Con el objetivo de obtener claves de acceso a cuentas del famoso portal de subastas Ebay, envían correos masivos como el aquí mostrado. Cualquier usuario de Ebay que no esté al día, puede ser víctima de este tipo de estafas.
Dirección de la web-phishing: http://201.228.65.238/.sign/ Procedencia:Colombia Como siempre el correo-trampa es copia exacta de los utilizados por Ebay y intenta que por todos los medios accedamos a Ebay pinchando en el enlace del correo trampa, donde nos llevarán a una web fraudulenta donde se producirá el robo de claves de acceso.
Aconsejamos a usuarios de Ebay, acceder escribiendo en el navegador la dirección de Ebay, nunca desde correos electrónicos, aunque provengan de usuarios de Ebay.
Tampoco responda a mensajes de otros usuarios de Ebay desde su correo personal pinchando sobre enlaces del correo electrónico, acceda a su cuenta directamente desde su navegador, nunca desde correos electrónicos.
VULNERABILIDAD CRITICA EN INTERNET VGX.DLL(INTERNET EXPLORER)
Multitud de sitios web aprovechan la vulnerabilidad instalando troyanos silenciosos
Si ud. aún no ha tomado medidas contra esta vulnerabilidad, le recomendamos que lo haga cuanto antes. La vulnerabilidad es ampliamente conocida y el riesgo aumenta sensiblemente cada día. Aquí le mostramos la solución (hasta la publicación del parche correspondiente) indicada por microsoft .
Entre varias formas de eludir el problema, Microsoft recomienda desregistrar VGX.DLL.
Para ello, desde una ventana de comandos, o desde Inicio, Ejecutar, escriba la siguiente orden (respetando las comillas, y todo en una sola línea), o corte y pegue el contenido de la siguiente ventana:
regsvr32 -u "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll"
NOTA: Lo hemos adaptado para las versiones en español de Windows. Si "Archivos de programas" no está en la unidad C, cambie las instrucciones de acuerdo a la ubicación real de dicha carpeta.
Si la operación es exitosa, le será mostrada una ventana con el mensaje:
"DllUnregisterServer en C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll se realizó con éxito".
Cuando publiquen el parche correspondiente de Microsoft para volver a registrar VGX.DLL, solo escriba la siguiente orden (con las comillas, y en una sola línea), o corte y pegue el siguiente contenido:
regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll"
Se mostrará el mensaje: "DllRegisterServer en C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll se realizó con éxito".
27-09-06 Parche oficial de Microsoft"urgente" para la vulnerabilidad VML (MS06-055) ya disponible
Microsoft se ha saltado la norma de publicar los parches solamente el segundo martes de cada mes y aunque no es la primera vez, es un hecho muy inusual. El nuevo parche está disponible aquí, selecciona tu versión de internet explorer y después su idioma::MS06-055: Vulnerability in Vector Markup Language Could Allow Remote Code Execution (925486) Para aplicar el nuevo parche es necesario retornar el sistema a su estado vulnerable, es decir, si aplicamos las recomendaciones que dieron desde Microsoft para solventar temporalmente el problema, ahora tenemos que deshacer los cambios para poder solucionar el problema.
Si como hemos comentado, "des-registraste" la librería Vgx.dll ahora tienes que volver a registrarla mediante el comando: regsvr32 "C:\Archivos de programa\Archivos comunes\Microsoft Shared\VGX\vgx.dll"
ATAQUE PHISHING A USUARIOS DE PAYPAL
Intento de robo de datos de acceso a cuentas de Paypal.
Ataque Phishing a clientes de Paypal.
Un correo falso que imita a Paypal solicita la actualización de datos de usuario amenazando del cierre de nuestra cuenta de paypal si no actualizamos nuestros datos.
En el video-alerta podemos comprobar desde el correo trampa hasta el servidor que almacena la web-phishing: http://paypalsecurityalerts.biz/icons/www.paypal.com/SecureInfo/paypal/
El correo ha sido enviado de forma masiva (Spam), ha sido recibido por destinatarios que no tienen vinculación con Paypal, aunque posiblemente algún usuario de Paypal haya podido recibir dicho correo-trampa.
Aunque el servidor ha sido reportado a microsoft como "sitio Phishing almacena la web que aquí denunciamos y a la que pueden ser enviados usuarios de Paypal para robar sus claves de acceso.
