Anuncian malware de Zeus en redes sociales para realizar fraudes

El crimen electrónico tiene un gran interés en la venta y comercialización de botnets y, en los últimos meses, uno de los sectores más afectados es el bancario. Una de las amenazas más activas, y que sigue amenazando a los bancos, es Zeus. Según las grandes necesidades del mercado negro, este malware es uno de los más viejos (está activo desde el 2007) y es un malware que ha proliferado con el tiempo.

Recientemente, en foros del mercado negro, abundan las ofertas de códigos maliciosos, servicios de robo de información y hospedaje de servicios a prueba de fallos, con el fin de organizar un fraude a gran escala. Los ciber criminales están vendiendo sus herramientas de ataque a precios razonables, además de poner en renta botnets enteras que incluyen información útil al momento de realizar los ataques.

Estas acciones se denominan como Fraud-as-a-Service, o Fraude como un servicio y están ganando gran terreno. Códigos maliciosos como Zeus, SpyEye, Ice IX o Citadel cumplen con este modelo de ventas que ciertos ciber criminales y unos cuantos cientos de dólares usan para llevar a cabo sus planes maliciosos.

Desde entonces, el modelo de ventas y el actor han permanecido sin identidad y, usualmente, el acceso a estas ofertas de ciber crimen es através de canales selectos como la deep web o canales de chat IRC.

Expertos de RSA han publicado un artículo interesante para describir este problema, la oferta criminal ha sobrepasado la popularidad y a recurrido a la gran audiencia de las redes sociales para ofertar un panel de la botnet de Zeus, totalmente personalizado.

La aplicación maliciosa parece ser desarrollada por programadores indoneses que han aportado mejoras a las versiones de Zeus. El equipo optó por utilizar un acercamiento comercial al diseñar un sitio web de demostración para atraer posibles compradores por medio de una página de Facebook dedicada a la botnet.

Los ciber criminales utilizaron la red social para mantener notificados a sus clientes por medio de información de otras botnet, exploits, ciber crimen y, por supuesto, de sus propios productos y la versión 1.2.10.1 de Zeus.

Las diferentes leyes electrónicas en varios países, así como su escasa implementación en varios estados, han permitido el auge del ciber crimen a nivel mundial y los criminales ahora empiezan a comprar/vender de manera pública códigos maliciosos y servicios de robo de información en campañas maliciosas.

La comunidad de las TI a nivel mundial, requiere un marco de leyes y estándares globales que permitan procesar a las organizaciones de ciber criminales, la aplicación de las leyes necesita establecer penas severas y esfuerzos en conjunto para luchar una batalla contra un enemigo invisible que no tiene una connotación geográfica específica.

Los ciber criminales tienen la oportunidad de esconderse en un país, cuyas leyes gubernamentales no los persigan de manera correcta, haciendo imposible detener la ola de ciber crimen.

El ciber crimen ahora es una emergencia global.

Vía The Hacker News

Amenaza continua en Internet

El experto en seguridad, HD Moore, advierte de la existencia de terminales de servidores que se encuentran sin protección en Internet. El investigador comentó haber encontrado más de 100 mil sistemas con estas características durante sus análisis, más de 13 mil proporcionaban privilegios de administrador sin solicitar contraseña.

Los servidores terminal son esencialmente un tipo de interfaz en serie que se extiende dentro de Internet. Para ingresar a un puerto especifico TCP, los usuarios pueden hablar remotamente con el puerto serial del dispositivo conectado. Frecuentemente, estos dispositivos son el sistema de control o proporcionan acceso para el mantenimiento. HD Moore dijo que utilizó consultas SNMP para identificar 114 mil servidores terminales de Digi y Lantronix y que 95 mil fueron expuestos a Internet a través de conexiones móviles como GPRS o 3G.

Los servidores terminales a menudo pueden utilizarse para acceder a los sistemas de control, tales como los de una lavandería.

El problema es que estas conexiones frecuentemente no están protegidas. Moore dijo que poco más de 13 mil puertos seriales únicos están expuestos y ofrecen algún tipo de shell del sistema, la consola, fuente de datos o en el menú de administración.

El investigador explicó haber encontrado una mezcla heterogénea de diferentes tipos de sistemas que pueden ser clasificados en categorías, desde los monitores de tráfico y sistema de gestión de lavandería completa con terminales de pago, hasta  servidores VPN corporativos.

