Categoría : Troyanos

Inicio/Seguridad Informática/Archivo por Categoría Troyanos

UN NUEVO TRUCO PERMITE INFECTAR DE VIRUS CON UN SIMPLE DOCUMENTO WORD

Es de sobra conocido que, aunque sea algo difícil comprender, a través de documentos de ofimática tipo Word, Excel y PowerPoint es realmente sencillo infectar un ordenador de virus. ¿Por qué? Porque, entendiéndolo de forma simplificada, en la suite Office hay una función denominada ‘macro’ que permite lanzar sobre cualquier ordenador que ejecute el documento una serie de instrucciones automatizadas, entre las cuales están las correspondientes a una infección de diferentes formas de malware. Y recientemente se ha encontrado un nuevo ‘truco’ que permite burlar la seguridad que impide que esto ocurra.

 Las macros de Microsoft Office vuelven a dar problemas, ahora se pueden ocultar simplemente cambiando la extensión de un archivo

Los programas de Microsoft en el entorno de ofimática manejan varios tipos de extensiones, y en el caso de Word podemos encontrar, entre algunas otras, las extensiones DOCX y DOTX. Las dos anteriores son de documentos ‘simples’, sin macros, luego fiables en tanto que no pueden abrir instrucciones automatizadas en el ordenador. Y hay otras, como DOCM y DOTM, que también corresponden al procesador de textos Word, y que con la letra ‘M’ en su nombre ya indican que contienen macros, luego pueden plantear la duda de si serán maliciosas o no.

Un nuevo truco permite infectar de virus con un simple documento Word

El problema está en que recibir un documento con las extensiones DOCM y DOTM, por no contener macros, hasta ahora no era una práctica de ‘riesgo’, al menos por estas cuestiones. Y ahora sí, porque se ha detectado que, sin editar el archivo, cambiar la extensión de documentos con macros a la de un documento sin macros no es detectado por los programas de Microsoft. Es decir, que podemos recibir un archivo con macros, y que se muestre con la extensión DOCX o DOTX, e igualmente sea abierto por Microsoft Office y ejecutado con sus macros.

Por lo tanto, para los usuarios la única recomendación posible por parte de los expertos en seguridad informática es que deshabiliten la ejecución automática de macros y activen el procedimiento manual para, de esta forma, únicamente habilitar las macros para documentos de fuentes fiables, y en los que no haya riesgo de infección por conocimiento de su origen fiable. Esto para usuarios con versiones desactualizadas, porque Microsoft ya ha introducido el parche correspondiente en su última versión.

Fuente: Cinco Días

El nuevo Antivirus Gratuito de Kaspersky

Los productos de seguridad se dividen en dos: los de pago y los gratuitos. Que un antivirus o un firewall sea gratuito no quiere decir que su calidad sea inferior ni que vayamos a estar comprometidos frente a nuevas amenazas, eso a fin de cuentas depende de la compañía que mantenga y actualice las firmas de virus. Aunque los antivirus gratuitos más conocidos son Avast, Avira y AVG, recientemente la empresa de seguridad rusa Kaspersky ha querido abrirse hueco en este mercado lanzando un nuevo antivirus gratuito para todos los usuarios.

Por lo general, la principal diferencia entre los antivirus gratuitos y los de pago son las capaz de protección adicionales. Un antivirus gratuito no tiene ningún coste y utiliza las mismas bases de datos y el mismo motor que la versión comercial, sin embargo, no cuenta con Firewall, con controles parentales ni con otras medidas de seguridad útiles en muchas ocasiones. Sin embargo, hay usuarios que no necesitan hacer uso de estas características, por lo que un simple motor AV fiable y gratuito es más que suficiente para ellos.

Kaspersky es una de las firmas que mejores resultados obtiene en los tests de Av-Test, aunque, como hemos dicho, sus productos eran únicamente comerciales. Los tiempos cambian, y las empresas deben adaptarse a ellos, por lo que la compañía ha lanzado el nuevo Kaspersky Free Antivirus con el que entrar en este mercado, cada vez más grande y fiable.

