Detectado un envío masivo de correos (Spam) que suplantan la identidad en este caso del Banco Santander, aludiendo a cuestiones de seguridad intentan engañar y envíar a usuarios confiados de la entidad financiera a una web que también suplanta la identidad del banco para además de robar las claves de acceso instalar un troyano: Troyan-Spy.HTML.Fraud.bs
Páginas fraudulentas: www.gruposantander.md/particulares www.gruposantander.md/empresas
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
En esta ocasión mostramos un ataque phishing que consta de un correo-trampa muy logrado donde algún que otro internauta confiado puede incluso llegar a creerse alguna que otra frase que aparece en el correo-trampa:
Nuestro grupo técnico ha
sido reconocido como el más efectivo en el año
2007 por decisión de expertos en la rama
seguridad de la información.
y que lo peligroso que puede ser visitar sitios comprometidos
¡Atención!
EL SERVICIO DE APOYO TÉCNICO DE BANCO SANTANDER
CENTRAL HISPANO LE RECOMIENDA ENCARECIDAMENTE
INSTALAR EL NUEVO SISTEMA DE SEGURIDAD!
Al instalar el nuevo sistema, ingrese
obligatoriamente sus datos verdaderos, en caso
contrario no obtendrá acceso a la actualización
Recomendamos encarecidamente a todos internautas que sin un antivirus y un firewall actualizados podemos ser víctima de descargas silenciosas de archivos maliciosos con solo hacer clic sobre un enlace y si a ello le sumamos un sistema operativo sin actualizar tan solo visualizando una web seremos objeto de la descarga de malware sin percatarnos de ello.
En el video mostramos como kaspersky bloquea la descarga de un archivo malicioso, concrétamente un troyano: Troyan-Spy.HTML.Fraud.bs
02/03/08 ATAQUES WEB
Hackers atacan la web de Izquierda Unida.
La delincuencia en la red ha hecho su aparición en la campaña electoral atacando a la web de Izquierda Unida. Quienes entraran el sábado por la noche en www.izquierdaunida.es se encontraron con una gran foto de los candidatos de PP y PSOE sobre una bandera preconstitucional
Los autores del sabotaje informático no han dudado en firmar su obra y se identifican bajo los seudónimos de "ka0x, an0de, xarnuz, y piker". Los cuatro forman un grupo de piratas cibernéticos que se hace llamar "D.O.M. Team 2008".
En el montaje realizado por los 'hackers' se ve a Zapatero y Rajoy dándose la mano sobre una bandera española preconstitucional. La foto está retocada, y mientras el líder del PSOE aparece con un largo cigarro en la boca, al candidato del PP le han colocado unas orejas enormes. Pero la 'broma' no termina ahí. Bajo la foto se puede leer la siguiente frase: "Tenemos algo en común, le dijo un presidente a un embustero...".
Detectado un envío masivo de correos electrónicos que suplantando la identidad de Ibercaja tratan de enviar a clientes de la entidad financiera a una web falsa que imitando al banco intentará robar sus claves de acceso a su cuenta de Ibercaja. Link que aparece en en correo-trampa que suplanta a Ibercaja: http://0xD3.0x23.0x31E6/.clientes.ibercaja.es/Login_asp.htm
19/02/08 DELINCUENCIA EN LA RED
Spam-trampa a clientes de Openbank.
Detectado un envío masivo de correos (Spam) que suplantan la identidad en este caso de Openbank, intentan envíar a usuarios confiados de la entidad financiera a una web cuyo nombre de dominio es muy similar al auténtico, con el peligro que supone introducir datos correctos en una web que no es la auténtica de Openbank.
Link que aparece en en correo-trampa que suplanta a Openbank: http://opinbank.com/servlet/login.html
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Como siempre aludiendo a alguna excusa de seguridad nos solicitan que accedamos a nuestra cuenta de Openbank desde un enlace del mismo correo electrónico, sin embargo la dirección real donde somos enviados en caso de pulsar sobre el enlace no es la que leemos en el mismo enlace.
Recordamos el peligro de no conocer bien el dominio de nuestra entidad financiera, una sola letra nos puede enviar a una trampa.
14/02/08 ACTUALIZACIONES WINDOWS -FEBRERO 2008-
Once boletines; seis de gravedad "crítico", cinco "importantes".
Microsoft ha publicado once boletines de seguridad (MS08-003 a MS08-013) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible ya que en 3 vulnerabilidades existen exploits publicados.
MS08-007:Una vulnerabilidad en el miniredireccionador WebDAV podría permitir la ejecución remota de código (946026)(Crítica)
MS08-008:Una vulnerabilidad en la automatización OLE podría permitir la ejecución remota de código (947890)(Crítica)
MS08-009:Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (947077)(Crítica)
MS08-010:Actualización de seguridad acumulativa para Internet (944533)(Crítica)
MS08-012:Una vulnerabilidad en Microsoft Office Publisher podría permitir la ejecución remota de código (947085)(Crítica)
MS08-013:Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (947108)(Crítica)
MS08-003:Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (946538)
(Importante)
MS08-004:Una vulnerabilidad en TCP/IP de Windows podría permitir una denegación de servicio (946456)(Importante)
MS08-005:Una vulnerabilidad en Internet Information Services podría permitir la elevación de privilegios (942831)(Importante)
MS08-006:Una vulnerabilidad en Internet Information Services podría permitir la ejecución remota de código (942830)(Importante)
MS08-011:Vulnerabilidades en el convertidor de archivos de Microsoft Works podrían permitir la ejecución remota de código (947081)(Importante)
Detectamos un envío masivo de correos (Spam) con asunto: Crazy Britney does it again!. El correo nos invita a hacer click en la imagen para instalarnos un troyano con el nombre de archivo: play.exe
Como vemos en la imagen los delincuentes aluden a una falso video sobre la conocida Britney Spears.
Una vez que pulsamos con el ratón sobre la imagen somos objeto de la descarga del archivo play.exe cuyo archivo instala un troyano desde la web http://hahne.id.au/play.exe//FSG detectado por kapersky como Trojan-Downloader.Win32.Tiny.ahx.
Es muy importante eliminar todo el correo Spam sin tan siquiera abrirlo, por ejemplo hace pocos días detectamos uno similar y que aludíendo a Paris Hilton intentaba descargar otros troyanos, en concreto los archivos eran player.exe o trailer.exe detectados ambos por kapersky como Trojan-Downloader.Win32.Exchanger.b
Recomendamos eliminar el panel de vista previa y la lectura de correos con código html para tratar de evitar la descarga silenciosa de archivos aprovechando alguna vulnerabilidad de nuestro sistema operativo.
Falsa actualización de windows instala un troyano.
Detectamos dos páginas web que suplantando la identidad de Microsoft intentan instalarnos un troyano bajo una falsa actualización crítica de windows. Advertimos del peligro que supone ya que pocas firmas antivirus detectaban el troyano. Cuidado con el correo Spam ya que posiblemente haya sido distribuido masivamente por correo electrónico.
Páginas detectadas que suplantan a microsoft: http://www9.update.microsoft.com.pid95.com/windowsupdate/v6/
http://www1.update.microsoft.com.ssl36.net/windowsupdate/v6/
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Hace unos meses tratamos otro caso similar, ahora hemos detectado dos páginas que suplantando la identidad de microsoft intentan que instalemos un troyano bajo la apariencia de una actualización crítica de windows.
El archivo lo denominan: WindowsUpdateAgent30-x86-x64.exe los datos del análisis en www.virustotal.com pueden verlos en el video ilustrativo.
Posiblemente y con toda probabilidad hayan sido enviados miles de correos masivos intentando que caigamos en la trampa, como mostramos en el video pocas firmas antivirus detectan el troyano, los delincuentes juegan con ventaja y la mejor forma de protegerse es el sentido común.
28/01/08 PHISHING
Ataques Web. Delincuencia en la red
Denominamos phishing-hack al ataque efectuado por delincuentes informáticos a sitios web con objetivos phishing. En este caso una web que dice pertenecer a un canal del IRC ha sido objetivo de este tipo de ataques, mostramos la dirección de correo electrónico que el hacker usa para enviar los datos de tarjetas de crédito así como las contraseñas robadas.
