21/01/2007 ATAQUE MASIVO PHISHING A CLIENTES DE BANESTO
Los clientes de Banesto en el punto de mira de delincuentes informáticos
La Asociación de Internautas nos alerta de un ataque-phishing masivo contra clientes de la entidad bancaria Banesto. En el video mostramos solo las páginas fraudulentas activas en el momento de la realización del video, las demás que mostramos han sido cerradas por sus correspondientes ISP
Las url de las páginas fraudulentas son: •http://www.banesto.es.satelliteprocid2405787603.justke.info/form.asp
•http://www.banesto.es.satelliteprocid301444643.billgefdam.info/form.asp
•http://freepeonline.info/form.asp/
•http://thetitcam.net/form.asp
•http://eicni.info/form.asp
•http://fedho.biz/form.asp
•http://www.banesto.es.satelliteprocid99999999999999.dark96.biz/form.asp
Y he de confesarles que no se publican todos casos phishing ya que ello sería una tarea prácticamente imposible, desde esta humilde web se intentará todo lo posible para evitar este tipo de estafas, cada día se intentará aportar ese granito de arena que entre todos los internautas debemos aportar para que internet sea un poquito más seguro.
20/01/2007 PHISHING A CLIENTES DE BANESTO
Intento de robo de claves de acceso a cuentas de clientes de Banesto
Alertamos a clientes de la entidad bancaria Banesto de una web que es copia exacta de la web lícita de la entidad bancaria. Mucho cuidado ante este tipo de estafas, por desgracia, el phishing ya es imparable. Página fraudulenta: http://www.banesto.es.satelliteprocid2030701.avanhe.biz/form.asp/
En este caso no disponemos del correo trampa aunque posiblemente haya sido ya distribuido de forma masiva por lo que no podemos mostrarle el texto del correo fraudulento que es el origen de cualquier ataque phishing, recuerde que si recibe algún correo electrónico que diga provenir de su banco pidiendole que se identifique con su usuario y contraseña desde un enlace del correo electrónico, estará ante uno de los cientos de casos phishing que por desgracia, lejos de remitir, aumentan, siendo cada vez más sofisticados y difíciles de detectar.
En el video observamos que tras enviar nuestras claves de acceso, somos redirigidos a la web lícita de la entidad bancaria Banesto tratando con ello no despertar sospechas y poder robar nuestro dinero lo antes posible, ya que recuerde que cualquier dato introducido en los campos de usuario y contraseña será enviados a delincuentes informáticos.
17/01/2007 VULNERABILIDAD EN SUN JAVA
Corrupción de memoria en la máquina virtual de Java de Sun
Un atacante puede sacar provecho de este problema para ejecutar código malicioso en el equipo vulnerable, con solo convencer al usuario para que visite un sitio web con contenido Java, especialmente modificado.
El fallo se produce durante la interpretación de componentes de algunas imágenes.
Cuando se asigna un valor de cero al ancho de un bloque de imagen GIF, la máquina virtual reserva el espacio especificado, pero copia todo el archivo de datos del código Java en la memoria asignada.
Esto da como resultado la sobrescritura de múltiples punteros, lo que corrompe la secuencia de ejecución de instrucciones del procesador, pudiendo ello ser utilizado para ejecutar código de forma arbitraria.
Mas información sobre esta vulnerabilidad y su solución, Aquí
Recomendamos que antes de instalar la última versión de java siempre se debe desinstalar la anterior versión.
Para instalar la última versión de Java de Sun Microsystem (no vulnerable a este fallo), desde este enlace: http://www.java.com/es/
17/01/2007 ¿TIENES UN PORTATIL ACER?
Vulnerabilidad en una libreria instalada en algunos portátiles Acer
Recientemente ha habido una serie de artículos acerca de una vulnerabilidad (Si a eso se puede llamar vulnerabilidad) en el LunchApp.Aplunch, un active control X que viene preinstalado en algunos portátiles Acer.
El artículo original que alertó del fallo está disponible en http://vuln.sg/acerlunchapp-en.html, desde el pasado noviembre.