Limitaciones de Kaspersky Free Antivirus

Obviamente, Kaspersky Free Antivirus es un software limitado en funciones respecto a otras versiones superiores de pago como Internet Security, sin embargo, este software de seguridad cuenta con las mismas características que cualquier otro antivirus gratuito del mercado. Por ejemplo, este antivirus nos protege del malware en tiempo real y de los sitios web maliciosos, sin embargo, carece de funciones adicionales como firewall, control parental, protección de los pagos online y protección de dispositivos móviles.

Los usuarios interesados en utilizar este nuevo antivirus gratuito pueden descargarlo desde su página web principal, en ruso. Ni en la página web inglesa, ni en cualquier otro idioma, podemos encontrar de momento este software de seguridad.

El principal inconveniente de este antivirus, tal como nos teníamos cuando lo descargamos, es que está completamente en ruso y es imposible cambiarlo de idioma. Si no sabemos ruso es muy probable que el uso del antivirus sea bastante complicado y merezca la pena esperar al lanzamiento en otros idiomas, aunque si queremos utilizarlo por encima de todo podemos utilizar la traducción en tiempo real de Google Translate que nos ayudará, un poco, a entender qué significa cada una de las entradas del software de seguridad.

Kaspersky Free Antivirus en ruso

Al ser una versión enfocada al público ruso es posible encontrar problemas para activar el programa, aunque pueden solucionarse fácilmente estableciendo una conexión VPN con un servidor de Rusia. La firma de seguridad ha confirmado que tiene planes de llevar este antivirus a otros países, aunque por el momento no se conocen fechas para ello.

Al igual que Kaspersky, otras empresas de seguridad hasta ahora comerciales como Bitdefender y Sophos (esta última esta misma semana) están publicando versiones gratuitas y limitadas de sus propias herramientas de seguridad para permitir a los usuarios probar sus productos, comprobar su eficacia y, si interesa, comprar la versión de pago con las características adicionales.

Fuente: Redes Zone

Spymel, un troyano no detectado por antivirus gracias a certificados robados

El robo de certificados digitales es algo bastante habitual a lo que deben enfrentarse las compañías propietarias y los usuarios. Os preguntaréis que porqué nosotros también nos vemos afectados. La respuesta es muy sencilla: los ciberdelincuentes utilizan estos para firmar malware. Un ejemplo de esta práctica es el troyano Spymel, detectado hace unos días y que afecta a equipos Windows.

Los expertos en seguridad de la empresa Zscaler han sido los encargados de dar la voz de alarma y alertar sobre la presencia de esta amenaza que en principio se está distribuyendo haciendo uso de correos electrónicos spam y páginas web que han sido hackeadas, utilizando estas para redirigir la navegación de los usuarios al contenido malware.

Los propietarios de la amenaza han pensado en todo y en primer lugar lo que el usuario descarga no es nada más y nada menos que un archivo JavaScript que se encarga de verificar el grado de seguridad que existe en el equipo para posteriormente llevar a cabo la descarga del archivo .NET que en esta ocasión sí es el instalador de la amenaza.

Teniendo en cuenta que las herramientas de seguridad y sistemas operativos se basan en listas negras de certificados y bloquean la instalación de aquellos que no están firmados, los ciberdelincuentes se han valido de algunos que han sido sustraídos para firmar el troyano y así pasar desapercibido.

Los expertos de Zscaler creen que aunque ahora es cuando más se está haciendo notar, las primeras infecciones aparecieron el pasado mes de diciembre y no llegaron a una docena.

Spymel posee un servidor de control y puede funcionar como puente para la llegada de más programas no deseados

Los expertos han detallado que el malware posee un módulo que impide que el usuario sea capaz de matar el proceso que se encuentra en segundo plano en el sistema y que evita que se lleve a cabo la desinstalación del mismo. Incluso están barajando la hipótesis de que la amenaza copia parte de su código en otros procesos legítimos y así iniciarse de nuevo sin que el usuario sea capaz de encontrar el motivo.

