Si eres nuevo en este sitio, puedes suscribirte a Tecnoseguridad via RSS o recibir la noticias via email. Gracias por tu visita !

Por Christophe Alme, investigador principal del laboratorio líder de seguridad de mensajes, basado en Alemania y Tim Roddy, Director de Administración de Productos, basado en Estados Unidos, ambos de Secure Computing,

· La actividad del malware de origen Web, continúa escalando con un nuevo gusano que utiliza inyecciones iFrame y una vulnerabilidad MDAC para atacar sitios Web y causar daños vía infecciones a usuarios desprevenidos con el programa de malware Store.

· Justo cuando usted creía seguro asumir que el gusano Storm se había desvanecido y muerto, autores de malware están ahora activamente lanzando su ataque de inyección iFrame para infectar sitios Web legítimos y confiables.

· También de acuerdo con SANS ISC, un gusano ha contaminado servidores web con una inyección SQL, y 4,000 servidores ya han sido impactados. Una vez infectados, estos sitios web usan iFrames y una vieja vulnerabilidad de Real Player para comprometer a visitantes. SANS provee detalles aquí de los URLs usados como recursos del script inyectado y previene que los URLs deberían de ser bloqueados inmediatamente. [Nota: Estos URLs están activos y pueden dañar potencialmente una máquina visitante, así que por favor visítelos solo desde una máquina de laboratorio correctamente aislada y protegida]

Ataques SQL Injection iFrame

El Malware nacido en el Web, es el vector más popular usado por los delicuentes ciberneticos hoy en día. ¿Cuánto tiempo mas tiene que pasar para que los propietarios de sitios, se responsabilicen por el daño que causan a las PC de los visitantes a sus sitios, cuando ellos no lo han asegurado debidamente?

La implícita confianza que teníamos de visitar sitios web populares (así como motores de búsqueda) se ha ido. En este ambiente de ataques, ¿cuanto tiempo les tomará a las empresas permitir que sus usuarios internos naveguen libremente por el Internet, sin que tengan que inspeccionar el contenido que devuelven de los sitios web visitados por scripts maliciosos?

Basta simplemente con abrir el Puerto 80 para sus usuarios, aplicando una categoría basada en el filtro URL y no inspeccionar el contenido de regreso, para que sea irresponsable, al menos en el ambiente actual. Con todos los scripts de ataques automatizados siendo usados en forma natural y este gusano adicionado, típicamente en los sitios web populares/buenos, están siendo infectados a un ritmo de más de 1 cada 5 segundos.

Seguir leyendo

Trend Micro detecta un nuevo caso de espionaje web masivo en Italia, similar al que se llevó a cabo en junio de 2007.

Por Rosalía Arroyo [09-05-2008]

Bautizado como Italian Job por iniciarse en Italia, se propagó a velocidades de vértigo infectando numerosos sitios web y a decenas de miles de usuarios de todo el mundo. Ahora, el nuevo ataque afecta particularmente a las páginas web alojadas en Italia por un importante proveedor de hosting.
El dominio de los sitios puede ser de origen inglés, norteamericano, asiático o italiano, pero hasta ahora, todos los casos son de páginas en italiano y la mayoría tienen un dominio de esa nacionalidad.

Trend Micro ha descubierto dos formas utilizadas por los ciber-criminales para comprometer un site: una de ellas es inyectando un script oculto que redirecciona al usuario a determinadas URLs maliciosas, mientras que la segunda es mediante un iFRAME y el mismo script oculto.

Algunos ejemplos de los sitios comprometidos incluyen desde la página del club de fans de Johnny Depp, hasta el site de la banda de música Pearl Jam, el sitio oficial de la cantante de pop de los 80 Sabrina (Salerno), el de Monica Bellucci o el club italiano de Mercedes-Benz.

Seguir leyendo

Por Rosalía Arroyo

TrendLabs revela la existencia de un nuevo ataque de phishing dirigido a los usuarios de Google AdWords.

En un intento por obtener información bancaria, los ciber-criminales envían a los usuarios una notificación por correo electrónico en la que se les informa de que su último pago no pudo realizarse y se les pide actualizar su información sobre los pagos de Google AdWords, informa TrendLabs.

El enlace que contiene el correo electrónico es el legítimo (hxxp://adwords.google.com/select/login), sin embargo, al revisarlo con mayor cuidado, la página real a la que se tiene acceso es un sitio comprometido que está hospedado en varios países diferentes, entre los que se encuentran Rumania, Brasil y Canadá.

La creciente popularidad de Google ha hecho que los hackers intensifiquen sus ataques a los sitios de la compañía, siguiendo con los recientes ataques al sistema Google Calendaring.

Según Rik Ferguson, de Trend Micro, “Google puede verse como una víctima de su propio éxito, pues su participación en el mercado se ha incrementado junto con la variedad de productos y servicios que ofrece, de modo que su valor para los ciber-criminales como una plataforma que puede explotarse ha crecido junto con él”. Ferguson también añade que “el ciber crimen y el código malicioso en el mundo actual son un gran negocio, llegando a parecerse mucho al mundo del negocio legítimo, ofreciendo incluso outsourcing, presupuestos de investigación y desarrollo, plataformas de Código Malicioso como Servicio, SLAs y hasta acuerdos de licencias de software (EULAs). En este mundo de negocios sería justo decir que, conforme la participación de mercado se amplía y la base de usuarios crece, lo mismo hace la “inversión potencial” para el ciber-criminal. En definitiva, se trata de un retorno de la inversión”.