El control Active X es bastante simple y básicamente permite a un atacante ejecutar cualquier código binario en un ordenador remoto, pudiendo con ello tener acceso total al PC.
Se ha comprobado en un Acer TravelMate nuevo con Internet Explorer 6 (sobre windows XP SP2) que el control active X no se ejecuta de inmediato, pero si advertirá al usuario que tiene que permitir al control Active X ejecutarse.
Con Internet Explorer 7 nos advertirá también que el usuario con el control X intenta ejecutarse.
Acer ha provisto un parche para esta vulnerabilidad. El parche ha sido denominado como "Acer Preload Security Patch for Windows XP", puede leer toda la información en español además de poder descargar el parche que soluciona el problema Aquí
15/01/2007 PHISHING A CLIENTES DE BANESTO
Intento de robo de claves de acceso a cuentas de clientes de Banesto
La Asociación de internautas nos alerta de un intento phishing a clientes de la entidad bancaria Banesto Páginas fraudulentas: http://www.banesto.net.bz/particulares/
http://www.banesto.net.bz/empresas/
Los delincuentes no cesan en el intento de obtener dinero rápido y sin esfuerzo, la mejor manera de evitar este tipo de estafas phishing es ingnorando mensajes de nuestro banco que pidan datos de acceso a nuestras cuentas.
Recuerde que su banco tiene sus claves de acceso y es ud. quién debe pedirlas en caso de pérdida, su banco nunca le pedirá sus claves por correo electrónico ni por otro medio.
Este año 2007 se prevee bastante problemático en este tipo de estafas.
15/01/2007 PHISHING A USUARIOS DE EBAY
Intento de robo de claves de acceso a clientes de www.ebay.com
Los Usuarios del famoso portal de subastas en internet www.ebay.com deben estar en alerta constante ante este tipo de estafas que comienzan con un correo-trampa y acaban, por desgracia, con una estafa. Intentan el robo de claves de acceso a usuarios así como sus datos personales referentes a tarjetas de crédito Web fraudulenta: http://tourmktg.co.kr/accounts.ebay.com/
El video como siempre ya está en YouTube, donde podéis ver todos los videos que he realizado y ahora también para que usuarios de GoogleVideo puedan acceder a los últimos videos disponibles, les dejo el siguiente enlace: http://video.google.es/videosearch?q= www.visa-club.com
En el caso que nos ocupa tenemos una web-trampa que a simple vista está acabada a la perfección y diseñada con todo tipo de detalles, todo ello pueden llevarnos a cometer la grave imprudencia de introducir datos confidenciales en los campos creados a tal efecto.
Aun tratándose de un caso que está destinado para gente de habla inglesa, he decidido incluirlo debido a la perfección de detalles que puede inducir a gente confiada a introducir sus claves de acceso.
15/01/2007 MALWARE
Troyanos
El SANS (Interner Storm Center) nos alerta ante un peligroso Troyano que abre una ventana tipo Popup cuando es ejecutado en nuestro ordenador
Este tipo de malware ha sido identificado por www.Trendmicro.com como TROJ_ZONEBAC.F y por www.f-secure.com como Downloader.Win32.Agent.awf.
El troyano puede llegar a nuestro ordenador visitando un sitio web creado para la descarga de este tipo de malware, o descargado por otro tipo de malware o mediante redes P2P.
Una vez que es ejecutado en nuestro ordenador muestra una ventana como la que mostramos en la imagen de la izquierda, modificando el registro de windows y bajando los niveles de seguridad de nuestro internet explorer es capaz de conectar a una dirección IP y para evitar la acción de antivirus se descarga una copia actualizada de si mismo, tambíén es capaz de terminar procesos que tienen relacción directa con aplicaciones de seguridad de antivirus y firewall de nuestra máquina.