Página atacada: http://canalmasde20.nocayan.net/modules/My_eGallery/temp/titolari/ www.cartasi.it/33554433&REALMOID/gtwpages/index.jsp/index.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Mostramos otro ataque a una web con el objetivo de instalar una web phishing totalmente operativa para el robo de claves de acceso a clientes, en este caso de www.cartasi.it.
En este caso el hacker ha dejado el servidor abierto mostrando (entre otras cosas) un archivo php que usa como formulario-trampa para enviar las claves a una dirección de correo electrónico que supuestamente es la del hacker.
El hacker parece ser de origen italiano, los comentarios del código fuente son en este idioma por lo que se supone que el objetivo no son clientes de lengua española, sin embargo nos advierte a todos los administradores web que debemos estar alerta y tener parcheados totalmente nuestros servidores intentand poner todos los impedimentos posibles para aburrir al hacker, recuerde que ningun servidor está totalmente a salvo.
Fuente: http://www.phishtank.com/phish_detail.php?phish_id=380575
15/01/08 DELINCUENCIA EN LA RED
Se estima que hay unas 80.000 páginas web infectadas
Miles de páginas web han sido comprometidas y modificadas de forma automática para infectar a sus visitantes, el atacante se hace con un servidor web legítimo, incrustando código en él, normalmente Iframes. El código aprovecha habitualmente vulnerabilidades del navegador (o componentes adicionales no actualizados del visitante) para infectarlo.Se estima que hay unos 80.000 páginas infectadas. Todo tipo de webs se han visto afectadas por este problema. Gubernamentales, grandes empresas, bancos...
¿De qué manera "alguien" ha podido modificar tantas páginas legítimas para que redirijan a sus visitantes hacia la infección? En otras ocasiones, los atacantes entran en un servidor de hospedaje, y una vez bajo su control, modifican las miles o cientos de páginas que aloja. Sin embargo este ataque posee una característica que ha permitido su rapidísima difusión. Es capaz de buscar automáticamente páginas web vulnerables y aprovechando problemas de inyección SQL, llegar a la base de datos e incrustar su código en ellas.
En la inyección SQL ha tenido en cuenta la estructura de bases de datos del servidor SQL de Microsoft, y se ayuda de páginas web programadas de forma insegura para acceder a la base de datos y modificarlas. Lo que permite el asalto a las webs es la pobre programación de las páginas y no la infraestructura que las soporta, por lo que en cualquier momento los atacantes podrían cambiar el objetivo hacia páginas con MySQL o cualquier base de datos.
Microsoft comienza el año con dos boletines de seguridad (MS08-001 y MS08-002) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
Esta actualización de seguridad crítica resuelve dos vulnerabilidades de las que se ha informado de forma privada en el procesamiento del Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Esta actualización importante resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio de subsistema de autoridad de seguridad local (LSASS) de Microsoft Windows. La vulnerabilidad podría permitir a un atacante ejecutar código arbitrario con privilegios elevados. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario
Detectada una web que suplanta la identidad de Cajamadrid lista para el robo de claves de acceso a cuentas de clientes de la entidad financiera.
No disponemos del correo-trampa pero advertimos ante la posibilidad de que hayan sido ya enviados de forma masiva
Páginas fraudulentas: http://oi.cajamadrid.es.modo-seguro.newtrip.com/a.php (redirecciona a la de abajo) http://web23.enio-srv2.de/Login/login.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Rogamos no visitar la dos páginas web trampa arriba mostradas y ante todo haga caso omiso ante la recepción de cualquier correo electrónico que le pida que acceda a su cuenta bancaria, en este caso de Cajamadrid, pulsando desde un enlace del mismo correo electrónico y aludiendo a problemas de seguridad o cualquier excusa como comprobaciones de seguridad etc... Nunca acceda a la web de su banco desde cualquier enlace que le sea mostrado, por ejemplo, desde programas de mensajeria instantánea (msn etc..) o desde programas de chat (IRC) .
Conozca perfectamente el dominio de su banco escribiendo la dirección ud. mismo en la barra de su navegador asegurándose que dispone de una conexión segura (debe comenzar por https://) antes de introducir cualquier clave o contraseña y lo más importante tenga su antivirus y firewall completamente actualizados.
En caso de existir la posibilidad de haber sido víctima del phishing, actue rápido,avise inmediatamente a su banco y denuncie el caso ante las autoridades lo antes posible.
07/01/08 ATACAN LA WEB WWW.PARTIDO-SOCIALISTA.PT
Un dominio registrado por el partido socialista de Portugal.
Delincuentes informáticos atacan un dominio web registrado por el Partido Socialista de Portugal.
La web que aloja en la actualidad el portal del partido político no ha sido víctima del ataque, sin embargo uno de los dominios a nombre del partido político ha sido atacado logrando subir a su servidor una web que suplanta la identidad de www.paypal.com: http://www.partido-socialista.pt
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
En este caso un partido político ha sido víctima de un ataque contra uno de sus dominios registrados, quizás este tipo de ataques siga claramente fines políticos pero muestra una web idéntica al portal de pagos on-line de www.paypal.com
En el caso de que algún internauta haya accedido a la web frauduenta e introducido alguna clave de acceso, será enviada a terceras personas estando sus datos personales a pocos clics de otras personas.
Como hemos visto nada ni está a salvo de la delincuencia en la red, recuerde que toda buena práctica en materia de seguridad informática pasa por ser cauto y eliminar todo el correo no deseado o Spam sin tan siquiera abrirlo, nunca siga los enlaces que muestran por muy sugerentes que puedan ser e instale un antivirus y un firewall actualizandolos periódicamente.
Fuente: http://www.phishtank.com/phish_detail.php?phish_id=369688
03/01/08 ATAQUES WEB
Ataques a servidores con objetivos phishing.
Mostramos una web española que ha sido podido ser víctima de un ataque informático con el único objetivo de subir a su servidor los archivos necesarios para crear una web que suplanta la identidad, en este caso de www.ebay.it. Breves minutos después de realizar el video el sitio web atacado ha sido desactivado. Web víctima del ataque: http://www.iebalearics.org
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Desgraciadamente, comenzamos el año 2008 mostrando una web española que ha sido víctima de un ataque informático con objetivos phishing, delincuentes informáticos han aprovechado alguna vulnerabilidad en su servidor para inyectar código y lograr subir los archivos necesarios para crear una web idéntica al portal de identificación de la famosa casa de subastas www.ebay.it.
Es un ataque claramente dirigido a clientes del portal italiano por lo que posiblemente los autores del ataque hayan enviado de forma masiva correos electrónicos fraudulentos con objetivos phishing.
En el video mostramos el código fuente de la web donde observamos una dirección de correo electrónico donde posiblemente sean enviadas las claves de acceso robadas.
Continúa el ataque Spam, ahora la web ha cambiado y el archivo que se descarga automáticamente lo llaman "happynewyear2008.exe". En la imagen observamos la web maliciosa y el troyano que se descarga al visitar el sitio web, según kaspersky "Email-Worm.Win32.Zhelatin.pr"
Página nueva fraudulenta: uhavepostcard.com (bloquee el acceso de su pc al sitio web y no rogamos no visiten el sitio web)
El asunto del correo Spam que distribuye este troyano puede variar entre estos:
·Blasting new year
·Message for new year
·New Year wishes for you
·Opportunities for the new year
25/12/07 TROYANOS
Cuidado con el Spam también en Navidad
Si hace unos días recordabamos a nuestros lectores que el Spam sigue siendo el reclamo perfecto para que delincuentes informáticos distribuyan troyanos aquí tenemos otra prueba de ello; Zhelatin.pd. En la imagen observamos la web maliciosa y el troyano que se descarga al visitar el sitio web.