Cuando tales sistemas están conectados a la Internet, por ejemplo, con el fin de activar el mantenimiento remoto, se debe proporcionar una protección adecuada. Las medidas pueden incluir la limitación del acceso a través de redes virtuales privadas o la creación de un túnel SSH que requiera autenticaciónbfuerte. Por otra parte, Moore basa su investigación en los datos de Controversial Internet Census, mediante el cual un desconocido grupo usa una Botnet personalizada para realizar escaneos a Internet y posteriormente dar a conocer los resultados.

Vía The H Security

España: detienen a responsable del mayor ciberataque del mundo

MADRID, España, abr.28, 2013.- Agentes de la Policía Nacional de España detuvieron en Granollers, Barcelona, noreste del país, al responsable del mayor ciberataque de denegación de servicios DDOS de la historia que colapsó Internet, un hombre nacido en Holanda.

El Ministerio español del Interior precisó que la coordinación internacional entre los países afectados fue clave para la investigación que se inició en Holanda tras una serie de ataques contra una compañía anti-spam, que también afectó a Estados Unidos y Reino Unido.

Indicó que los investigadores llevaron a cabo el registro del búnker informático desde donde el ahora arrestado llegó a realizar entrevistas con distintos medios de comunicación internacionales a raíz de estos ataques informáticos.

Anotó que el detenido se desplazaba en una furgoneta que utilizaba como oficina informática móvil por distintos puntos de España.

En un comunicado, el Ministerio del Interior explicó que en marzo pasado las autoridades holandesas facilitaron a los agentes información acerca de una serie de ataques informáticos de denegación de servicio DDOS, que se había iniciado en este país durante esas fechas.

Considerado el mayor ciberataque del mundo, colapsó Internet por los intentos de hacerse con el control de los servidores afectados.

Una vez iniciada la investigación policial, los agentes pudieron atribuir la responsabilidad de los mismos al grupo «stophaus«, cuyo organizador, un activista holandés, se encontraba residiendo en España.

El ataque DDOS provoca una sobrecarga de los recursos del sistema informático hasta que la red se ralentiza por los accesos masivos a la misma.

Los intentos por recuperar el control por parte de los servidores asaltados y los ataques de los ciberactivistas provocaron tal ocupación de la red que ésta se vio afectada a nivel mundial.

Una vez recibido el aviso por parte de las autoridades de los Países Bajos, los policías establecieron un dispositivo que permitió la localización del principal investigado en la localidad de Granollers (Barcelona).

Si bien se constató que anteriormente había estado viajando por distintos puntos del territorio español, desplazándose en una furgoneta que utilizaba como oficina informática móvil, dotada de diferentes antenas para escanear frecuencias.

Igualmente se pudo saber que en su domicilio disponía de numerosos equipos informáticos habiéndolo establecido como su centro de comunicaciones.

Finalmente, el pasado día 25 y a petición de las autoridades judiciales de los Países Bajos, los agentes dieron cumplimiento a una orden europea de detención.

El arrestado, un individuo de 35 años nacido en Alkmaar (Holanda), decía ser diplomático y concretamente ministro de Telecomunicaciones y Asuntos Exteriores de la República del Cyberbunker.

Además en el registro de su vivienda fueron intervenidos dos ordenadores portátiles y documentación diversa relativa a su actividad delictiva.

vía esmas

Variante del troyano Gozi integrado a un rootkit

Una nueva variante del troyano bancario Gozi infectó miles de máquinas en los Estados Unidos, buscó atacar el master boot record (MBR) de los usuarios de Internet Explorer.

Los investigadores de seguridad de la firma Trusteer revelaron que un rootkit, una característica poco encontrada en malware financiero, fue empacado con la última versión de Gozi. En una entrada de blog el pasado jueves, Etay Maor, investigador de Trusteer, explicó que el rootkit es particularmente difícil de extraer.

“Debido a su ubicación estratégica en el núcleo del sistema operativo, los rootkit son difíciles de identificar y eliminar”, escribió Maor. También mencionó que Gozi, incrustado en el rootkit, se ubica silenciosamente en el MBR esperando a que Internet Explorer se inicie. Una vez que el navegador está corriendo, el troyano se auto inyecta en el navegador de la víctima y puede robar información financiera que el usuario usa en los sitios que navega.

El lunes en entrevista, Yishay Yovel, Vicepresidente  de Marketing de Trusteer, dijo al sitio SCMagazine.com que la firma detectó a lo mucho un par de miles de infecciones de esta variante en los Estados Unidos. Yovel dijo que, a pesar de que los líderes del grupo responsable del malware fueron atrapados por las autoridades federales, la campaña continúa.

