La semana pasada fue publicado por innumerables sitios de seguridad, el ataque realizado a 40.000 sitios web.

El mismo, consistió en la inyección de código malicioso en sitios web legítimos. De esta forma, a través de un script ofuscado, los atacantes intentaban infectar a los visitantes de dichos sitios. El incidente fue reconocido como “The Nine-Ball Attack“, por uno de los dominios utilizados para el ataque.

Para agregar código malicioso en sitios legítimos, los atacantes se valieron del robo de credenciales de acceso a los servidores FTP de los sitios web.

Asimismo, cada vez que un usuario visita algún sitio comprometido, comienza, con el script antes mencionado, una amenaza multi-stage donde la víctima es direccionada en segundo plano a diversos sitios, y se ejecutan diversos exploits en busca de vulnerabilidades que permitan descargar el código malicioso.

Este ataque, no es el primero en su especie. En enero de 2009 fue detectado otro ataque masivo, infectando más de 20.000 sitios web. Posteriormente, fueron detectados otros ataques similares, identificados como Beladen y Gumblar, este último afectando, en Marzo de este año, también a miles de sitios web legítimos.

Como mencionaba previamente, los ataques muli-stage son una de las tendencias más importantes en lo que refiere a ataques web. Estos, combinan las ya conocidas técnicas de Drive-by-Download, con métodos masivos de infección y la utización de multiples exploits para infectar al usuario.

Al utilizar sitios legítimos, que no poseen fines maliciosos, aprovechan las visitas de estos para propagar códigos maliciosos.

Según el script y el ejecutable, tanto los exploits como los archivos maliciosos son detectados por ESET NOD32, por lo que los usuarios están protegidos de esta amenaza.

Sebastián

Fuente: http://blogs.eset-la.com/laboratorio/2009/06/24/inyeccion-codigo-masiva-sitios-web/

Popularity: 2% [?]

Piratas informáticos lanzaron el jueves un ataque contra los 200 millones de usuarios de Facebook, consiguiendo exitosamente las contraseñas de algunos de ellos, en la más reciente campaña contra los miembros de la popular red social.

El portavoz de Facebook, Barry Schnitt, dijo el jueves que el sitio estaba en proceso de reparar los daños causados por el ataque.
Schnitt precisó que la red estaba bloqueando las cuentas afectadas. Sin embargo, declinó decir cuántas estaban comprometidas.

Los piratas informáticos obtuvieron las contraseñas por medio de lo que se conoce como ataque de “phishing”: Introduciéndose en las cuentas de algunos miembros de Facebook y enviando correos electrónicas a sus amigos instándolos a hacer clic en vínculos de sitios web fraudulentos.

Esos sitios fueron diseñados para verse similares a la página de inicio de Facebook, en un sistema que pedía a los usuarios que volvieran a iniciar sesión, con lo que los piratas conseguían las contraseñas.

El objetivo de tales ataques generalmente es el hurto de datos y la recolección de direcciones para propagar correo basura.

Los dominios fraudulentos incluían www.151.im, www.121.im y www.123.im. Facebook eliminó todas las referencias a dichos sitios.

Schnitt dijo que el equipo de seguridad de Facebook cree que los piratas informáticos buscaban recolectar un amplio número de cuentas y más tarde utilizarlas para enviar correos basura con propaganda de productos farmacéuticos falsos y otros bienes a miembros de Facebook.

El sitio repelió un ataque similar dos semanas atrás, agregó el portavoz.

La red social privada Facebook y su rival MySpace, de propiedad de News Corp NWSA.O, exigen que quienes envíen mensajes pertenezcan a la red y oculten los datos de usuario a las personas que no tienen cuentas. Por eso sus miembros tienden a ser menos recelosos de los mensajes que reciben.

Piratas informáticos utilizaron un ataque de pishing el año pasado para enviar un virus malicioso conocido como Koobface (en referencia a Facebook).

Se descargaba a los computadores de los usuarios de Facebook cuando hacían clic en un link que recibían a través de un correo electrónico de apariencia similar a uno que hubiese sido enviado por un contacto de Facebook.

Fuente: http://www.mundo-contact.com/enlinea_detalle.php?recordID=12974

Popularity: 2% [?]

Los creadores de malware y otros tipos de ataques informáticos buscan nuevos mecanismos de ataque avanzados, nuevas formas de atacar a las víctimas aunque estas tengan profundos conocimientos sobre la seguridad en Internet.