Página fraudulenta: merrychristmasdude.com (Recomendamos no visitar el sitio web)
En la imagen observamos una web donde nos envía un correo Spam cuya características son:
Asunto: (uno de los siquientes)
Find Some Christmas Tail
Looking for something hot this Christmas
Merry Christmas To All
Seasons Greetings
The Twelve Girls Of Christmas
Cuando un usuario hace clic sobre el enlace que muestra el correo Spam somos enviados a la web "merrychristmasdude.com" (observe la imagen de la izquierda) realizándose la descarga silenciosa del archivo (observe el código fuente en la imagen): "stripshow.exe"
El archivo de unos 132KB y el correo es detectado por Kaspersky como Email-Worm.Win32.Zhelatin.pd
Recomendamos que deben eliminar cualquier correo Spam sin tan siquiera abrirlo, no visite los enlaces que amablemente les indican y menos aún descarguen y ejecuten archivos adjuntos sin antes cerciorarse personalmente de su procedencia.
Muy importante, actualizado a las 21:00 Horas
El nombre del archivo lo han cambiado, ahora se denomina: happy2008.exe
MD5: 45dde702a9313284fd342d3203f23d85
SHA1: b06138a50254f0255bca506028a5e720bf5ec4d0
Si desea ver el resultado del análisis en Virustotal donde da positivo en 23 motores antivirus, pulse Aquí
21/12/07 EL PHISHING EN CIFRAS
El phishing ha costado 3.200 millones de dólares a Estados Unidos en 2007
Desde que www.visa-club.com comenzó su andadura se han realizado un total de 130 videos de casos reales phishing, donde los afectados son todos prácticamente clientes de bancos españoles. Como pueden observar en la captura de la cuenta de www.youtube.com en total a fecha de hoy viernes 21 de diciembre de 2007 a las 00.20 horas, un total de 20.465 personas han visionado los videos. Creo que queda suficientemente demostrado que www.visa-club.com es una de las páginas web españolas que más lucha contra el phishing.
Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing "tradicional", contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.
Son 3.6 millones de usuarios los que han perdido los más de 3.000 millones de dólares. En 2006, según el informe, fueron solo 2.3 millones de personas los que se vieron afectados.
La cantidad media estafada por robo serían unos 866 dólares, bastante menos que los 1.244 del año anterior. Sin embargo esto no significa que los atacantes hayan renunciado a mayores ganancias, pues el número de usuarios afectados ha aumentado. Quizás el robo de una cantidad menor permite que la estafa pase inadvertida en cierta forma para los bancos (nunca para el usuario) e incluso podría reducir la pena en el hipotético (y lamentablemente improbable) caso de que el estafador sea cazado.
En 2005, el coste estimado del fraude online(todo incluido) según el FBI era de 67.000 millones de dólares en Estados Unidos. Esto da una idea de lo que representa el phishing tradicional en el cómputo total del fraude en la Red.
Se desprende también del informe que hasta el 64% de los afectados recuperaron el dinero perdido en 2007. Bastante más que en 2006. Pero sin duda lo alarmante es que el ratio de "éxito" de cada ataque ha subido. El 3.3% de los usuarios que recibieron correos de phishing perdieron dinero, mientras que en 2006 fueron "sólo" el 2.3%.
Y Gatner concluye además que durante 2008 y 2009 este tipo de estafas no parará de crecer. Resulta demasiado sencillo y lucrativo para los atacantes.
Si bien el informe se centra en Estados Unidos, en España la situación puede ser parecida. En Hispasec han detectado un repunte de ataques phishing contra entidades bancarias españolas en los últimos meses. Incluso, como ya comentan en otros boletines, varios ataques de phishing con intento de troyanización del sistema.
Si estas cifras se manejan con el phishing tradicional, ¿qué podemos esperar de los sofisticados troyanos que tienen el mismo fin y que forman parte del malware 2.0? Estos son mucho más eficaces, y el ratio de "éxito" en caso de infección es mucho mayor que ese 3.3% de usuarios que introducen sus datos en páginas fraudulentas. La mayoría de esos troyanos roban las contraseñas sin necesidad de que el atacado observe ningún comportamiento anómalo en el sistema o en la página web del banco y además pasan inadvertidos también para muchos antivirus.
Teniendo en cuenta los elevados índices de infección actuales, a las mafias rusas y brasileñas creadoras de este tipo de malware deben parecerle irrisorias las ganancias obtenidas con el phishing tradicional, una técnica mucho más primitiva.
18/12/07 SPAM Y TROYANOS
Oleada de correo Spam el pasado fin de semana
Este pasado fin de semana ha sido detectado un correo Spam que bajo el supuesto reclamo sexual de unas fotos nos invita a abrir el archivo adjunto "card.zip". El adjunto "card.zip" contiene el archivo card.scr con un tamaño de 20,480 bytes y cuyo Hash MD5 es "536bfc077fbad247fa5ea67adf1dca7d" que es el troyano detectado por www.f-secure.com como Trojan-Downloader.Win32.Agent.gbu
Ni hemos de recordarle que NUNCA debe abrir adjuntos a mensajes de correo electrónicos por muy sugerentes que puedan ser sin antes cerciorarnos personalmente de quién lo ha enviado y recuerde que el reclamo sexual es el más usado por delincuentes informáticos para distribuir troyanos de forma masiva.
12/12/07 ACTUALIZACIONES WINDOWS -DICIEMBRE 2007-
Siete boletines; tres de gravedad "crítico", cuatro "importantes".
Microsoft ha publicado siete boletines de seguridad (MS07-063 y MS07-069) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows lo antes posible.
MS07-064:Vulnerabilidad en Microsoft DirectX(Crítico)
MS07-068:Vulnerabilidad Windows Media Format(Crítico)
MS07-069:Actualización acumulativa para Microsoft Internet Explorer(Crítico)
MS07-063:Vulnerabilidad en Server Message Block Version 2 (SMBv2)(Importante)
MS07-065:Vulnerabilidad en Message Queuing Service (MSMQ)(Importante)
MS07-066: Vulnerabilidad en el kernel de Windows que podría permitir a un atacante tomar el control total de los equipos afectados.
(Importante)
MS07-067:vulnerabilidad en Microsoft Windows Macrovision Driver (secdrv.sys)(Importante)
Mostramos una web española que ha sido podido ser atacada por hackers con el único objetivo de subir a su servidor los archivos necesarios para crear una web que suplante la identidad de una entidad financiera. URL: http://www.iespalmeral.org/administrator/templates/dert.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Ultimamente estamos asistiendo a ataques a servidores web que usan software joomla; un sistema de administración de contenidos de código abierto construido con PHP bajo una licencia GPL.
Es muy importante asegurar nuestro servidor a la última actualización del software que utilicemos, de lo contrario podemos ser víctima de delincuentes que aprovechando vulnerabilidades ya conocidas atacan servidores inyectando código.
En esta ocasión una web que nos dice pertenecer a un instituto de secundaria ha sido objetivo de este tipo de ataques que, como dije antes, lejos de disminuir aumentan debido a la existencia de muchos servidores sin parchear.
Adquirir un ordenador con capacidad de conexión a Internet
Los beneficiarios de este préstamo a interés 0% y sin comisiones de ningún tipo son los residentes en territorio español que dispongan de conexión a internet en banda ancha o que contraten una alta nueva en ese servicio.
Los requisitos de los beneficiarios son: Adquirir un ordenador con capacidad de conexión a Internet. Opcionalmente incluirá también sofware de ofimática y otro software, antivirus, dispositivo lector de tarjeta electrónica, periféricos y alta en servicio de conexión a internet en banda ancha.
El importe del crédito que se solicite servirá para cubrir en parte o en su totalidad la compra del ordenador de sobremesa o portátil. En el caso de que este importe supere el del valor del ordenador, el excedente podrá servir para financiar la conexión a Internet de banda ancha, o también destinarse a otros fines, siempre que estén incluidos entre los que se indican a continuación: Software antivirus, paquete de ofimática y otro software. Dispositivo lector de certificado electrónico y periféricos. El importe máximo será hasta el 100% de la inversión incluído el IVA, con un importe máximo de 3.000 € por beneficiario final.