En 2010, Nikita Kuzmin, el presunto creador de Gozi, fue arrestado en los Estados Unidos, seguido por Deniss Calovskis, quien presuntamente escribió partes del código del troyano. El arresto de Calovskis fue en el mes de noviembre en Lituania.

Desde que Gozi apareció por primera vez en 2005, los fiscales federales estiman que infectó al menos 100 mil computadoras alrededor del mundo, incluyendo 25 mil en los Estados Unidos, causando pérdidas por decenas de millones de dólares. “Existía la esperanza de que Gozi declinara con los arrestos, pero ahora estamos viendo su evolución”, dijo Yovel.

Al atacar los medios de distribución el malware se mantuvo igual, dijo, con autores que usan infección por descarga o correos electrónicos de phishing para engañar a los usuarios a instalar documentos como armas que contienen el troyano.

Para solucionar la infección de Gozi, los investigadores de Trusteer recomiendan a los usuarios hacer un formateo completo del disco duro, reinstalar el sistema operativo e implementar soluciones de seguridad en la empresa, dando prioridad a la actualización de sus credenciales de banca en línea.

Vía: SC Magazine

Sin antivirus 31% de computadoras en México

De acuerdo con información de Microsoft, al menos un 31% de las computadoras mexicanas no contaban con un antivirus para el segundo semestre del 2012.

Países como Guatemala y Perú tienen números similares, 35 y 32% respectivamente.

Por otro lado, en Costa Rica sólo un 23% de los ordenadores no cuentan con la protección, en Brasil un 21 y Paraguay un 19.

“No obstante los beneficios de un antivirus, mucha gente no se percata de que está desprotegido su equipo”, destacó la compañía en su Informe de Inteligencia de Seguridad.

Es importante mencionar que los equipos que no cuentan con ningún tipo de antivirus tienen cerca de 5.5 más probabilidades de infectarse por un virus o malware.

Las razones primordiales del por qué no se cuenta con la protección son: que algún delincuente cibernético lo desactivó o el desconocimiento de la importancia de contar con un programa antivirus.

Claro que también deberían considerarse los costos de dicho software (aunque hay que aceptar que han bajado sus precios en los últimos años).

Ahora, las mayores amenazas para los consumidores vienen de documentos o enlaces adjuntos en correos electrónicos. ¡Ten cuidado con lo que descargas!

vía techandbits

Un nuevo malware ataca a usuarios de Android

La tendencia de infectar a dispositivos mobiles sigue vigente.

La amenaza «BadNews» se encontró en 32 aplicaciones, que ya fueron retiradas de Google Play. Se estimó que las descargas podrían haber llegado a los 9 millones

 

La empresa de seguridad informática Lookout describió la amenaza convenientemente llamada «BadNews» («Malas noticias») como «un desarrollo significativo en la evolución del malware móvil». «BadNews» se enmascara como una red de anuncios para poder ingresar a los dispositivos y allí liberar su código malicioso.

El malware puede enviar mensajes falsos, instar a los usuarios a instalar aplicaciones, enviar SMS fraudulentos, que cobran extra a los usuarios, y compartir datos del teléfono, como el número, con el servidor central.

Según informó la empresa, «BadNews» se encontró en 32 aplicaciones de 4 desarrolladores diferentes en Google Play, la tienda de aplicaciones para Android. Las descargas de apps infectadas podrían llegar hasta los 9 millones, según la compañía.

Alrededor del 50% de las aplicaciones infectadas están en ruso, al tiempo que el fraude mediante SMS estaría apuntado a usuarios en Rusia, Ucrania, Armenia, Bielorrusia y Kazajistán. Google ya retiró la totalidad de las apps maliciosas de su tienda online.

Computadoras corporativas sin actualizaciones de software

Si esto es a nivel empresa, como será a nivel usuario final?

Al 87% de las computadoras corporativas les faltan actualizaciones críticas de software que pueden amenazar la seguridad del negocio, de acuerdo con los datos de F-Secure de alrededor de 200 mil computadoras, la mayor parte de Europa.

Entre las actualizaciones faltantes más comunes están Java, las de Microsoft, Adobe Flash Player, Firefox y Open Office.

«Desde los números, parece que mucha gente no entiende completamente que mantener su software actualizado es un componente crítico de la computadora y de la seguridad de la empresa» dijo Esa Tornikoski, Product Manager en F-Secure. «Del 70 al 80% del top diez de malware detectado por nuestros laboratorios son exploits que tienen por objetivo las vulnerabilidades de software».