Kaspersky Lab comenta sobre los 5 ataques avanzados más típicos que podrían ser exitosos aun contra los usuarios experimentados o expertos en IT.

Ataque Man-in-the-middle para LAN/WAN
Este ataque consiste en que a nivel de capa de red todo el tráfico está siendo redireccionado hacia un Host malicioso y pasa a través de él. De modo que la persona maliciosa puede capturar contraseñas, IDs y otros datos sensibles. Aunque el usuario final sea experimentado no se da cuenta de nada en absoluto ya que en su navegador o cliente de correo no sucede nada sospechosos – las páginas se muestran correctamente, los correos se envían y se reciben con normalidad.

Ataque Clickjacking
El usuario experimentado visita las páginas que él o ella ya conoce. Sin embargo no sabe que este sitio fue hackeado. Su código original fue modificado y ahora contiene un exploit, un iframe o cualquier objeto Web que con tan solo visitar el sitio ejecuta en la máquina de la víctima sin su permiso uno o más códigos maliciosos. Vale resaltar que el usuario nunca acepta descargar algo al sistema ni lo que sería peor, ejecutarlo – el proceso es totalmente automático sin dejar rastro visual alguno.

Ataque a través de P2P
Las redes P2P que generalmente se usan para la descarga de música, videos o programas con ‘cracks’ se usan con frecuencia. Los creadores de malware aprovechan esta situación e introducen a estas redes virus, troyanos y otros programas de código malicioso. Supongamos que la víctima descarga una pista de música y la reproduce. Aparentemente es la pista que estaba buscando y sin embargo en algún momento de la reproducción le pide instalar un codec supuestamente necesario. Este codec es el código malicioso. Un escenario parecido es que el usuario descarga un crack – supongamos que es para un antivirus – y este crack es el Virus.Virut que infecta los archivos legítimos en el disco duro de la víctima.

Ataque por medio Ad-hoc en WLAN (redes Wireless)
El método de ataque es muy similar al de man-in-the-middle, la diferencia es que generalmente se trata de redes WiFi gratuitas y públicas; el tráfico no se redirecciona por medios de ataques ARP. El usuario mismo se conecta al punto de acceso de tipo Ad-hoc en cualquiera de las ubicaciones de la red: la Universidad, el trabajo, un centro comercial o el aeropuerto, sin saber que éste es malicioso. El tráfico de las estaciones pasa por el sistema Ad-hoc y por ende puede ser interceptado y analizado por el propietario del punto Ad-hoc o la persona que lo haya hackeado. Las contraseñas, nombres de usuarios, números de PIN, y más, todos caen en las manos de los atacantes. Incluso si la conexión es cifrada con SSL, una reciente vulnerabilidad encontrada en dicho protocolo permite descifrar el contenido.

Ataques por medio del uso de recursos compartidos
Si la víctima está trabajando en una red donde hay más máquinas conectadas, podría ser infectada por medio de los recursos compartidos en su PC. No se trata de recursos compartidos con los permisos de administrador (aunque estos también podrían ser aprovechados) sino hackeando las contraseñas de la cuenta de Administrado predeterminada en el sistema operativo Windows (Administrator). A veces al instalar el sistema operativo, la víctima no define esta contraseña para nada y solo crea un perfil adicional el cual sí está protegido con una contraseña o la contraseña que define para Administrador es débil – sistemática, nombre de alguien, etc. Estas contraseñas se rompen fácilmente. El atacante al obtener acceso a la PC de la víctima a través de la cuenta de Administrador podría grabar el código malicioso de cualquier tipo – espía, backdoor, etc. en una ubicación conveniente y luego garantizar su autoejecución durante el siguiente reinicio del sistema operativo.

Fuente: DiarioTI

Popularity: 3% [?]

Los hackers robaron más datos el año pasado que en los cuatro anteriores. Así lo afirma un estudio realizado por Verizon. El robo de datos en Internet es, por tanto, el nuevo negocio de las bandas de crímen organizado.

Se trata de 2009 Data Breach Investigations Report (DBIR), un informe en el que Verizon ha investigado 90 casos de riesgo de pérdida de datos que dejaron al descubierto más de 285 millones de registros. Esta cifra es mucho mayor que los 230 millones de registros expuestos a peligro en los cinco años anteriores, esto es, de 2004 a 2008.

El estudio sólo ha analizado problemas de seguridad que implicaran ataques en los que se robaran datos utilizados en delitos. Verizon Business ha llegado a la conclusión de que el crimen organizado estaba detrás del 90 por ciento de estos casos, en los que se manejaban datos confidenciales.

