dispongan de antivirus actualizados, capaces de detectar el malware y bloquear la descarga automática del mismo) hXXp://online-virus-scanning.com/
Aquí mostramos una captura de la web trampa en acción, comprobado en Windows Vista completamente actualizado con navegador Internet Explorer:
Al visitar la web el navegador muestra un aviso donde usando javascript obligan a nuestro Internet Explorer a darnos una advertencia, nos sugieren la descarga del archivo malicioso por un supuesto comportamiento lento debido a virus y malware.
En la siguiente tenemos otra captura de la web trampa donde tratan de intimidarnos con un supuesto análisis con el resultado de varios troyanos y spyware en nuestro ordenador, por supuesto todo ello con un solo objetivo, instalar el archivo malicioso y tomar el control del PC.
27/09/08 DETECTADO CODIGO MALICIOSO EN EL SERVIDOR DE ESRTE BANK EN POLONIA
Websense® Security Labs™ nos informa de esta terrible noticia.
El archivo malicioso "foto.exe" (SHA1: 0f7151400dbb7ecf5f9e7a4dc7947891) aparenta ser una imagen ya que utiliza el ícono que windows xp usa para mostrar archivos con extensión ".JPG" Tras ejecutar el archivo malicioso se realiza la descarga de un peligroso troyano bancario capaz de enviar toda la información financiera que al Hacker le interesa como son contraseñas de acceso y datos personales.
No se trata de Phishing bancario, se trata de la web auténtica del Banco "Erste Bank group" en Polonia a la que solamente con acceder puedes quedar infectado por un troyano bancario del cual no sabemos nada aún. En la imagen superior mostramos una captura de la web del banco.
Se trata de un banco Polaco pero como dice el refrán... cuando las barbas del vecino veas cortar.....
Recuerde, es muy importante que windows muestre la extensión real de los archivos, para ello debemos desactivar manualmente la pestaña "Ocultar las extensiones de archivo para tipos de archivo conocidos", ya que por defecto en windows viene habilitado..
Para ello como observamos en la imagen (superior izquierda) debemos desmarcarlo en "Opciones de Carpeta"
Gratis si pero.... a cambio de instalar un juego que inundará nuestro PC con publicidad no deseada. Casos como el que analizamos existen miles y gracias a la "daltónica gratitud" anunciada por su autores, acaban realizando su particular negocio inundando nuestro ordenador de Adware.
En el video observamos como tras la simple descarga del juego gratuito windows defendernos avisa ante la posible instalación de un software nocivo (imagen adjunta), en el caso de aquellos que dispongan del mismo pueden bloquear la descarga pero hoy en día desgraciadamente aún existen ordenadores con actualizaciones pendientes de su sistema operativo o de sus antivirus.
Una vez descargado el juego y tras su análisis en www.virustotal.com comprobamos que es algo más que un juego.
Tras la instalación del juego, se realiza una conexión a internet con la dirección: www.openwares.org que no es otra que la web que dice ser la propietaria del juego.
Detectamos un envío masivo de correos (Spam)conteniendo troyanos bajo una falsa actualización de windows xp y Vista
Siempre hemos advertido del peligro que supone el simple hecho de abrir correos Spam, si a ello le sumamos la terrible imprudencia de aquellos que siendo usuarios de banca on-line, hacen clic en cualquier enlace, habrá (por desgracia) otra víctima más de delincuentes informáticos que bajo falsas actualizaciones de sistemas operativos e incluso de antivirus logran con éxito vaciar alguna que otra cuenta bancaria usando troyanos bancarios.
En la imagen de abajo observamos un correo Gmail recibido en numerosas ocasiones, si observamos el código fuente la supuesta actualización es un archivo ejecutable que no es otra cosa que un peligroso troyano, en ese caso el archivo malicioso lo denominan "install.exe" MD5: ea16ed25be6a2e5f207c184bb52473de
Citibank devolverá 14 millones de dólares a miles de usuarios de tarjetas La entidad bancaria se apropió de este dinero de forma ilegal y pagará 3,5 millones en multas
La oficina que dirige el fiscal Edmund Brown alcanzó un acuerdo extrajudicial con el banco, relativo al uso ilegal de un programa informático que transfería fondos de cuentas de tarjetas de crédito al banco sin el conocimiento de los titulares.
"La compañía robó de una manera consciente a sus clientes, muchos de ellos pobres o que había muerto recientemente, al diseñar y aplicar esas transferencias", señaló Brown en un comunicado de prensa.
Agregó que, cuando un empleado descubrió esas operaciones y lo comunicó a sus superiores, éstos lo despidieron, al tiempo que "enterraron la información y continuaron con esa práctica ilegal".
La fiscalía explicó que, entre 1992 y 2003, Citibank usó un programa informático que buscaba saldos positivos en las cuentas de las tarjetas de crédito de sus clientes y los transfería al fondo del banco.
Un saldo positivo en ese tipo de cuentas se registra cuando un cliente paga dos veces el mismo recibo o se devuelve el importe de una compra anulada, por ejemplo.
La transferencia de esos importes al fondo general de la entidad se realizaban sin notificarlo al cliente o comprobar si éste tenía algún pago pendiente al banco, según la fiscalía.
Esa práctica afectó a mas de 53.000 usuarios en Estados Unidos, según la investigación iniciada por la fiscalía en 2005 y que se ha prolongado por tres años.
Citibank se comprometió a devolver a los afectados las cantidades que ingresó indebidamente, más un 10 por ciento de intereses, y a no utilizar más ese tipo de transferencias.
Principales Características:
La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC(del inglés Remote Procedure Call, llamada a Procedimiento Remoto) especialmente diseñada en un sistema afectado.
Según nos informan en el periódico 