A todo esto hay que añadir que posee un servidor de control alojado en la dirección 213.136.92.111 y el puerto TCP 1216. Por lo tanto, si no sabéis si estáis afectados y en vuestro firewall veis esta conexión activa lo mejor es proceder a su bloqueo.

El contacto con el servidor no solo sirve para actualizar y recibir nuevas funcionalidades, sino que han detectado que el troyano es capaz de servir como puente para la llegada de más aplicaciones no deseadas por el usuario, por lo que es probable que si estamos infectados no solo sea este el problema y sea necesario hacer frente a adware, ransomware o incluso otros troyanos.

Fuentes: Redes Zone

El Malware YiSpecter abusa de los certificados de iOS para incertar Adwares en Apple.

Los investigadores advirtieron que la salida del malware WireLurker  en noviembre cuyo blanco eran las plataformas de Apple podría llegar a ser un acertijo para los desarrolladores del malware en Mac e iOS. Mientras WireLurker fue rápidamente aplastado y resultó ser bastante benigno, sus autores demostraron cómo el abuso de los certificados de desarrolladores empresariales emitidos por Apple era un medio eficaz para obtener el código malicioso en iPhones con jailbreak e iPads.

Otra amenaza llamada YiSpecter aparentemente ha seguido el ejemplo de WireLurker y ha combinado el uso de certificados emitidos bajo el Programa de Empresa de Apple iOS Developer con el abuso de APIs privadas para mover el adware en dispositivos iOS jailbreak, principalmente en China y Taiwán.

Claud Xiao, investigador de Palo Alto Networks, publicó un informe sobre el malware, que al parecer ha estado en estado salvaje durante 10 meses y tiene tasas de detección pobres en los servicios de seguridad como VirusTotal.

De manera similar a WireLurker, YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo teniendo la capacidad de instalar y poner en marcha nuevos troyanos a algunas aplicaciones que sobreviven eliminación secuestrando otras aplicaciones con el fin de mostrar anuncios, buscar el cambio por defecto de la configuración en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. El trabajo es en gran medida difundir un adware pornográfico.

A diferencia WireLurker, que se extendió desde Macbooks infectados a los dispositivos iOS, YiSpecter se propaga en un puñado de maneras, beneficiado en gran medida de la legitimidad de los certificados, uno de los cuales ya ha sido revocado por Apple.

“Creemos que todos son legítimos”, dijo el director de Palo Alto del investigador Ryan Olson. Los certificados cuestan $ 299 y están disponibles únicamente para los negocios controlados y verificados que deseen desarrollar aplicaciones empresariales para iOS. “Estos están destinados para su distribución interna. La distribución de aplicaciones de esta manera no es lo que pretende Apple, y por qué los están revocando”.

La investigación académica se había hecho antes de que WireLurker demostrara el potencial de abuso en torno a estos certificados,  Olson dijo que esperaba ver algunos ataques que  traten de imitar este enfoque. El aumento de la atención en el tema, en particular, de la mano de WireLurker, causó la respuesta de Apple para los iOS 9 recientemente liberados  con una característica que obliga a los usuarios que deseen ejecutar una aplicación firmada pasar por un par de “aros” adicionales. El desarrollador, por ejemplo, debe dar  confianza a la aplicación en la configuración del dispositivo para poder correr la misma.

“Usted no sólo haga clic en Aceptar, usted tiene que cavar en la configuración si desea confiar en los desarrolladores. Este es el tipo de función que impide este tipo de ataque de tener éxito “, dijo Olson.

El uso de APIs privadas para instalar aplicaciones maliciosas también es preocupante, ya que puede ser utilizado para llevar a cabo una serie de operaciones sensibles, Xiao de Palo Alto escribió, que son ciegos al mecanismo de distribución de la empresa de Apple. YiSpecter se compone de cuatro componentes, todos los cuales están firmados.