SPAM Y TROYANOS BANCARIOS
SOPHOS advierte del uso del Spam como fuente de troyanos bancarios
Sophos advierte de un peligroso correo Spam que nos llega a nuestro buzón de correo en forma de "postal virtual".
Los usuarios de windows que reciban la postal y caigan en la tentación de pulsar en el link-web que muestra la postal, son reenviados a un sitio web el cual aprovecha agujeros de seguridad de Microsoft y instala el troyano Clsldr-D en sus ordenadores entre otros códigos maliciosos como (Troj/Delf-KP, Troj/Lofler-A , Troj/Siggy-A, Troj/Webdrop-A, Troj/Small-EM y Troj/Divo-A) Troj/Divo-A es un troyano bancario usado en ataques phishing capaz de grabar datos de acceso cuando el usuario accede a bancos on-line.
Recuerde que el correo Spam es fuente de troyanos bancarios.
ATAQUES PHISHING A USUARIOS DEL PORTAL DE SUBASTAS "EBAY"
Intento de robo de claves de usuario a clientes de Ebay.
Ataque Phishing a clientes del famoso portal de subastas Ebay.
Este tipo de ataques es considerado muy peligroso, la estrategia utilizada es casi perfecta: Un correo electrónico-trampa que simula un mensaje de Ebay.
Dirección de la Página-Phishing a la que somos enviados desde este correo-trampa: http://host222-128-static.37-88-b.business. telecomitalia.it:82/signin.ebay.com/reg.php ( operativa el día:23/09/06)
Localización:Italia
Detalles:
En el video de la izquierda podemos ver desde el correo-trampa hasta la web-Phishing.
El correo-trampa aquí mostrado fue denunciado con fecha 23-Septiembre-2006. Nos pide que confirmemos el correo electrónico de registro de usuario, pulsando el link "Confirm Email" donde seremos enviados a una página falsa que es una copia exacta de la web de identificación de usuarios de Ebay donde nuestros datos serán capturados por "Phishers".
PHISHING A USUARIOS DE EBAY
Mensajes falsos que ponen en riesgo la seguridad de clientes de Ebay, inundan a cientos de usuarios de su famoso portal de subastas.
Correos electrónicos que simulan ser de usuarios de Ebay conducen a sitios Phishing a clientes del famoso portal de subastas Ebay Su objetivo es el robo de claves de acceso a sus cuentas de usuario.
.
Dirección de la Página-Phishing a la que somos enviados desde este correo-trampa: http://www.signin-ebay-com-0.smtp.ru/eBay.html(No operativa ya) Localización: Rusia Detalles:
El correo-trampa aquí mostrado fue denunciado con fecha 21-Septiembre-2006. Nos pide que respondamos a una pregunta, pulsando el link "Respond Now" donde seremos enviados a una página falsa que es una copia exacta de la web de Ebay donde nuestros datos serán capturados por "Phishers".
ATAQUES PHISHING A USUARIOS DEL PORTAL DE SUBASTAS "EBAY"
Intento de robo de claves de usuario a clientes de Ebay.
Ataque Phishing a clientes del famoso portal de subastas Ebay.
Este tipo de ataques es considerado muy peligroso, la estrategia utilizada es casi perfecta: Un correo electrónico-trampa que simula un mensaje de un usuario de Ebay.
La peligrosidad de este ataque puede dejar en evidencia al más experto, cualquiera que esté registrado en el portal de subastas "Ebay" y haya puesto en venta algún artículo, ha podido recibir algún mensaje de otros usuario interesado en el artículo en venta. Ebay comunica a sus usuarios que tiene mensajes en su buzón de usuario mediante un correo electrónico y pone a disposición del usuario un enlace en el mismo correo donde podemos responder al usuario que realiza la pregunta sobre nuestro artículo en venta.
Al pulsar sobre el enlace del correo nos envia a la página de indentificación de Ebay donde tras identificarnos respondemos al usuario.
Los delincuentes realizan una copia exacta de los "correos tipo" que envía Ebay utilizando a cualquier usuario registrado y esconden tras los enlaces del correo-trampa la dirección que nos envía a una web phishing donde al identificarnos enviamos (sin darnos cuenta) nuestros datos de acceso.