Fuente: http://www.vnunet.es/es/vnunet/news/2008/05/08/continuan_ataques_a_usuarios_google

BeepBeep.A, una vez ejecutado, se copia en varias carpetas, como Mis documentos, Mis imágenes, Mi música y también en las carpetas de los programas P2P. En éstas últimas se copia con nombres relacionados con pornografía.

Para tratar de no ser detectado, evita la ejecución de diferentes soluciones de seguridad. Además, emite un sonido cuando el usuario accede a la carpeta Windows\System32.
Radulambu.A llega al equipo con el icono de una imagen. Para intentar engañar al usuario, cuando se ejecuta abre el visor de imágenes de Windows, al tiempo que intenta conectarse a ciertas páginas web maliciosas.

Este gusano realiza varias copias de sí mismo en el sistema y además crea varias entradas nuevas en el Registro de Windows. Así realiza acciones tales como ocultar la opción de Buscar del menú de inicio o deshabilitar Windows Installer.

Seguir leyendo

Utiliza el phishing junto con el virus troyano Zeus para el robo de información personal durante transacciones online.

RSA ha descubierto una nueva técnica de ataque informático a entidades financieras que combina el phishing y el virus troyano Zeus.

La nueva estrategia puesta en marcha por el grupo de piratas informáticos Rock Phish sustrae información personal y propaga un troyano financiero, un programa que pasa desapercibido y que captura información importante de los usuarios, como claves, identificaciones personales y tarjetas de crédito.
Rock Phish es un grupo de piratas informáticos que actúa desde 2004 y cuya base se cree podría estar en Europa. Su principal objetivo son instituciones financieras de todo el mundo. Se estima que las actuaciones de Rock Phish representan más del 50% de los ataques de phishing del mundo y que son los responsables del robo de decenas de millones de dólares de cuentas bancarias de usuarios. Sin embargo, hasta ahora, el grupo no había desplegado programas troyanos como parte de su metodología de ataque.

Fuente: http://www.diarioti.com/gate/n.php?id=17359

La banda de asaltantes Rock Phish, ha puesto en riesgo a un mayor número de usuarios al usar “ataques dobles”, informó RSA.

Rock Phish es una antigua banda de asaltantes especializada en robos por Internet. Hay indicios de que tienen su base en Rusia y de que son responsables de más o menos el 50% de los ataques phishing realizados en la red.

En 2004 fue el primer y único grupo que utilizaba programas zombi. También fueron los pioneros de nuevas técnicas para evitar los filtros spam en los correos que enviaban.

Otra de sus peligrosas actividades fue la venta de equipos phishing diseñados para cibercriminales de menor experiencia.

Uriel Maimon, investigador de RSA indicó este lunes que durante las últimas semanas, Rock Phish ha realizado ataques dobles: estafan a la víctima que va al sitio phishing y la infectan con el Troyano Zeus.

Zeus es bastante peligroso. Puede recolectar datos de formularios, hacer captura de las pantallas, robar contraseñas y permitir el control remoto del ordenador.

Lo peor de todo es que este tipo de ataque puede infectar un ordenador con programas maliciosos sin ninguna interacción del usuario.

Fuente: http://www.viruslist.com/sp/news?id=208274140

En las últimas semanas, dos tipos de ataques han tenido éxito en la creación de un escenario que hace más probable que las personas que naveguen por Internet o realicen búsquedas en sitios como Google, puedan ser llevadas a sitios web que intentan ejecutar un código malicioso en sus equipos.

El resultado de uno de los ataques, es que las búsquedas devueltas por Google, pueden contener enlaces a sitios que han sido comprometidos para que descarguen códigos que pueden infectar el equipo del visitante. Según varios informes, el número de sitios infectados puede llegar a decenas de miles.

Otra clase de ataque, ha comprometido a miles de sitios webs legítimos, a través de vulnerabilidades en los programas utilizados. Esto incluye los recientes reportes de ataques a sitios con WordPress, etc.

Seguir leyendo

Anteriormente he publicado post sobre seguridad en dispositivos USB como auditarlos y como bloquearlos, en este post voy a exponer dos técnicas de ataque con dispositivos USB para mostrar algunos de los riesgos que suponen estos dispositivos.

La primera técnica: el ataque proviene del dispositivo USB y afecta al sistema.

Consiste en una aplicación, USB Switchblade, guardada en USB, este USB se introduce en la maquina victima y se ejecuta mediante la reproducción automática de dispositivos. Esta aplicación recoge información de la maquina victima: secretos LSA, contraseñas de Windows, dirección IP, puertos abiertos, contraseñas de correo, historiales de navegación, contraseñas guardadas en el navegador, serials de aplicaciones instaladas… Además crea una cuenta con privilegios de administración y un servicio oculto VNC para poder controlar dicha maquina.

El funcionamiento de esta aplicación se basa fundamentalmente en una vulnerabilidad de Windows en dispositivos con tecnología U3. La tecnología U3 admite la ejecución de aplicaciones directamente desde el dispositivo de almacenamiento USB y sin dejar rastro alguno. Esta tecnología cuenta con dos particiones: la primera es para el sistema operativo, un medio de almacenamiento extraíble; la otra, una partición muy pequeña, se considera como una unidad de CD-ROM virtual. Windows XP con SP2 tiene una función de ejecución automática habilitada por defecto, por lo que el solo hecho de insertar este dispositivo USB, y sin ningún tipo de intervención por parte del usuario, lanzará un menú. A través de este menú se carga USB Switchblade que se encarga romper los secretos LSA y romper los Windows LM hashes que contiene las contraseñas de los usuarios de Windows. Además esta aplicación esta sometida todos los meses a pruebas de morphing para evadir los antivirus.

Seguir leyendo