Al abusar de APIs privadas, estos componentes “descargar e instalar” de un comando y servidor de control (C2), escribió Xiao. “Tres de los componentes maliciosos utilizan trucos para ocultar sus iconos de “salto en pantalla” de iOS, lo que impide al usuario encontrarlos y eliminarlos. Los componentes también utilizan el mismo nombre y logotipos de aplicaciones del sistema para engañar a los usuarios de energía iOS “.

YiSpecter no es una amenaza para App Store. Se mueve a través de una serie de canales distintos que presentan como una alternativa al reproductor multimedia QVOD muy  popular  y utilizado para intercambiar y ver pornografía en China. Una vez QVOD fue cerrada por la policía en abril, los atacantes detrás de YiSpecter se dirigieron a aquellos usuarios con el malware.

El más interesante método de propagación de YiSpecter es su abuso de la práctica llevada a cabo por los ISP locales que inyectan JavaScript y publicidad HTML en el tráfico.

“Los proveedores de Internet jugaron un papel en él, pero probablemente pensaron que sería sólo la publicación de anuncios”, dijo Olson.

YiSpecter también se extendió a través del gusano Lingdun, el malware que utiliza falsos certificados VeriSign y Symantec para eludir los sistemas de detección. Lingdun es una amenaza de Windows y se utiliza sobre todo para introducir software en PCs con Windows. Un número de sitios y mensajes a las redes sociales de distribución de aplicaciones subterráneas también fueron introducidos por  YiSpecter, dijo Palo Alto.

YiSpecter es el último de una notable racha de ataques contra las diversas plataformas de Apple, comenzando con XcodeGhost y la vulnerabilidad publicada la semana pasada de Gatekeeper en OS X.

Fuente: ThreatPost

“Dridex” el malware Bancario se encuentra nuevamente en circulación

El troyano bancario “Dridex” hizo ruido este jueves en la mañana cuando se realizo gran campaña de Phishing apuntando principalmente a victimas del Reino Unido, Sin embargo fue acorralado por investigadores de Palo Alto Networks.

Los correos electrónicos de phishing se enlazan a un documento de Microsoft Word que atrae a los usuarios a habilitar las macros de los sitios Web controlados por el atacante y así descargar el malware bancario.

La campaña sigue activa, dijo el director de inteligencia de Palo Alto, Ryan Olson.

Dridex, por su parte, había sido bastante tranquilo después de un período fuerte de actividad a principios de este año en el que utilizo diferentes temática de campañas de phishing y de spam utilizando macros para descargar el malware de la Web.

Estos Macros, que son desactivados por defecto por Office, y pertenecen a la vieja escuela de propagación de malware, sin duda han hecho un resurgimiento en 2015 con Dridex a la cabeza.

“A principios de año, hemos visto un aumento en documentos de Word utilizando macros para instalar el malware. Estábamos súper sorprendidos por esto en el momento, porque el malware basado en macro había desaparecido desde que fueron desactivados por defecto en Office. No podíamos entenderlo “, dijo Olson. “Creo que es más que una nueva generación de personas que no viven del dolor de la década de 1990 y principios de 2000, cuando era una cosa terrible que las macros se habilitan en Word o Excel. Hoy en día, sólo están haciendo clic en ‘Sí’ para habilitar macros”.

Los mensajes de phishing en esta y otras campañas Dridex han sido bastante convincente en conseguir que los usuarios acepten. En general, los correos electrónicos mencionan algún tipo de negocio o giro comercial y piden el pago. Los archivos adjuntos maliciosos pretenden ser una factura, y el usuario se presenta con un cuadro de diálogo que les pide habilitar las macros con el fin de ver el documento.

En este caso, los macros infectados deben alcanzar un puñado de direcciones URL. Palo Alto ha publicado una lista de las descargas de URLs, mando y control de dominios y otros indicadores de compromiso.

Dridex, sin embargo, tenía todo, pero dejó el mapa desde el final del verano. Una de las razones podría ser la detención a principios de septiembre en Chipre de un hombre moldavo de 30 años de edad, supuestamente detrás del desarrollo de la distribución del malware.