La saturación del mercado ha bajado el precio de los detalles de las tarjetas de crédito en el mercado negro. Así, datos por los que antes se pagaban entre 10 y 16 dólares a mediados de 2007, ahora se venden por menos de 50 céntimos.

Como resultado, los fraudes cometidos con los números de identificación personal o PIN han crecido considerablemente, como consecuencia de que los criminales están poniendo sus miras en firmas financieras para robar estas claves. Y fueron precisamente éstas, las firmas financieras, las más perjudicadas por estos ataques, con el 93 por ciento de los 285 millones de registros puestos en peligro.

“Las firmas de servicios financieros fueron víctimas de algunos ataques muy determinados, muy sofisticados y, desgraciadamente, muy efectivos, realizados en 2008”, afirma el análisis, que también refleja cómo la mayor parte de los problemas de seguridad con los datos son originados desde el exterior de las organizaciones. El 74 por ciento de los intentos de robos de información fueron causados por fuentes externas. La piratería informática es la principal causa de robo de datos, pues estaba implicada en el 94 por ciento de los casos. Por su parte, el malware estaba implicado en más de un tercio de los casos investigados y contribuyó de algún modo en nueve de cada 10 registros atacados.

Pero lo cierto es que la mayor parte de los peligros de pérdida de datos son el resultado de una combinación de eventos más que de un hecho aislado. Así, el 64 por ciento de los casos podían atribuirse a los piratas informáticos y al uso de una combinación de métodos. Según Verizon, el típico escenario de pérdida de datos sería algo así: “el usuario final comete un error. El atacante toma ventaja del mismo, entra en la red de la empresa de la víctima, probablemente utilizando un ataque a SQL e instala malware en el sistema para recopilar datos”. Sin embargo, el mensaje de Verizon es claro, cerca de nueve de cada diez casos de robo de datos pueden evitarse siguiendo normas básicas de seguridad.

Por Paula Bardera

Fuente: PCWorld.es

Popularity: 3% [?]

El ataque del intermediario o man-in-the-middle (MitM) como se lo conoce en ingles es un ataque donde un ciberdelicuente es capaz de interceptar y modificar los mensajes de dos usuarios sin que estos se den cuenta. La compañía Verisign en la conferencia Black Hat ha dado una serie de consejos para usuarios y empresas sobre como protegernos de un nuevo tipo de ataque MitM.

Esta nueva variante de ataque es la ultima versión del mismo donde un usuario puede ser engañado y enrutado al sitio web equivocado. Lo diferente de este ataque es lo de lo sofisticado de las diferentes señales visuales que presenta en la cual reemplazan el favicon del sitio fraudulento con un icono de candado el cual tradicionalmente ha sido usado para representar a un sitio protegido con SSL. Pero a pesar de reproducir el candado este esquema de ataque no puede reproducir el indicador legitimo de HTTPS o el brillo verde que puede ver en la barra de navegación.

Consejos para protegerse del ataque MitM :

Para usuarios finales

• Verifique el “brillo verde”  en la barra de navegación ya que los cibercriminales no tienen acceso a los certificados SSL.
• Baje la ultima versión de su navegador.
• Use credenciales de autenticación tales como tokens autenticacion de dos factores para accesar las cuentas importantes.
• Maneje los emails de desconocidos con un alto grado escepticismo y no haga clicks en los enlaces para accesar sitios seguros mejor escriba usted mismo la dirección en la barra de navegación del navegador.

Para empresas:

• Adopte EV SSL y eduque a los usuarios de que significa el brillo o color verde en la barra de navegación.
• No ofrezca logins en paginas que no están previamente en una sesión de SSL.
• Ofrezca autenticacion de dos factores a sus clientes como una via opcional para agregar otra capa de seguridad para accesar  las cuentas.
• No incluya enlaces en los emails para sus clientes, y motívelos a bajar  y usar la versión mas reciente de sus navegadores de internet.

Visto en Help Net Security

Popularity: 2% [?]

Estos cibercriminales no descansan y estan utilizando todas estas redes sociales populares para tender trampas bien logradas para que usuarios desprevenidos caigan en sus garras. Ahora en la red social LinkedIn que agrupa a mas de 30 millones de perfiles de profesionales esta siendo la plataforma de ataques de falsos perfiles de personalidades famosas que cuando acceden a esos perfiles y siguen los enlaces propuestos son direccionados a sitios que instalan codigo maliciosos en sus computadoras.