En el video que mostramos podemos obervar la perfección del correo trampa.
La web falsa está operativa al día 20-sep-2006:
http://mujweb.cz/www/ebay-safeharbour/signin.htm
PAGINAS QUE SIMULAN SER BANESTO
Web falsas de Banesto descubiertas preparadas para realizar fraudes online.
Otro ataque mediante Phishing a clientes de Banesto. En este caso no disponemos del correo que lleva a la web fraudulenta, pero posiblemente hayan sido enviados de forma masiva
En el video realizado por www.visa-club.com No disponemos del correo trampa que puede ser enviado en forma de Spam que llevaría a clientes de la entidad hasta la web-phishing donde se produce el robo de datos confidenciales.
Siempre aluden alguna escusa para intentar que introduzcamos nuestros datos de acceso en un link del correo-trampa, bajo la falsa excusa de un error en los datos y una teórica baja del servicio si no envía los datos solicitados, si hacemos caso del texto del correo seremos víctimas del robo de nuestros datos de acceso a nuestra cuenta bancaria.
La páginas detectadas son una copia exacta de la web lícita del Banesto, las web falsas mostradas en el video son:
http://banesto.es.npage.secure.mypaqe.ws/users.asp/
http://banesto.es.npage.secure.norew.info/users.asp/
MOZILLA Y INTERNET EXPLORER NUEVAS VULNERABILIDADES CRITICAS
Mozilla debe actualizarse a la última versión. Internet Explorer deberá esperar a la nueva ronda de actualizaciones para corregir la vulnerabilidad.
Múltiples vulnerabilidades han sido identificadas las cuáles pueden ser explotadas por atacantes remotos para tomar el control completo de los sistemas afectados, eludir las restricciones de seguridad y obtener información sensible.
Ejecución de código en Internet Explorer (daxctle.ocx): Son afectadas todas las versiones actuales de Internet Explorer, con todos los parches y actualizaciones al día.
El problema se produce por un desbordamiento de búffer que provoca la corrupción de la memoria utilizada por el programa, cuando el mismo recibe un argumento malformado, al procesar el método "KeyFrame()" del objeto ActiveX "DirectAnimation.PathControl" (daxctle.ocx). Esto puede ser utilizado para la ejecución remota de comandos.
Se conoce la existencia de exploits que se aprovechan de esta vulnerabilidad.
No existe ninguna solución oficial para este problema al momento de la publicación de esta alerta
La configuración sugerida por VSAntivirus en el siguiente artículo, impide la ejecución de este exploit cuando se visita un sitio no seguro: Configuración personalizada para hacer más seguro el IE:http://www.vsantivirus.com/faq-sitios-confianza.htm Software afectado:
- Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows XP SP1)
- Internet Explorer 6 en Windows XP SP2
- Internet Explorer 6 en Windows Server 2003
- Internet Explorer 6 en Windows Server 2003 SP1
- Internet Explorer 6 en Windows Server 2003 (Itanium)
- Internet Explorer 6 en Windows Server 2003 SP1 (Itanium)
- Internet Explorer 6 en Windows Server 2003 x64 Edition
- Internet Explorer 6 en Windows XP Professional x64 Edition
Mozilla: Ejecución de código y otras vulnerabilidades:
Múltiples vulnerabilidades han sido identificadas en Mozilla Firefox-thunderbird, SeaMonkey y Mozilla Network Security Service (NSS) las cuáles pueden ser explotadas por atacantes remotos para tomar el control completo de los sistemas afectados, eludir las restricciones de seguridad y obtener información sensible.
Para los usuarios con Mozilla la solución pasa por actualizar las versiones vulnerables a las No vulnerables que pueden encontrar en los enlaces arriba mencionados en este mismo artículo.
Versiones vulnerables:
-Mozilla Firefox 1.5.0.6 y anteriores
- Mozilla Thunderbird 1.5.0.6 y anteriores
- Mozilla SeaMonkey 1.0.5 y anteriores
- Mozilla Network Security Service (NSS) 3.11.2 y anteriores
Los usuarios de windows que reciban la postal y caigan en la tentación de pulsar en el link-web que muestra la postal, son reenviados a un sitio web el cual aprovecha agujeros de seguridad de Microsoft y instala el troyano 