El plazo máximo de devolución del crédito será de 36 meses, con un máximo de 3 de carencia y liquidaciones lineales y mensuales. El tipo de interés fijado para el crédito será del 0% durante el plazo de amortización.
Estos prestamos están en vigor hasta diciembre de 2010 o hasta que se agoten los fondos.
El listado de entidades financieras suscritas lo puede consultar aquí.
Mostramos una web española que ha sido atacada por hackers con el único objetivo de subir a su servidor los archivos necesarios para crear una web que suplante la identidad en este caso de "Nationwide". El hacker intenta obtener claves de acceso completas de clientes de la entidad financiera utilizando un dominio español del cual no es propietario dificultando con ello la localización del mismo. URL atacada: http://www.infobierzo.com/includes/js/tabs/waiting.php
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Como decíamos al comienzo del artículo el hacker ha logrado acceder a un servidor aprovechando alguna vulnerabilidad no parcheadada por el administrador del sitio web.
Por desgracia este tipo de ataques lejos de disminuir aumentan, por ello recomendamos parchear todos los servidores a la última actualización posible tratando de dificultar el acceso al mismo, en este caso el hacker trata de aumentar su anonimato atacando servidores web evitando con ello utilizar dominios propiedad del hacker.
Esperamos que pronto solucionen el caso y eliminen los archivos que componen la web trampa.
Alertamos a clientes de banca on-line de Banco Santander ante un ataque phishing aparecido hoy lunes a última hora. En este caso si disponemos del correo trampa que origina el ataque phishing donde nos indican en un léxico poco común para provenir de un banco :"Si no activáis esta función durante 5 días después del recibo de las cartas, no va a tener las posibilidades complementarias de la defensa de seguridad en su cuenta".Páginas fraudulentas: http://www.gruposantahder.com/particulares/ http://www.gruposantahder.com/empresas/
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
En este caso son los clientes del Banco Santander los que están en el objetivo de este ataque phishing.
Gracias a los fallos cometidos por el delincuente al diseñar el correo-trampa como por ejemplo citar en el correo a la entidad kutxa y alguna que otra falta de ortografia podemos deducir que el correo no es un correo enviado por un banco aunque seguro que algún que otro internauta confiado puede caer el la trampa e introducir sus claves de acceso y firma electrónica.
El dominio elegido por los delincuentes es muy similar al nombre del banco haciendo el ataque aún más peligroso, muchos internautas no conocen el nombre de dominio de su banco e incluso muchos utilizan el buscador web para el acceso al portal web de su banco lo que multiplica el riesgo de estafas phishing.
25/11/07 PHISHING
Phishing a clientes de Cajamadrid
Alertamos a clientes de banca on-line de Cajamadrid ante un ataque phishing aparecido hoy domingo. No disponemos del correo trampa que origina el ataque phishing pero si tenemos la página web que suplantando la identidad de Cajamadrid intenta el robo de claves de acceso y firma electrónica a clientes de la entidad financiera.
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Mostramos un ataque phishing muy peligroso, en este caso nos solicitan datos completos de usuario y contraseña y además nos solicitan los códigos de seguridad necesarios para realizar cierto tipo de operaciones como por ejemplo, transferencias bancarias. Recuerde que con dichas códigos de seguridad el delincuente estará en condiciones de transferir dinero desde su cuenta a cualquier cuenta bancaria del mundo.
Recuerde que su banco nunca le solicitará que acceda a su cuenta bancaria para verificar datos sensibles como sus contraseñas de acceso y menos aún le solicitará las claves de seguridad adicionales para el acceso su cuenta, son claves que le serán solicitadas para cierto tipo de operaciones como transferencias de fondos y que en caso de caer en poder de delincuentes informáticos, su dinero estará a pocos clics de sus bolsillos.
22/11/07 SPAM Y TROYANOS BANCARIOS
¿Por qué no te callas? Peligroso Troyano bancario
Se ha detectado un envío masivo de un correo electrónico (Spam) invitándonos a visitar una página web para ver un video de youtube, precísamente un video del famoso incidente entre el Rey de España y el Presidente con el objetivo de instalar un troyano bancario.
El remitente del correo electrónico es "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion" Al abrir el mensaje observamos un correo en código HTML el cual nos indica la imagen que mostramos a la izquierda.
Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable "ultimovideo.exe". En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de VirusTotal:
http://www.virustotal.com/resultado.html? e755c2e0709e9b90aa7f01043a7bf559
El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador tapando el formulario auténtico. De esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.
Desde www.visa-club.com no cesamos en el intento de que nuestros lectores no olviden que nunca deben abrir mensajes spam y menos aún pulsar sobre los enlaces de dichos correos por muy sugerentes que sean y también aconsejamos desactivar el formato html en la lectura de correos electrónicos, así como el panel de vista previa donde se previsualiza el contenido del correo.
Fuente: http://www.hispasec.com/unaaldia/3315
15/11/07 LUCHA CONTRA SPAM Y MALWARE
Una falsa actualización de windows instala un troyano en su PC.
Detectado un peligroso correo electrónico con asunto: "Boletn de seguridad de Microsoft MS07-055 – Crtico" que tratando de pasar como una actualización de windows (MS07-055), nos envía a una web-trampa que suplantando a la web auténtica de Microsoft tratará de instalar un troyano en nuestro ordenador. Dominio fraudulento que suplanta a Microsoft: http://postform.maxiesub.com
El video podéis verlo en tamaño óptimo pinchando YouTube donde podéis ver todos los videos realizados por www.visa-club.com
La supuesta actualización que soluciona el problema "Kodak image viewer" concrétamente la actualización de Microsoft "MS07-055" y que nos indica el correo-trampa contiene información real sobre la actualización pero solo es una excusa para instalar en nuestro ordenador un troyano, concrétamente "Bck/Bandok.BO
A continuación mostramos los datos de los archivos de la actualización auténtica y la fraudulenta que contiene el troyano:
Actualización de Microsoft Oficial y auténtica:
MS07-055 WindowsXP-KB923810-x86-ENU.exe
MD5: a2d27a703f93c860e842af732ff3d93f
Falsa actualización de Microsoft que descarga el troyano:
MS07-055 WindowsXP-KB923810-x86-ENU.exe
MD5: b59d788bc907d9aecb15375abe09c606
14/11/07 ACTUALIZACIONES WINDOWS -NOVIEMBRE 2007-
Dos boletines de seguridad según Microsoft; 1 de gravedad crítica, 1 importantes
Microsoft ha publicado dos boletines de seguridad (MS07-061 al MS07-062) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows inmediatamente.
MS07-061:Vulnerabilidad en el tratamiento de URI de Windows(Crítico) Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que lo visite. Sitios web vulnerables o sitios web que aceptan u hospedan contenido o anuncios proporcionados por el usuario también podrían ser utilizados.
MS07-062:Vulnerabilidad en DNS podría permitir ataques de suplantación (Importante)
Un atacante podría aprovecharse de esto para obtener información acerca de los identificadores de transacción del servidor DNS y usar dicha información para enviar respuestas malintencionadas a solicitudes DNS, redirigiendo el tráfico de Internet desde ubicaciones legítimas a una dirección que elija el atacante
Se ha detectado un envío masivo de un correo en español que dice provenir de Symantec y que contiene una falsa actualización de su antivirus. La falsa actualización que nos indica el correo es en realidad un troyano, capaz de infectar nuestro sistema en caso de ejecutarlo.
(Pulse sobre la imagen para ampliarla) Recordamos a nuestros lectores que el correo electrónico sigue siendo prácticamente el método más utilizado por delincuentes informáticos para infectar sistemas, en el caso que nos ocupa nos invitan a descargar un archivo que es realmente un troyano, el nombre del archivo es Symantec.exe.
Recomendamos no descargar archivos adjuntos de correos electrónicos sin comprobar antes su lícita procedencia y menos aún ejecutarlos directamente.
Igualmente recomendamos desactivar el formato html en la lectura de correos evitando con ello la descarga de archivos mediante "iframes" ocultos en el código html del mensaje.