Los perfiles falsos simulan pertenecer a  Beyoncé Knowles, Victoria Beckham, Christina Ricci, Kirsten Dunst, Salma Hayek y Kate Hudson entre otros.

Aqui pueden ver un perfil falso:

Popularity: 4% [?]

Estamos en la temporada alta de malware, ataques de phishing, defacements de sitios web y dolores de cabeza en el departamento de tecnología informática.

Basándose en las tendencias de seguridad tanto presentes como históricas, la unidad de Sistemas de Seguridad de Internet de IBM (ISS) determinó cinco áreas de riesgos para consumidores y para empresas durante la época de las fiestas de fin de año. IBM ofrece cuatro sugerencias para que el usuario esté prevenido en este período del año.

Una nueva ola de spam con código malicioso: durante el año, el equipo de investigación de seguridad X-Force de IBM ISS observó una ola creciente de código malicioso “parásito”. Se trata de cargas explosivas de e-mail que evaden el software de seguridad del usuario final (antivirus, firewall personal, etc.) y toman el control de la computadora de destino. Para la temporada de compras de fin de año, el equipo de X-Force espera una ola de e-mails con “saludos navideños” de atractivo diseño social pero de ataque malicioso encubierto.

Nuevo tema de phishing: La manía de las fusiones bancarias, X-Force cree que los delincuentes explotarán la escasa confianza de los clientes en el sector bancario con una ola de ataques de suplantación de identidad (phishing) que estarían destinados a engañar a los usuarios para que revelen información personal, como números de cuentas y contraseñas.

Falsos portales en línea: a medida que se acerca la Navidad, IBM ISS espera bandas de phishing que lanzarían una nueva generación de falsos portales de compra en línea. Los portales se harán pasar por marcas reconocidas, en un intento por robar información de tarjetas de crédito. También es probable que promuevan estos sitios impostores con e-mails que ofrezcan fuertes descuentos en “ofertas especiales”.

Juguetes y dispositivos cargados con virus: cada Navidad vemos una avalancha de dispositivos electrónicos, teléfonos inteligentes y DVDs automáticos. Investigaciones de X-Force demostraron que algunos de estos dispositivos pueden están cargados con software malicioso y ser utilizados por delincuentes cibernéticos como puerta trasera para el ingreso a las redes corporativas.

Navegar la web es asunto peligroso: durante el último año, los delincuentes cibernéticos redoblaron sus esfuerzos por falsear sitios web públicos escondiendo enlaces falsos en sitios web legítimos. Cuando el usuario visita estos sitios, los enlaces ocultos automáticamente explotan las vulnerabilidades dentro de los navegadores web e instalan malware que les brinda información confidencial sobre el usuario final o sobre las compañías.

IBM ISS recomienda:

- Examinar todos los e-mails.
- Actualizar todos los parches de seguridad.
- Mantener los números PIN en secreto.
- Resistirse a la implementación de dispositivos no aprobados en una red corporativa.

Fuente: http://diarioti.com/gate/n.php?id=20783

Popularity: 3% [?]

Los ataques vía web y las redes sociales como Facebook fueron el principal foco de las actuaciones de ‘piratas’ informáticos a lo largo de 2008, según un informe elaborada por la compañía de seguridad Shopos.

Así, esta investigación revela que las bandas organizadas de cibercriminales han triplicado sus ataques contra los sitios web, a través de un código que infecta los ordenadores de los usuarios y profesionales que visitan estas páginas.

En cuanto a las redes sociales, Sophos alerta de un “descomunal interés” de los ciberdelicuentes por estos sitios, que permiten “robar dinero y datos de internautas confiados”, según explicó el consultor de tecnología de esta empresa.

AUMENTA EL ‘SPAM’

Asimismo, el informe también revela un “incremento sorprendente” de correos ‘basura’ con archivos adjuntos ‘maliciosos’. De esta manera, hacia finales de este año Sophos ha detectado cinco veces más ataques de este tipo de correos en relación con los primeros meses de 2008.

A nivel internacional, Estados Unidos registra el 37 por ciento del volumen de páginas web infectadas en 2008, seguido de China –anterior líder de esta clasificación–, con un 27 por ciento. En cuanto a España, ocupa junto a Francia el puesto 17 del ‘ránking’ con un 0,7 por ciento del total.

Fuente: http://www.hoytecnologia.com/noticias/ataques-redes-sociales-fueron/88881

Popularity: 2% [?]