El blog de ​​seguridad de Krebs de Seguridad informó sobre la detención, el 7 de septiembre y citó fuentes no identificadas que dijeron que el hombre tenía vínculos con una banda responsable de Dridex que pueden haber sido una escondida de una conocida banda de Europa del Este llamado el Club de Negocios acusado de utilizar el malware para robar $ 100 millones de los bancos en todo el mundo.

“Entre finales de agosto y ahora, no habíamos visto ninguna actividad Dridex en absoluto”, dijo Olson. “Atribuimos que a causa de la detención, hubo cierta reorganización de la organización y las personas se estaban reagrupando y por lo tanto apareció de nuevo esta mañana Dridex con un poco de volumen “.

A diferencia a principios de enero, cuando los correos electrónicos Dridex fueron alcanzando un máximo de cerca de 100.000 por día, Olson dijo que el resurgimiento actual es de alrededor de 20.000, en su mayoría en el Reino Unido

“Ha sido sobre todo a lo largo del Reino Unido”, dijo Olson. “Es probable que su mejor oportunidad para su reintegro es el Reino Unido Cualquiera de ellos tienen cuentas o mulas de dinero allí. La infraestructura del malware está probablemente mejor preparada para bancos con sede en el Reino Unido “.

Fuente: ThreatPost

Dyreza, el nuevo troyano bancario capaz de saltarse SSL

Un nuevo troyano bancario, al que se denominó Dyreza o Dyre, tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras. Su código está diseñado para que funcione de manera similar a Zeus, la conocida botnet diseñada para robar de información bancaria, y al igual que otras amenazas similares, utiliza una técnica conocida como browser hooking para interceptar el tráfico entre la máquina de la víctima y el sitioweb de destino. Puede hacer esto en Internet Explorer, Google Chrome y Mozilla Firefox.

Se propaga a través de campañas de spam, en mails con asuntos como “Su ID de pago FED TAX [número aleatorio]” y “RE: Recibo #[número aleatorio]“, según la publicación de Peter Kruse, Partner & Security Specialist de CSIS, la compañía responsable del hallazgo.

El mensaje lleva adjunto un archivo zip, que descarga el malware detectado por ESET comoWin32/Battdil.B al equipo infectado y se conecta al C&C. Básicamente, cuando está infectado, el usuario piensa que está ingresando sus credenciales en el sitio legítimo de su banco utilizando el protocolo SSL, pero Dyreza redirige el tráfico a sus propios servidores. Para hacerlo, utiliza un ataque Man In The Middle que le permite interceptar el tráfico no cifrado y ver todos los datos que se envían.

dyreza-unpacked

Tal como explica el sitio Redes Zone, una vez que el troyano ha ha sido instalado, se coloca entre uno de los procesos que deben ser ejecutados en el inicio del sistema operativo. Lo primero que trata de hacer es establecer una serie de conexiones con unas ubicaciones que han sido localizadas en Lituania y Estonia. Una vez que estas se han establecido, se mantiene a la espera de que exista tráfico web en el navegador del equipo.

Al parecer, los atacantes detrás de Dyreza han creado una infraestructura para transferir el dinero desde las cuentas de las víctimas una vez que sus credenciales fueron robadas. Según Kruse, CSIS localizó algunos de los servidores C&C de la amenaza, y descubrió una red de “mulas” con cuentas en Riga, Latvia. Se trata de gente que accede a almacenar fondos robados por un corto período de tiempo en sus propias cuentas, para luego transferirlos a otro lado.

El mes pasado había aparecido Zberp, otro troyano diseñado para robar información bancaria, que combinaba los códigos fuente de Zeus y Carberp. Esto nos da un indicio de cómo los cibercriminales siguen perfeccionando sus ataques buscando maneras de obtener rédito económico.Kruse plantea una duda: los responsables de Dyreza, ¿lo utilizan para beneficio propio o están “alquilándolo” para que ayude a perpetrar otras campañas, tal como sucedió con Zeus?

Autor Sabrina Pagnotta, ESET