08/11/07 -ACTUALIZACION CRITICA A QUICKTIME 7.3-
Afectados tanto Mac OS X, Vista y Windows XP SP2
Recomendamos a usuarios del conocido reproductor propiedad de Apple actualizarse inmediatamente a la nueva versión de Quicktime 7.3 ya disponible para su descarga pública. La nueva versión soluciona varias vulnerabilidades aprovechadas por sitios web maliciosos para instalar malware tan solo con ver una película o imagen.
No voy a extenderme en detalles técnicos, sin embargo si quiero recomendandar a usuarios del reproductor actualizarse lo antes posible ya que existen sitios web maliciosos capaces de obtener información personal e incluso ejecutar código en nuestro ordenador.
Software afectado:
- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2
Mostramos otro ataque phishing a clientes de Unicaja. Detectado otro envío masivo de correos electrónicos (Spam) diseñados para estafar, en este caso, a clientes de banca on-line de Unicaja.
Página fraudulenta que suplanta a Unicaja: http://unicaja-cuenta-online.com.p12.hostingprod.com/unicaja/PortalServlet.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Mostramos un ataque phishing muy peligroso, en este caso nos solicitan datos completos de usuario y contraseña y además nos solicitan los códigos de seguridad necesarios para realizar cierto tipo de operaciones como por ejemplo, transferencias bancarias. Recuerde que con dichas códigos de seguridad el delincuente estará en condiciones de transferir dinero desde su cuenta a cualquier cuenta bancaria del mundo.
También nos piden un mail de contacto para quizás más tarde poder realizar ataques más personalizados con troyanos realizados a la carta para cada entidad bancaria.
Recuerde que su banco nunca le solicitará que acceda a su cuenta bancaria para verificar datos sensibles como sus contraseñas de acceso.
01/11/07 PHISHING
Phishing a clientes de Caja Castilla la Mancha.
Detectado otro envío masivo de correos electrónicos (Spam) diseñados para estafar, en este caso, a clientes de banca on-line de Caja Castilla la Mancha.
El objetivo de dichos correos-trampa es envíar a clientes de Caja Castilla la Mancha a una web-trampa que es copia exacta de la web auténtica de acceso a banca on-line del banco, su objetivo como siempre robar claves de acceso a cuentas bancarias de clientes de la entidad financiera. Páginas fraudulentas: http://ccm.st http://seguridad-ccm.cn
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
En este caso los clientes de Caja Castilla la Mancha en el objetivo de delincuentes cibernéticos, el correo trampa como siempre alude a alguna excusa para que perdamos la calma y hagamos clic en el enlace que nos envíará a una web que es una copia exacta de la web auténtica de la entidad financiera.
Recuerde que su banco nunca nos pedirá nuestras claves de acceso ni por fax, teléfono u otro medio y en caso de tener dudas ante la posibilidad de haber introducido sus claves en otra web que no sea la auténtica de su banco, avise inmediatamente a su banco y denuncie el caso ante las autoridades.
Nunca acceda a su banco desde enlaces de correos electrónicos o de otra índole, escriba directamente la dirección de su banco en su navegador web y asegúrese que la web donde introduce sus claves (a parte de ser la web auténtica) comienza por https://
31/10/07 -DELINCUENCIA EN LA RED-
Cuidado en fechas señaladas. Halloween.exe.
Delincuentes informáticos aprovechan días señalados como el día de Halloween para instalar troyanos tan solo con visitar un sitio web con aquellos equipos que no estén totalmente actualizados.
Si ud. tiene la mala suerte de visitar los sitios web que mostramos en la imagen, no estando su sistema totalmente parcheado, su ordenador será objeto de la descarga automática de un archivo malicioso, en este caso y aprovechando la cercanía de la festividad, el archivo "halloween.exe" será descargado y ejecutado pudiendo llegar a tomar el control total del equipo afectado.
Advertimos del peligro que conlleva abrir correos Spam, considerados como culpables de la proliferación de sitios web como el aquí mostrado. Elimine todo el correo Spam y nunca acceda a los sitios web donde apuntan sus enlaces, su información personal está en juego. Le recordamos también que es imprescindible seguir ciertas normas mínimas de seguridad como eliminar cualquier correo spam sin tan siquiera abrirlo.
Ni hemos de recordarle que en caso de acceder con un sistema totalmente parcheado será necesario hacer click en el mensaje que nos invita a la descarga de un supuesto juego que en realidad es el archivo malicioso Halloween.exe
Desde www.f-secure.com ya detectan el archivo malicioso como "Email-Worm.Win32.Zhelatin.lj.
27/10/07 -ATAQUES SPAM-
Nueva oleada de correos Spam con adjuntos en PDF, descargan troyanos.
Recomendamos a usuarios de Adobe Reader actualizar cuanto antes a "Adobe Reader 8.1.1 update - multiple languages." Se están reportando envíos masivos de correos electrónicos (Spam) usando archivos adjuntos PDF, si abrimos el archivo pdf adjunto seremos objeto de la descarga silenciosa de malware, concrétamente un troyano detectado por kaspersky como: "Trojan-Clicker.Win32.Agent.mt.".
Recordamos que la actualización que soluciona la vulnerabilidad descrita requiere tener instalado Adobe Reader 8.1.0. Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche: http://www.adobe.com/products/acrobat/readstep2.html
El tamaño de los últimos archivos PDF reportados y que utilizan la vulnerabilidad es de 3.8KB, detectándolos Kaspersky como Exploit.Win32.AdobeReader.k.
Cuando el pdf malicioso es abierto ejecutará el comando CMD.EXE para realizar la descarga de otro .EXE via FTP.
El archivo descargado tiene un tamaño de 3,121 bytes comprimido con FSG, Kaspersky lo detecta ya como Trojan-Clicker.Win32.Agent.mt.
24/10/07 PHISHING
Phishing a clientes de BBVA
Detectado otro envío masivo de correos electrónicos (Spam) diseñados para estafar, en este caso, a clientes de banca on-line de BBVA.
Suplantando la identidad del banco el objetivo de dichos correos-trampa es envíar a clientes de BBVA a una web-trampa que es copia exacta de la web auténtica de acceso a banca on-line de BBVA, su objetivo como siempre, robar claves de acceso a cuentas bancarias de clientes del banco y en el caso de hoy robar datos completos de tarjetas de crédito. Páginas fraudulentas: http://www.xstyle.si/chat/inc/patServer/index.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Esta mañana al abrir mi cliente de correo he recibido tres correos electrónico idénticos, los cuales aludían razones de seguridad para visitar la web del banco BBVA pinchando en el enlace del mismo correo electrónico.
En este caso tampoco soy cliente del BBVA pero la web trampa es una copia exacta de la web auténtica del banco, está bastante conseguida y de no ser por el nombre de dominio que no tiene nada que le asemeje con el BBVA, podria caer en la trampa hasta el internauta menos confiado
.
Recuerde que nunca debe acceder a su banco desde enlaces de ningún tipo, escriba la dirección directamente en la barra del navegador y asegúrese antes de introducir sus claves que está en el dominio de su banco y que la web comienza por https:// lo que asegura que la información que ud. comparte con su banco está cifrada y algo importantísimo, tenga un antivirus y firewall completamente actualizados.
22/10/07 PHISHING
Phishing a clientes de Ibercaja
Detectado un envío masivo de correos electrónicos (Spam) creados para estafar a clientes de banca on-line de Ibercaja,
suplantando la identidad del banco envían a sus clientes a una web-trampa que es copia exacta de la web auténtica de acceso a banca on-line de Ibercaja, su objetivo como siempre, robar claves de acceso a cuentas bancarias de clientes de Ibercaja. Páginas fraudulentas: http://footballteamselections.org/ibercaja.php
http://ibercajaseguro.ws/ibercajadirecto/login.htm
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Esta mañana al abrir mi cliente de correo he recibido un correo electrónico supuestamente enviado por Ibercaja, el cual aludía a unas razones de seguridad para visitar la web del banco, como siempre haciendo clic en el enlace de dicho correo electrónico.
En realidad no soy cliente de Ibercaja pero en caso de serlo y de haber pinchado sobre el enlace habría sido enviado a una web que es copia exacta de la página de identificación de la web auténtica de Ibercaja.