Si ha sido infectado por este tipo de malware puede eliminar el troyano de forma manual siguiendo Estas indicaciones.(En inglés)
ACTUALIZACIONES WINDOWS -ENERO 2007-
Cuatro boletines de seguridad de Microsoft en enero
Recomendamos actualizar windows lo antes posible, aquí las actualizaciones correspondientes a cada vulnerabilidad y también el correspondiente reconocimiento al trabajo realizado por organizaciones o personas físicas que microsoft realiza por cada fallo notificado.
Cuidado con correos electrónicos que aluden a un Video de Saddam Hussein
Se ha detectado un envío masivo de malware en ficheros adjuntos a correos electrónicos, utilizando en este caso el video de la ejecución de Saddam Hussein son capaces de instalar troyanos del tipo downloader
En la imagen vemos tres diferentes tipos de archivos adjuntos que han sido enviados de forma masiva con el objetivo de instalar troyanos en los ordenadores donde son ejecutados.
Si cometemos la imprudencia de hacer click en alguno de los tres mostrados, por ejemplo el video_sadam-exe ejecutará un troyano que instalará una variante del Win32/Spy.Banker que es un troyano que es capaz de robar información financiera de numerosos bancos on-line, también en el caso de este archivoa redirecciona nuestro navegador de Internet al sitio web de Youtube.com, solicitando enlaces al video con la ejecución de Saddam Hussein.
El adjunto saddam.morto.scr es un troyano que descarga tres tipos diferentes de troyanos que roban información financiera y también dirige nuestro navegador a un sitio web llamado lasgo.be donde se ejecuta un archivo en mp3.
El adjunto con nombre sadan.exe también es otro programa malicioso que descarga una variante que roba información financiera dirigiendo también nuestro navegador a un video de youtube sobre la ejecución de Saddam Hussein.
Recomendamos que NO ABRIR ficheros adjuntos sea del tipo que sean es la mejor vacuna ante esta nueva generación de malware.
07/01/2007 PHISHING A USUARIOS DEL BANCO SANTANDER
Descubierta una web lista para el robo de claves de acceso a usuarios de Banco Santander
La Asociación de internautas nos alerta ante una web que intenta suplantar la identidad de la entidad financiera Banco Santander, el objetivo siempre es el mismo; el robo de claves de acceso y después el dinero de clientes de la entidad financiera. Web fraudulenta; http://bsch.bz
Desde esta web recordamos a todos nuestros lectores que toda buena práctica en materia de seguridad pasa por descartar cualquier correo electrónico que le solicite datos personales, ignorar cualquier archivo adjunto aunque conozcamos al remitente y eliminar todo correo extraño sin tan siquiera abrirlo.
Tampoco está de más recordarle que su banco NUNCA le pedirá sus claves de acceso por correo electrónico ni por fax ni por otro medio, su banco tiene sus claves y en todo caso es ud. en caso de perderlas debe ir a su banco para solicitarlas.
07/01/2007 PHISHING A USUARIOS DE PAYPAL
Descubierta una web lista para el robo de claves de acceso a usuarios de Paypal
Descubierto un servidor que intenta suplantar la identidad de www.Paypal.com. Como siempre todo comienza con el envío masivo de correos electrónicos que imitan a la famosa entidad de pagos on-line Paypal. Página fraudulenta: http://212.52.155.66/www.paypal.com/cgi-bin/webscr_cmd=_login-run3018/
Todo comienza en nuestra bandeja de entrada de nuestra cuenta Gmail, un correo-trampa nos amenaza con suspender nuestra cuenta de Paypal, si no accedemos a la web y actualizamos nuestros datos en menos de 24 horas.
Si accedemos a la web desde el enlace-trampa del correo fraudulento observamos una web idéntica a la lícita de la entidad, cualquier dato introducido en el formulario de acceso será enviado a delincuentes informáticos, y nuestro dinero y datos personales estarán a unos pocos clicks de su bolsillo.
El filtro Spam que usa Gmail(correo Google) es considerado como uno de los que mejor resultado da, podemos compararlo con filtros de pago (con cualquiera) y hasta el momento , Gmail es uno de los mejores clientes de correo gratuito que existen.
En este caso,incluso ha bloqueado hasta el link de acceso a la web fraudulenta, debemos ver el código fuente del correo para conocer hacia donde apunta dicho enlace.
04/01/2007 PHISHING A USUARIOS DE CITIBANK
Descubierta una web que intenta el robo de claves de acceso a banca on-line a clientes de Citibank
Descubierta una web muy peligrosa que no solo intenta el robo de claves de acceso, también se intenta lo que actualmente se conoce como Robo de Indentidad (datos personales) a usuarios de Citibank.
Páginas fraudulentas:
Como siempre mostramos desde el correo trampa hasta la web donde se intenta el robo de claves de acceso y también el robo de datos personales para posiblemente un Robo de Indentidad.
Este caso en particular, el programador nombra a un directorio del servidor con el nombre"https", al mostrarse en la barra de dirección puede llegar a confundir a algún usuario y pensando que se encuentra en una conexión segura, introduzcir datos de acceso en la web-trampa.
Recordamos que una conexión segura comienza por "https://" y siempre debe estar al principio en la barra de dirección, en este caso sería válido: https://nombre-de-dominio/
El siguiente caso NO seria válido y no mostraría conexión segura, tan solo un directorio del servidor llamado https: http://nombre-de-dominio/.https./...
04/01/2007 VULNERABILIDAD EN ADOBE ACROBAT
Son afectadas las versiones de Adobe Reader 7.0.8 (inclusive), y anteriores
El aviso original informa de que los fallos detectados permiten la ejecución de código en Firefox, ataques DoS en Internet Explorer y el robo de sesiones en Firefox, Opera y Explorer (Cross-Site-Scripting)
Vulnerabilidades que han sido identificadas como graves, pueden ser explotadas por atacantes remotos para provocar denegación de servicio (ataques DoS), o para ejecutar scripts de comandos (JavaScript), lo que permitiría tomar el control completo del equipo que ejecute las versiones vulnerables de este programa.
El fallo radica en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.
Para desencadenar este ataque hay que invocar un pdf con ciertos parámetros en la URL, por ejemplo:
El atacante podría haber puesto un código javascript cualquiera para robarte tus cookies y hacerse pasar por ti o cualquier otra malignidad.Tenga en cuenta que para explotar estas vulnerabilidades no es necesario modificar un archivo PDF, sino simplemente el enlace a un archivo PDF.
Son afectadas las versiones de Adobe Reader 7.0.8 (inclusive), y anteriores.
Se ha detectado una vulnerabilidad en Apple QuickTime 7, la cuál puede ser explotada por atacantes remotos para tomar el control completo del sistema afectado.
La vulnerabilidad está confirmada en la versión 7.1.3.100 (versión Windows) y según se informa afecta a Microsoft Windows and Mac OS X.
El problema lo ocasiona un desbordamiento de búfer cuando el programa maneja el Identificador Universal de Recursos(rtsp).
La vulnerabilidad puede ser explotada a través de sitios web maliciosos o mediante archivos QTL (un formato de video de QuickTime).
No existe ningún parche oficial al momento de publicarse esta alerta, y por ahora se sugiere deshabilitar la asociación con archivos RTSP en QuickTime. Para ello, (vea imagen de la
izquierda) seleccione las propiedades del programa, "File Types", y en "Streaming - Streaming movies", desmarque la opción "RTSP stream descriptor
A falta de parche oficial que solvente este problema, se recomienda abstenerse de abrir archivos QTL(QuickTime Link) que provengan de fuentes no confiables. Enlaces relaccionados: http://secunia.com/advisories/23540/
El fallo se produce durante la interpretación de componentes de algunas imágenes.
El artículo original que alertó del fallo está disponible en 
Este tipo de malware ha sido identificado por www.Trendmicro.com como 
Vulnerabilidades que han sido identificadas como graves, pueden ser explotadas por atacantes remotos para provocar denegación de servicio (ataques DoS), o para ejecutar scripts de comandos (
La vulnerabilidad está confirmada en la versión 7.1.3.100 (versión Windows) y según se informa afecta a Microsoft Windows and Mac OS X.