De acuerdo con los datos, el 49% de las PC y laptops corporativas necesitan de una a cuatro actualizaciones críticas, al 25% carecen de entre cinco a nueve y el 13% tiene faltantes de 10 o más.

Los números golpean, especialmente cuando los ataques en corporaciones e instituciones a través de vulnerabilidades de software encabezan las noticias de los meses recientes.

El malware Red October, que robaba información sensible de organizaciones gubernamentales y de investigación, así como de otras compañías, estuvo latente por cinco años hasta que fue expuesto en enero, empleaba exploits de Microsoft Word, Excel y Java.

Esas violaciones de datos que explotaban vulnerabilidades de software y que a la larga se fueron parchando, pudieron haberse evitado al mantener el software actualizado.

Vía: Net Security

90% de los juegos pirata infectados con malware

Este es un llamado a tener cuidado a todas aquellas personas que alguna vez se han visto tentados a descargar una modificación para su juego favorito o descargar una copia pirata del título más reciente desde un torrent o sitio de intercambio de archivos.

La compañía que desarrolla el antivirus AVG ha advertido que más del 90% de juegos hackeados o crakeados que son descargados a través de un torrent o sitio de intercambio de archivos están infectados con malware o contienen código malicioso. La compañía aseguró que muchas de estas modificaciones no solo contenían malware, sino que eran programas maliciosos disfrazados como juegos o complementos para éstos.

AVG declaró que: “Incluso si asumimos que tan sólo el 0.1% de los usuarios que juegan los cinco títulos más recientes buscan alguna modificación para esos juegos, significa que 330 mil personas están en peligro potencial de ser víctimas de malware.”

El predominio de juegos crakeados, los generadores de claves, los parches, los trucos y más, indica que se trata de una iniciativa criminal altamente organizada. “Esto podría llevar a la pérdida de cualquier juego legítimo por el que el usuario haya pagado, así como la perdida de datos personales como detalles bancarios, correos electrónicos o contraseñas de redes sociales.”

En una prueba rápida, los investigadores de AVG realizaron la consulta “Diablo 3 hack” en el motor de búsquedas de archivos compartidos FileCrop. Los resultados de la búsqueda arrojaron más de 40 modificaciones para el juego, todos buscando llamar la atencíón de los usuarios con los más grandes beneficios y recompensas para el juego. Para los títulos más grandes como World of Warcraft o Minecraft, los resultados de búsquedas similares en FileCrop revelan cientos de modificaciones o hacks.

El equipo de investigadores eligió al azar la modificación “Diablo 3 Item generator and gold hack.zip”. Una vez que descargaron la modificación y desempaquetaron el archivo, instalaron el software antivirus de AVG que inmediatamente detectó código malicioso en la modificación.

La sugerencia AVG para los jugadores es que solo descarguen parches y actualizaciones oficiales para sus juegos y que utilicen nombres de usuario y contraseñas diferentes para cada cuenta usada en juegos en línea.

 

Vía The Hacker News

Ataques en Boston atraen a defraudadores

Mientras los estadounidenses se vuelcan a realizar donativos para las víctimas del atentado del maratón de Boston ocurrido el lunes, los grupos de vigilancia están alertando de posibles estafadores en Internet que buscan sacar provecho de la tragedia.

Pocas horas después del atentado, se registraron decenas de nombres de dominio de sitios web asociados a las explosiones, incluyendo bostonmarathondonations.com, bostonmarathonvictimfund.com y bostonmarathonattack.com.

Es demasiado prematuro para saber qué uso se les dará a sitios web como estos, sin embargo, los expertos en entidades no lucrativas advierten que el fraude vinculado a las donaciones benéficas es a menudo perpetrado en los días y semanas posteriores a la tragedia, por lo que piden a los consumidores ser precavidos.

Mientras que algunos estafadores solicitan donativos, otros utilizan organizaciones benéficas falsas para robar números de tarjetas de crédito o para infectar las computadoras con malware, a menudo con un enlace que promete noticias o videos «exclusivos» del incidente.

Un estafador ya trató de engañar al público creando una cuenta de Twitter minutos después del atentado que afirmaba estar asociada con la organización del maratón de Boston. La cuenta @ _BostonMarathon se comprometió a donar un dólar por cada retuit. Tras ser identificada por los usuarios como una farsa Twitter rápidamente cerró la cuenta, que ya había recibido para entonces más de 50,000 retuits.