En el hipotético caso de que tampoco conociera nada sobre casos phishing posiblemente cometería un grave error, introducir mis claves de acceso para supuestamente acceder a la web de mi banco y además si a ello le sumamos el nombre de dominio elegido por el delincuente informático, el cual es más que identificativo con el nombre del banco, pues parece ser que es más que posible que hasta lo hubiera puesto en la sección de favoritos de mi explorador, ello me recuerda que aún mucha gente no conoce el nombre del dominio de su banco y que simplemente lo buscan en www.google.es.
Recuerde que nunca debe acceder a su banco desde enlaces de ningún tipo, escriba la dirección directamente en la barra del navegador y asegúrese antes de introducir sus claves que está en el dominio de su banco y que la web comienza por https:// lo que asegura que la información que ud. comparte con su banco está cifrada y algo importantísimo, tenga un antivirus y firewall completamente actualizados.
18/10/07 DELINCUENCIA EN LA RED -TROYANOS-
Aplicaciones atractivas como reclamo para instalar malware
Mostramos un correo Spam que nos invita a una web de origen chino para descargar una supuesta aplicación, advertimos del peligro que ello supone ya que solo el hecho de visitar la web sin tener nuestro sistema operativo actualizado, seremos objeto de la descarga de un archivo malicioso: "krackin.exe".
Si ud. en cambio tiene su sistema operativo parcheado con todas las actualizaciones, será preguntado por si desea descargar un archivo llamado krackin.exe ejecutándolo a la vez.
La página web es ya detectada al menos por http://www.kaspersky.com/ como Trojan-Downloader.JS.Agent.KD mientras que el archivo de unos 120k es detectado como Packed.Win32.Tibs.cn..
Un peligroso troyano se disfraza de aplicación para aumentar la seguidad en Skype
Alertamos a usuarios de Skype ante un peligroso troyano que se disfraza como falsa utilidad (65404-SkypeDefenderSetup.exe) que supuestamente potencia la seguridad del servicio que ofrece Skype, diseñado para de robar los datos de usuario y contraseña además de todas las contraseñas almacenadas en el registro de windows
Skype ha alertado sobre esta falsa aplicación, la cuál ha sido distribuida manualmente mediante spam, programas de mensajería instantánea como MSN, ICQ, AOL y YAM, y a través del propio Skype.
Si ejecutamos la falsa utilidad, el archivo llamado 65404-SkypeDefenderSetup.exe nos aparecerá la imagen que mostramos arriba donde nos indican que la falsa utilidad está instalada, en realidad el troyano está ya instalado y le recordamos que no solo nos roba las credenciales de usuario de skype, también todas las contraseñas de correo electrónico y de acceso via web a todos los sitios donde nos hayan solicitado nombre y contraseña guardadas en el registro de windows, para enviarlas a un servidor remoto.
Una vez instalado el troyano prácticamente no podemos advertir de la presencia del mismo hasta que no hayamos ingresado nuestro usuario y contraseña, entonces un mensasje de error (imagen izquierda) nos pide que la introduzcamos nuevamente.
Recuerde que no debe hacer clic en mensajes no solicitados así como en clientes de mensajería instantanea ni en correos Spam, su seguridad está en juego.
Hace unos días hablábamos de una posible vulnerabilidad con Acrobat Reader y posiblemente otros lectores PDF que puede comprometer nuestro sistema windows por completo, tan solo haciendo clic en un enlace al archivo .PDF malicioso. Ya hay una prueba de concepto.
El video podéis verlo en tamaño óptimo pinchando aquí y como siempre ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Aunque no constituya prueba irrefutable, hemos publicado un vídeo donde se muestra el efecto de su prueba de concepto (ejecuta la calculadora con solo abrir un PDF). Su descubridor dice no haber publicado más detalles del asunto porque realmente supondría una seria amenaza. Y no le falta razón.
El formato PDF se ha convertido en un sistema de intercambio muy utilizado entre usuarios, más aún entre organizaciones y empresas, tanto como los documentos ofimáticos en los que se suele confiar ciegamente.
Hasta ahora, parece que el secreto sigue a salvo, y que la vulnerabilidad no está siendo utilizada de forma masiva para infectar sistemas. Su descubridor quiere revelar los detalles cuando exista un parche eficaz, en el que se supone que Adobe debe estar ya trabajando
Por ello recomendamos no abrir ficheros .pdf adjuntos en correos electrónicos, recomendamos usar otras alternativas a Adobe al menos hasta que exista el parche que solucione la vulnerabilidad, personalmente he probado el archivo pdf modificado y efectívamente, abre la calculadora de windows (calc.exe). Vea el video demostrativo.
11/10/07 ACTUALIZACIONES WINDOWS -OCTUBRE 2007-
Seis boletines de seguridad según Microsoft; 4 de gravedad crítica, 2 importantes
Microsoft ha publicado seis boletines de seguridad (MS07-055 al MS07-060) dentro de su ciclo habitual de actualizaciones. Recomendamos actualizar windows inmediatamente.
MS07-055:Vulnerabilidad en Microsoft Kodak Image Viewer (Crítico)
MS07-056:Actualización para Outlook Express y Windows Mail(Crítico)
MS07-057:Afecta a Internet Explorer 5.01, 6 y 7(Crítico)
MS07-058:Vulnerabilidad en Remote Procedure Call (RPC)(Importante)
MS07-059:Actualización para Microsoft Windows SharePoint Services 3.0 y Microsoft Office SharePoint Server 2007(Importante)
MS07-060:Afecta a Microsoft Office 2000, 2002, XP y Microsoft Office V. X for Mac.
(Crítico)
26/09/07 VULNERABILIDAD EN WINDOWS LIVE MESSENGER 8.1
Por el momento no existen parches para el problema
Según afirma Lostmond, la opción de "Carpetas compartidas" agregada en Windows Live Messenger la cual permite compartir documentos, archivos y fotos con nuestros contactos puede ser utilizada para explotar esta vulnerabilidad.
Lostmon confirma que son vulnerables todas las versiones de Windows XP y Windows Live Messenger 8.1 (Windows MSN Live). Otras versiones también podrían ser afectadas.
Lostmon recomienda no compartir ninguna carpeta en Windows Live Messenger, hasta que se publique la correspondiente actualización, la vulnerabilidad puede ser explotada a partir de un archivo malformado con formato JPG, WMF, GIF, DOC o ICO.
Adobe Acrobat/Reader PDF y posiblemente otros lectores
Alertamos a nuestros lectores ante una posible vulnerabilidad con Acrobat Reader y posiblemente otros lectores PDF que puede comprometer nuestro sistema windows por completo, tan solo haciendo clic en un enlace al archivo .PDF malicioso.
Se informa que la vulnerabilidad ha sido comprobada en Windows XP SP2 con Adobe Reader 8.1 (última versión). Versiones anteriores y otros sistemas operativos, también podrían ser vulnerables.
Por el momento, no se conocen los planes de Adobe para solucionar este fallo en sus productos. Aún así, otros lectores de archivos PDF también podrían ser afectados.
Se recomienda no abrir archivos PDF no solicitados !!ojo con el correo spam!! o de fuentes desconocidas. Además de Internet, otros posibles escenarios para ataques que se aprovechen de esta vulnerabilidad podrían ser las redes locales.
Media Player Classic (.AVI) VERSION 6.4.9.0 (última a la fecha de esta alerta)
Se ha reportado una vulnerabilidad en Media Player Classic, la cuál podría ser explotada por usuarios maliciosos para comprometer un sistema vulnerable
Media Player Classic es un reproductor gratuito que se caracteriza por el menor gasto de recursos que otros reproductores, y con la capacidad de reproducir (con los códecs necesarios) prácticamente todos los formatos conocidos.
La vulnerabilidad es provocada por un error en la validación de entrada al procesar archivos .AVI, que ocasiona un desbordamiento de búfer. Un atacante puede crear un archivo malicioso para provocar la ejecución de código, tomando el control del equipo.
Advertimos del peligro de abrir archivos .avi desconocidos, ojo con lo que descargamos de redes P2P, en caso de descarga de archivos desconocidos recomendamos no abrir archivos .avi con el reproductor afectado hasta que sea solucionada la vulnerabilidad.
19/08/07 VULNERABILIDAD CRTICA EN YAHOO! MESSENGER
Recomendamos no aceptar invitaciones por webcam de personas no confiables
La vulnerabilidad afecta a Yahoo Messenger version 8.1.0.413. Un atacante remoto puede lograr ejecutar código arbitrario con privilegios de usuario local, si aceptamos una invitación maliciosa a usar su cámara web. Recomendamos no aceptar invitaciones de Yahoo! Messenger por muy sugerentes que puedan parecer.
Yahoo Messenger es un cliente de mensajeria instantánea para Windows, Mac, Unix, web, incluso dipositivos móviles.
Algunas versiones de Yahoo! messenger como la de windows o para MAC soportan el uso de cámara web.
Cuando Yahoo! Messenger detecta una cámara web realiza una conexión al puerto TCP 5100, dicha conexión pone en riesgo la seguridad del equipo ya que existe un exploit público que actúa ejecutando lo que se conoce como "Heap overflow" un fragmento de código con permisos de usuario local que puede facilitar la descarga por ejemplo de código malicioso.
Recomendamos a todos sus usuarios bloquear el acceso del programa al puerto TCP 5100, hasta que sea público el parche que solucione la vulnerabilidad.
Más información (En inglés) Aquí
15/08/07 RIESGO DE EXPLOSION EN ALGUNAS BATERIAS NOKIA
46 Millones de baterias BL-5C de móviles nokia defectuosas
Nokia se ha ofrecido a cambiar gratuitamente las baterias BL-5C que usan algunos de sus terminales móviles y que se encuentren en el listado de baterias defecuosas
La razón ha sido la existencia de ciertos fallos en estas baterías —concretamente 100 casos— durante el proceso de recarga. Desde la compañía se supone que el problema es debido a un recalentamiento de éstas provocado por un cortocircuito.
Los modelos afectados son los siguientes:
Nokia 1100, Nokia 1100c, Nokia 1101, Nokia 1108, Nokia 1110, Nokia 1112, Nokia 1255, Nokia 1315, Nokia 1600, Nokia 2112, Nokia 2118, Nokia 2255, Nokia 2272, Nokia 2275, Nokia 2300, Nokia 2300c, Nokia 2310, Nokia 2355, Nokia 2600, Nokia 2610, Nokia 2610b, Nokia 2626, Nokia 3100, Nokia 3105, Nokia 3120, Nokia 3125, Nokia 6030, Nokia 6085, Nokia 6086, Nokia 6108, Nokia 6175i, Nokia 6178i, Nokia 6230, Nokia 6230i, Nokia 6270, Nokia 6600, Nokia 6620, Nokia 6630, Nokia 6631, Nokia 6670, Nokia 6680, Nokia 6681, Nokia 6682, Nokia 6820, Nokia 6822, Nokia 7610, Nokia N70, Nokia N71, Nokia N72, Nokia N91, Nokia E50, Nokia E60
Nokia ha colocado en su página web el listado de modelos y un formulario que nos dice al instante si la bateria está afectada, solo hay que introducir el código numérico que se muestra en la bateria para conocer si nuestra bateria Nokia " BL-5C" está afectada.
11/08/07 AVISO IMPORTANTE A USUARIOS DE GMAIL
Hackean cuentas Gmail.
Recomendamos a usuarios de cuentas de correo electrónico Gmail extremar las precauciones a la hora de identificarse e incluso una vez ya identificados. Se trata de evitar el robo de cookies mediante XSS o a través de ataques "man-in-the-middle en "hotspots" públicos Wifi o mediante el uso de un sniffer con la extensión Edit Cookies para Firefox, por citar un ejemplo
Robert Graham mostró a la audiencia de BlackHat 2007 cómo hackear una cuenta de Gmail. La audiencia estalló en risas y aplausos cuando Graham usó sus herramientas de hijacking (secuestro de información) para hackear una cuenta de correo Gmail registrada por uno de los asistentes al evento.
La demostración fue proyectada ante una audiencia de más de 500 personas. Los primeros ataques los realizó inalámbricamente, usando su laptop con una herramienta llamada Ferret, que él mismo escribió a comienzos de este año y que captura y almacena las cookies y las ID sesion enviadas por el navegador web de la víctima.
La novedad es que ahora todo resulta mucho más fácil, Sobre todo teniendo en cuenta que Graham ha puesto a libre disposición sus herramientas Ferret y Hamster que, junto a a algunas intrucciones, pueden ya descargarse desde su sitio en un solo zip de 470 KB.
Recomendamos una serie de normas en materia de seguridad a la hora de usar Gmail:
En primer lugar, es conveniente que nuestra sesión con Gmail transcurra cifrada de principio a fin. Para ello, en vez de conectarnos a la dirección https://www.google.com/gmail (que nos redirige a direcciones sin cifrar mientras usamos nuestra cuenta) hay que conectarse siempre mediantehttps://gmail.google.com, que mantendrá nuestra sesión cifrada.
En segundo lugar, antes de utilizar Gmail es conveniente cerrar el resto de pestañas o ventanas que tengamos abiertas, así como no pulsar ningún enlace ni navegar a ninguna otra veb mientras continúe abierta nuestra sesión en Gmail.
08/08/07 PAGINAS ATACADAS POR DELINCUENTES INFORMATICOS
Página víctima de ataques informáticos
NOTA ACLARATORIA IMPORTANTE 08/08/07
Existen miles de casos como el que desgraciadamente ocurrió a la web www.viajaraegipto.com y que originó un artículo con fecha 18/05/07 con el correspondiente video, esa página fue víctima de un ataque por terceras personas no teniendo su administrador relacción alguna con el caso y no afectando a cliente alguno ni de www.paypal.com ni realizándose estafa alguna, ni existiendo denuncia alguna ni robo de datos etc.
www.visa-club.com web se dedica a la seguridad informática y al ser la web www.viajaraegipto.com víctima de un ataque informático fue publicado el caso como muchos casos que por desgracia ocurren cada día, en momento alguno se nombró dato alguno sobre donativos o relacionado con ello.
Tras comprobar la sección de donativos en la web: http://www.viajaraegipto.es/index.php hemos comprobado que esa sección de donativos corresponde con la web correcta no teniendo relacción alguna con el caso que originó la realización del video y del artículo en fecha de 18/05/07.
Tras esta aclaración espero que los que hayan donado alguna cantidad apoyando a la web tengan la tranquilidad para seguir haciendolo.
05/08/07 VULNERABILIDAD FIREFOX 2.0.0.6 Y PUEDE QUE ANTERIORES
Alto riesgo phishing a usuarios del famoso navegador Firefox 2.0.0.6
Mozilla Firefox en su última versión 2.0.0.6 y puede que en anteriores también, es propenso a una debilidad que puede permitir a un atacante remoto "tapar" un enlace malicioso, mostrando en la barra de estado una dirección diferente a la que realmente nos envía.
Como siempre el video ya está subido a YouTube donde podéis ver todos los videos realizados por www.visa-club.com
Últimamente el famoso navegador firefox nos está dando alguna que otra sorpresa y en este caso nos sorprende con una vulnerabilidad que ya está siendo explotada por delincuentes informáticos en ataques phishing.
Imagínese que recibe ud. un correo que dice ser su banco y al pulsar sobre el enlace del correo-trampa y ver la dirección en la barra de estado ud. observa que es la dirección auténtica de su banco, habrán muchos usuarios que nunca accedan a su cuenta desde enlaces de correos electrónicos o de otra índole, pero seguro que algún que otro internauta confiado cometerá el error de acceder desde el enlace trampa y introducir sus claves de acceso a su cuenta bancaria.
Recuerde que nunca debe acceder a la web de su entidad bancaria desde enlaces u otros medios, escriba directamente la url de su banco en su navegador y cercíorese que está ud. ante una conexión segura que cifre la información que ud envía.