«Los medios sociales, en particular, hacen que sea muy fácil llegar a una gran cantidad de personas rápidamente, cuando las emociones están a flor de piel y la gente siente la necesidad de hacer algo, cualquier acción, para ayudar», señaló H. Art Taylor, presidente y director ejecutivo de la Wise Giving Alliance del Better Business Bureau.

Mencionando la cuenta falsa de Twitter, la organización advirtió el martes sobre la posibilidad de más estafas relacionadas con la tragedia de Boston e instó a los consumidores a investigar bien antes de donar a cualquier grupo o individuo que pida donativos.

Cuando el huracán ‘Sandy’ estaba por golpear las costas del este estadounidense en octubre, más de 1,000 dominios asociados a la tormenta se habían registrado en Internet.

El Fiscal General de Nueva Jersey y la División de Asuntos del Consumidor actualmente están emprendiendo acciones legales para cerrar un sitio web de la fundación Hurricane Sandy Relief Foundation, que presuntamente recaudó más de 630,000 dólares en donaciones en efectivo pero entregó menos del 1% a las víctimas. Se espera que un juez dictamine la próxima semana.

La fundación y su abogado no respondieron a nuestra solicitud de comentarios, aunque el abogado de la organización ha dicho a otras fuentes noticiosas que tenían la intención de pagar los fondos.

Después del tiroteo en diciembre en la escuela primaria de Newtown, Connecticut, una mujer de Bronx supuestamente se hizo pasar por la tía de una víctima para recaudar donaciones a través de una campaña en Facebook y Paypal, de acuerdo con los fiscales federales.

Ante cualquier catástrofe, los donantes deben buscar primero organizaciones benéficas nacionales o regionales bien establecidas y consolidadas que están promoviendo los esfuerzos de socorro, recomendó Ken Berger, presidente y director general de Charity Navigator.

Además, la mayoría de los estados exigen que las obras de caridad se registren con una agencia estatal antes de solicitar donativos. Si una supuesta entidad caritativa no se ha registrado, eso puede servir como una señal de alerta importante, de acuerdo con el Better Business Bureau.

Y para que las donaciones benéficas puedan ser deducibles de impuestos, la organización también tiene que obtener el estatus de exención de impuestos otorgado por el IRS. Los fondos creados para ayudar a una persona o familia específica no tendrán derecho a la exención de impuestos.

 «No hay que donar  por impulso porque alguien dice que está recaudando dinero para las víctimas. No asuma que es verdad», aconseja Berger. «Lo más seguro es optar por lo conocido en lugar de algo que acaba de aparecer». 

 

Vía cnnexpansion

WordPress es atacado a nivel mundial por botnet de gran tamaño

Compañías de hosting en todo el mundo reportan un aumento considerable en ataques de diccionario dirigidos a la interfaz administrativa de blogs y sitios que usan WordPress. HostGator publicó en su blog que sus clientes recibieron ataques de más de 90 mil direcciones IP. CloudFlare también notó un incremento en este tipo de ataques hacia sitios que utilizan el popular sistema de gestión de contenido. Según datos de la compañía de seguridad Sucuri, este tipo de ataques ha ido en aumento desde principios de mes.

De acuerdo con el análisis de estos ataques, es posible observar que la botnet intenta obtener acceso administrativo en blogs y sitios que usan WordPress realizando un ataque de diccionario el cual contiene las cuentas de administrador más populares.  Matthew Prince, director ejecutivo de CloudFlare, supone que estos ataques se realizan con el objetivo de comprometer los servidores web y de esta forma hacerlos miembros de la botnet. Los servidores web de proveedores de hosting profesionales son muy deseados como miembros de la botnet ya que poseen un hardware más poderoso y tienen acceso a mejores  recursos de red que los que tienen los equipos de cómputo convencionales. Sucuri menciona que los atacantes instalaron el kit de exploits Blackhole en los equipos comprometidos con el propósito de infectar a los usuarios que naveguen por el blog de WordPress alojado en los equipos que tienen instalado Blackhole.

Los ataques a WordPress han sido recurrentes en los últimos años, sin embargo en esta ocasión la cantidad de bots usados hace digno de mención al ataque. Matt Mullenweg, fundador de WordPress y principal desarrollador del mismo, recomienda que los usuarios cambien el nombre del  administrador a uno diferente de “admin” el cual es el administrador en algunas versiones del WordPress, además agregó que la funcionalidad de bloqueo de IP después de cierto número de intentos fallidos de conexión no es efectiva debido a la gran cantidad de direcciones IP usadas por la botnet. Para evitar caer ante este tipo de ataques es importante usar una contraseña segura y de longitud adecuada.

vía The H Security