Si su conexión es inalámbrica cifre la conexión entre su modem y su ordenador, la información que ud envía puede ser capturada y en el caso de no estar cifrada cualquier otra persona puede capturar dicha información y obtener desde contraseñas de su correo electrónico hasta toda la información que ud envíe o reciba.
01/08/07 LOS RIESGOS DE LA TECNOLOGIA BLUETOOTH.
En el video observamos cómo manejan la situación dos teléfonos móviles, concrétamente el Nokia E60 y E90, ante el intento de infección de un tercero usando el gusano "Cabir S60 3rd edition Bluetooth worm". Cuidado cuando estemos en lugares públicos, en el video vemos el resultado.
En el modelo Nokia E60 (el terminal de la izquierda) al recibir el mensaje via bluetooth que contiene el gusano, observamos cómo no es posible rechazar el mensaje bluetooth, quedando inutilizado el terminal ya que no es posible descartar el mensaje, por mucho que intentemos con cualquier tecla del terminal el móvil se queda bloqueado e inutilizable.
En el terminal Nokia E90 observamos un comportamiento diferente, cuando recibimos el mensaje que contiene el gusano, al pulsar "NO" podemos descartar el mensaje y evitar la infección del terminal.
Hemos de destacar que ninguno de los 2 terminales es vulnerable a la infección del "Cabir S60 2nd edition Bluetooth worm, incluso aceptando el mensaje, no afecta al funcionamiento del Nokia E60 o el E90.
La mayoria usuarios de terminales con tecnología bluetooth tienen siempre activado el servicio, por lo que el riesgo de propagación de este tipo de gusanos, por desgracia, es bastante alta.
01/08/07 IMPORTANTE ACTUALIZACION PARA FIREFOX.
Navegador FireFox versión 2.0.0.6 ya está disponible.
Mozilla nos presenta una nueva versión de su navegador firefox. Esta acualización resuelve dos vulnerabilidades conocidas, una de ellas denominada como crítica(Firefox no filtra los datos pasados en ciertas URIs) y otra moderada(Riesgo elevado de ataques phishing)
La vulnerabilidad crítica corregida en la nueva versión permitía que un atacante remoto pueda ejecutar comandos en el equipo del usuario con Firefox instalado, utilizando este navegador como vector de ataque. Se conocen exploit públicos por ello se eleva la vulnerabilidad a crítica.
Para más información sobre esta vulnerabilidad: http://www.mozilla.org/security/announce/2007/mfsa2007-27.html
La vulnerabilidad considerada como moderada ha sido descubierta por el ya conocido "Michal Zalewski", considerandola como "el mejor amigo del phishing". Dicha vulnerabilidad hace posible que un script abra la URL “about:blank”(página nueva) en una nueva pestaña; esta pestaña será abierta con la barra de dirección en blanco. El script puede entonces obrar recíprocamente con este documento como si fuera una página en el mismo dominio, incluyendo la capacidad de inyectar HTML y ...¿cómo no? manipular a voluntad los elementos que conforman la ventana. Para más información sobre la vulnerabilidad: http://www.mozilla.org/security/announce/2007/mfsa2007-26.html
16/07/07 ACTUALIZACIONES PARA SUN JAVA, ADOBE FLASH PLAYER Y QUICKTIME 7.x APPLE
Recomendamos actualizarse a la última versión lo antes posible.
Aconsejamos actualizarse a la última versión del software afectado ya que presentan vulnerabilidades muy graves que pueden ocasionar ejecución de código en aquellos ordenadores vulnerables con solo visitar un sitio web malicioso.
Vulnerabilidad en Sun Java JDK 1.6.x y JRE 1.6.x
La vulnerabilidad ha sido descubierta en las versiones JDK y JRE 6 Update 1 y anteriores. Se recomienda actualizar a las versiones JDK y JRE 6 Update 2 o posteriores, disponibles desde: Este enlace
Aconsejamos antes de instalar la nueva versión del software java, desinstalar siempre la antigua ya que no es eliminada al instalar la nueva versión y puede poner en riesgo nuestra seguridad
Actualización para Adobe Flash Player
Adobe ha publicado una actualización para Flash Player que solventa varias vulnerabilidades que podrían ser aprovechadas por un atacante para inyectar código arbitrario.
Puede descargar la última versión no vulnerable dese estos enlaces: Para Flash Player Aquí y shockwave en Aquí
Actualización de Quicktime 7.x de Apple
Ocho vulnerabilidades corregidas en QuickTime 7.2. La actualización está disponible para Windows Vista, Windows XP SP2, Mac OS X v10.3.9 y Mac OS X v10.4.9 o posterior.
Los formatos afectados son H.264 (video comprimido), .M4V (video MPEG-4) y SMIL (lenguaje de integración y sincronización de archivos multimedia).
Puede descargar QuickTime 7.2 desde Aquí para windows y desde Aquí para Mac
Como vemos en la imagen los delincuentes aluden a una falso video sobre la conocida Britney Spears.
¿De qué manera "alguien" ha podido modificar tantas páginas legítimas para que redirijan a sus visitantes hacia la infección? En otras ocasiones, los atacantes entran en un servidor de hospedaje, y una vez bajo su control, modifican las miles o cientos de páginas que aloja. Sin embargo este ataque posee una característica que ha permitido su rapidísima difusión. Es capaz de buscar automáticamente páginas web vulnerables y aprovechando problemas de 
En la imagen observamos una web donde nos envía un correo Spam cuya características son:
Desde que www.visa-club.com comenzó su andadura se han realizado un total de 
Los requisitos de los beneficiarios son: Adquirir un ordenador con capacidad de conexión a Internet. Opcionalmente incluirá también sofware de ofimática y otro software, antivirus, dispositivo lector de tarjeta electrónica, periféricos y alta en servicio de conexión a internet en banda ancha.
El remitente del correo electrónico es "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion" Al abrir el mensaje observamos un correo en código HTML el cual nos indica la imagen que mostramos a la izquierda.
No voy a extenderme en detalles técnicos, sin embargo si quiero recomendandar a usuarios del reproductor actualizarse lo antes posible ya que existen sitios web maliciosos capaces de obtener información personal e incluso ejecutar código en nuestro ordenador.
Si ud. tiene la mala suerte de visitar los sitios web que mostramos en la imagen, no estando su sistema totalmente parcheado, su ordenador será objeto de la descarga automática de un archivo malicioso, en este caso y aprovechando la cercanía de la festividad, el archivo "halloween.exe" será descargado y ejecutado pudiendo llegar a tomar el control total del equipo afectado.
Recordamos que la actualización que soluciona la vulnerabilidad descrita requiere tener instalado Adobe Reader 8.1.0. Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche:
Si ud. en cambio tiene su sistema operativo parcheado con todas las actualizaciones, será preguntado por si desea descargar un archivo llamado krackin.exe ejecutándolo a la vez.
Skype 
Lostmon confirma que son vulnerables todas las versiones de Windows XP y Windows Live Messenger 8.1 (Windows MSN Live). Otras versiones también podrían ser afectadas.
Se informa que 
Media Player Classic es un reproductor gratuito que se caracteriza por el menor gasto de recursos que otros reproductores, y con la capacidad de reproducir (con los 
La razón ha sido la existencia de ciertos fallos en estas baterías —concretamente 100 casos— durante el proceso de recarga. Desde la compañía se supone que el problema es debido a un recalentamiento de éstas provocado por un cortocircuito.
Robert Graham mostró a la audiencia de BlackHat 2007 cómo hackear una cuenta de Gmail. La audiencia estalló en risas y aplausos cuando Graham usó sus herramientas de hijacking (secuestro de información) para hackear una cuenta de correo Gmail registrada por uno de los asistentes al evento.
La vulnerabilidad crítica corregida en la nueva versión permitía que un atacante remoto pueda ejecutar comandos en el equipo del usuario con Firefox instalado, utilizando este navegador como vector de ataque. Se conocen exploit públicos por ello se eleva la vulnerabilidad a crítica.
Para más información sobre esta vulnerabilidad:
