Dasient se especializa en escanear los sitios web y otras direcciones URL  para buscar contenido malicioso. Su sistema no está basado en listas negras ya que utiliza rastreadores web y heurística, por lo que es un sistema que permitirá a Twitter ser más resistente ante estos ataques. En 2009, la compañía lanzó una plataforma para proteger a la publicidad del malware o también conocido como malvertising.

A través de un comunicado en su blog, la firma Dasient mencionó: “Al unirse a Twitter, Dasient será capaz de aplicar su tecnología y equipo a la mayor red de información del mundo en tiempo real. Como parte de esta fusión, Dasient está llegando a su negocio y ya no es capaz de aceptar nuevos clientes.”

En Twitter han tenido problemas de seguridad ya que han proliferado las cuentas falsas de celebridades y empresas. Si bien es una práctica habitual que estas cuentas propaguen enlaces maliciosos o publicidad engañosa, claro está que todo esto también requiere de que los usuarios tengan mayor cuidado al hacer clic ante cualquier liga que se les aparece.

Link: Dasient Has Been Acquired by Twitter (Dasient Blog vía SlashGear)

La operación fue descrita como el mayor golpe contra el crimen cibernético de la historia y manera de operar funcionaba redireccionando a los usuarios de páginas como la iTunes Store de Apple y Amazon a otras de publicidad que le significaba un ingreso referencial a la agrupación. El fraude de clicks generó al menos US$14 millones en cobros ilícitos durante más de cuatro años, según se indica en la acusación estadounidense.

Los detenidos podrían enfrentar décadas en prisión por cargos de fraude e intrusión computacional. “Estos acusados le dieron un nuevo significado al término ‘publicidad falsa’”, sostuvo el juez de Manhattan, Preet Bharara.

La banda obtenía control de los computadores al infectarlos con un malware llamado DNSChanger, que les permitía modificar la configuración del navegador en equipos con Windows, para redireccionar el tráfico hacia publicidades. Inicialmente fue detectado en la red computacional de la NASA.

Trend Micro proveyó la inteligencia a la investigación y señaló que siguió los rastros hasta dar con una compañía estonia llamada Rove Digital. Esta empresa “es una compañía IT ubicada en Tartu que parece legítima, con una oficina donde gente trabaja cada mañana”, comentó el investigador Feike Hacquebord.

Los servidores utilizados para operar la botnet ya fueron desarticulados y Trend Micro además publicó consejos para detectar y eliminar el DNSChanger.

Link: FBI ‘Operation Ghost Click’ raid shuts down cyber criminals (The Telegraph)

Así como lo lees, y antes de que salga el típico listillo a dejar en los comentarios que me almorcé la “h”, os aclaro a los que no estéis enterados que como “adware” es un software malicioso con fines publicitarios, y que en teoría no representa un peligro para la integridad del equipo y la data guardada en el mismo, aunque puede contener spyware y métodos para robar datos tipo pishing.

Adware es entonces, tal como explicó algún erudito de nuestros tiempos en la Wikipedia, cualquier programa que se ejecuta automáticamente, o bien muestra o descarga publicidad Web al ordenador después de instalar un programa o mientras se está utilizando una aplicación: El “Ad” en la palabra “adware” se refiere a “advertisement” (anuncios en inglés).

Una vez bien aclarado el punto y ahora que estoy segura que todos os estáis enterando de lo que os hablo, sigo contando la noticia: Microsoft ha hecho públicas las conclusiones del informe “Security Intelligence Report”, en las que deja en evidencia que en España el adware es la principal ciberamenaza, pues está presente en nada más y nada menos que el 52,6% de los ordenadores infectados, frente a la media global que se ubica en el 25%.

Por su parte los temibles troyanos están presentes en el 16% de los ordenadores infectados en España, según el mismo reporte de Microsoft, lo cual quiere decir que su porcentaje ha descendido desde el 21,7% del pasado año.

Llama la atención que la principal amenaza a los ordenadores españoles sea entonces un malware con fines publicitarios, ¿no os parece? ¡Vamos, que ya no saben cómo vendernos cosas!

En todo caso, la responsabilidad de protegernos está en nuestras manos y la de instalar un antivirus eficiente… A ver, a ver, confesad: ¿Cuántos de vosotros tenéis vencido el antivirus de vuestros equipos?

Link: Ni troyanos ni spyware, el adware principal peligro en España (TicBeat)

Según CrySyS Labs, la firma húngara que lo descubrió, Duqu se aprovecha de una vulnerabilidad de día cero en Microsoft Word, teniendo como objetivo una vulnerabilidad en el kernel de Windows que permite instalar el malware. Cuando la víctima abre el documento de Word malicioso, los elementos principales de Duqu se instalan automáticamente en el sistema.

Una vez que Duqu está cómodo, busca los contactos en los clientes de correo de Outlook o Mozilla Thunderbird y se reenvía en forma de .doc a los contactos de la persona. Como el correo viene de una fuente conocida, tiene más probabilidades de que alguien caiga y abra el documento.

Aunque CrySyS logró analizar los archivos usados por Duqu para instalarse, los investigadores advirtieron que esta podría no ser la única forma de propagación del virus. Symantec ya descubrió que Duqu puede transportarse aun sin internet, usando redes internas en empresas y saltando entre máquinas hasta encontrar un equipo que sí tenga acceso a la red.

Duqu está construido sobre la misma base que el virus Stuxnet, apuntando a atacar empresas y no personas, aunque no se sabe todavía cuál es el objetivo del virus. Podría ser interrumpir sistemas de plantas de energía, o bien robar información.

Se ha rumoreado que Estados Unidos e Israel estarían detrás de Stuxnet, para detener los avances nucleares de Irán. Duqu podría ser producto de los mismos creadores de Stuxnet, pero no hay suficientes datos como para confirmarlo. Por mientras, Microsoft ya está trabajando para parchar la vulnerabilidad explotada por Duqu.

Como sea, Duqu viene a seguir una tendencia que comenzó con Stuxnet: un tipo de virus que ya no se preocupa de robar información de cuentas bancarias de personas, sino que apunta a sistemas de operación mayores, con objetivos más oscuros que simplemente obtener dinero.

Link: Duqu worm targets Microsoft  zero day flaw (PCWorld)

Tras el incidente, Google se vio forzado a lanzar una nueva versión de su navegador que sorteara el impasse con Microsoft, que posteriormente reconoció el incidente y ofreció las disculpas pertinentes, al tiempo que sacó una actualización de su archivo de definición de virus para solucionar por su parte el problema del falso positivo concerniente a Chrome.

“Hoy temprano supimos que la herramienta Microsoft Security Essentials comenzó a identificar falsamente a Google Chrome como malware (PWS:Win32/Zbot”) y removerlo de los computadores de la gente”, dijo Mark Larson, director de ingeniería de Chrome, poco después del incidente.

El Win32/Zbot es un troyano que permite al hacker robar las claves y obtener acceso al computador de la víctima, una práctica por la cual aún no se ha hecho famoso Chrome, y algo a lo que sin duda nadie quisiera que su navegador estuviera asociado.

¿Le creen a Microsoft, o habrá sido como el Chavo: ‘sin querer queriendo’”?

Link: Microsoft falsely labels Chrome as malware (Cnet)

Los sujetos en cuestión son Dominique Alexander Piatti, dueño del dominio “cz.cc”, que según Microsoft fue usado para operar el botnet; y la empresa de dominios de internet checa dotFREE Group SRO, que era operada en parte por Piatti. También se listan a 22 otros de los que no se conocen los nombres reales.

Microsoft actualizará su herramienta para eliminar software malicioso para limpiar el daño producido por Kelihos. “Kelihos infectó los computadores de los usuarios con software malicioso que le permitía a la botnet controlar el equipo de la persona y usarlo para una variedad de actividades ilegales, incluyendo el envío de miles de millones de correos spam, recolectar información personal (como e-mail y contraseñas), estafas accionarias y en algunos casos, sitios web promoviendo la explotación sexual de niños”, dijo el abogado Richard Domingues, de la Unidad de Crímenes Digitales (no es broma) de la compañía de Redmond.

Microsoft agregó que también se distribuían mensajes ofreciendo productos farmacéuticos y drogas, y que se abusó de cuentas de Hotmail para estas actividades.

La empresa de Redmond solicitó la semana pasada autorización para interrumpir las conexiones conocidas entre el botnet Kelihos y los computadores zombie que controlaba. Esa solicitud fue otorgada y fue ejecutada ayer por Microsoft, en la llamada “Operación b79″.

El dominio cz.cc ya era sospechoso de actividades maliciosas, y había sido investigado por su posible relación con el antivirus falso MacDefender, y Google lo había bloqueado en mayo por alojar malware.

“Con este caso, esperamos demostrar que si los dueños de dominios no se hacen responsables de conocer a sus clientes, serán considerados responsables por lo que está pasando en su infraestructura. Nuestro objetivo en este caso es motivar una discusión amplia en la industria para registros de subdominios más transparentes y prácticas que permitan una internet más segura para todos los usuarios”, agregó Microsoft.

Link: Microsoft neutralizes Kelihos botnet, names defendant in case (Microsoft)

El software malicioso fue detectado por la empresa de seguridad Intego, que recibió una alerta de un usuario que lo descargó. No se sabe cuántos usuarios han sido engañados por este malware.

Se trata de un troyano llamado “Flashback”, que se puede obtener al hacer clic en links maliciosos que piden al usuario descargar o instalar el reproductor de Flash. Si esos usuarios además usan Safari con la configuración establecida para guardar automáticamente archivos seguros, se abrirá solo un instalador en sus escritorios, como si se tratara realmente de Flash. Si se sigue adelante con la instalación, el troyano desactivará algunos sistemas de seguridad e instalará una biblioteca de descargas dinámicas (dyld), que le permite inyectar código en aplicaciones que el usuario abre.

El troyano luego se comunica con un servidor remoto entregando la dirección MAC del usuario y permitiendo al servidor detectar si el Mac ha sido infectado o no.

Por el momento esta amenaza es considerada “baja”, pero se recomendó a los usuarios de Mac poner atención a lo que hacen y no abrir archivos adjuntos u otros archivos que no recuerden haber descargados, y desactivar la opción de Safari para abrir automáticamente los archivos seguros. También cabe recordar que Apple ahora actualiza diariamente sus definiciones de malware, por lo que un parche para esto podría salir pronto.

Link: Mac trojan pretends to be Flash Player installer to get in the door (ArsTechnica)

Triste, pero cierto. Lo que sucede es que la modelo alemana Heidi Klum se convirtió en “la celebridad más peligrosa” para buscar por internet, según la medición anual que hace la firma de seguridad McAfee. Incluso, la esposa del cantante Seal llegó al cetro desbancando a la actriz Cameron Diaz, que lució el primer lugar en la última entrega.

Según McAfee, cerca del 10% de los resultados en las búsquedas relacionadas con la modelo germana son “maliciosas”, pero la actriz estadounidense no se alejó tanto y se ubicó cerca en el segundo lugar del conteo. Completa el podio Piers Morgan, el periodista que reemplazó a Larry King en su espacio horario en CNN, siendo el único hombre ubicado en el top 5.

El estudio advierte que las búsquedas de cosas asociadas a estos nombres están en peligro de caer en amenazas online (virus y malware) diseñadas para robar información personal.

En el listado, el cuarto lugar fue para quien obtuvo el primer lugar en 2009: Jessica Biel. Mientras que la quinta ubicación fue para Katherine Heigl. Las siguientes plazas quedaron en manos de Mila Kunis, Anna Paquin, Adriana Lima y Scarlett Johansson (aunque les aseguro que esto está limpio y bien sanito, jeje), mientras que el décimo puesto fue compartido por Brad Pitt, Emma Stone y Rachel McAdams.

Y si sus gustos son más por los deportistas, sepan ellos sí son más seguros. La tenista María Sharapova y su colega Andy Roddick, que el año pasado estaban en la posición 13 y 14 respectivamente, ahora retrocedieron hasta los lugares 44 y 56. Similar con las cantantes, ya que -por ejemplo- Rihanna aparece en el 51, mientras que Lady Gaga asoma recién en el 58.

Ojo entonces con lo que buscan.

Link: Heidi Klum the ‘most dangerous’ celeb on the Net (Cnet)

Y es que según el Informe Norton de Cibercrimen presentado hoy por la empresa de seguridad informática Symantec, en España el “cibercrimen” provocó pérdidas por el orden de los 5.900 millones de euros durante el año pasado: 482 millones en coste directo y unos 5.500 millones en tiempo empleado en recuperarse de los ataques informáticos.

A nivel global el panorama no es mucho más alentador: Con 431 millones de víctimas globales el pasado año y la cifra anual de 388 mil millones de dólares estadounidenses de pérdidas financieras, el cibercrimen ha supuesto, según destacan desde Symantec: “Un coste significativamente mayor que el del mercado negro de la marihuana, la cocaína y la heroína juntas (288 mil millones de dólares)”.

Víctimas de ciberdelitos a nivel global (Informe Norton)

Si lo vemos de ese modo asusta, ¿no? Lo cierto es que a estas alturas debes estarte preguntando: ¿Cuál es la forma más común de delitos a través de Internet? Pues según el Informe Norton 2010, a nivel global lo más comunes son los virus y el malware en PC: Un 54% de los encuestados que afirman haberlo experimentado en algún momento de sus vidas. A los virus le siguen las estafas online (11%) y los mensajes phishing (10%).

Ahora bien, los móviles no se escapan del delito. Según los datos presentados por Symantec el 10% de adultos ha sufrido el cibercrimen en sus teléfonos móviles: Cuatro de cinco hombres de entre 18 y 31 años que acceden a Internet a través de sus teléfonos móviles (es decir el 80%) han sido víctimas de delitos informáticos.

Perfil de las víctimas de cibercrimen (Informe Norton)

Explican los expertos en seguridad informática que es más probable que seamos víctimas de un delito cibernético que de uno físico, y que precisamente una de las razones por las que somos más propensos es que no somos conscientes del riesgo que corremos cada día.

Así, las estadísticas manejadas por Symantec, el 41% de los adultos consultados han confesado que no tienen software actualizado de seguridad para proteger su información online. Además, el 61% no utiliza contraseñas complejas ni las cambian con regularidad; y entre los que que acceden a Internet a través de sus móviles, solo el 16% instalan seguridad móvil actualizada.

Cifras muy reveladoras estas que presentaron en el Informe Norton. ¿No os parece? A mí al menos me han hecho reflexionar un montón sobre qué tan cuidadosa soy con mis transacciones en la Red.

Y es que si bien estamos claros en que en buena medida somos responsables de nuestra seguridad en la Red… ¿Realmente hacemos todo lo necesario para protegernos? Por ejemplo ¿Tenéis instalados y actualizados sistemas de seguridad en sus ordenadores y móviles?

Links: Informe Norton

El panel de analistas expositores

Antes de entrar de lleno a la información y consideraciones de los expertos en seguridad en internet de la Cumbre Iberoamericana de Analistas de Kaspersky Lab 2011, como en nuestras firmas no está considerado que diga “enviado especial a…”, me tomo justicia con mis propias manos para refregarles que escribo estas líneas desde una hamaca, de guata al sol, en Cancún. Ahhh.

Dicho esto y dejando un rato de lado esas cosas del all inclusive, nos pusimos serios y quedamos de una pieza al ver las cifras de crecimiento y masificación de los malwares en América Latina (más la Península Ibérica). Peor aún al enterarnos de que a pesar del incansable esfuerzo de compañías como Kaspersky Lab, dentro del próximo lustro el panorama podría ponerse bastante más feo, cuando los ataques cibernéticos comiencen a producirse entre los propios gobiernos de la región. ¿Conflictos bilaterales por robo de información de inteligencia, digamos, para el 2015? Así es. Así de opaco es el augurio.

Vamos viendo.

Para Dmitry Bestuzhev, director global de investigación y análisis de Kaspersky Lab para América Latina, el crimen cibernético está logrando un grado de penetración escalofriante en todo el mundo en los últimos años. Según datos de la firma de seguridad expuestos por el ruso, el crecimiento de los ataques en América Latina se disparó en un 490% entre el 2009 y lo que va del 2011.

Y esto se explica de manera sencilla para los analistas: porque el “negocio” es increíblemente lucrativo para los ciberdelincuentes. El robo de información personal bancaria está de moda y se ha transformado en su profesión para muchos.

Brasil es el país que más ha explotado esta veta (principalmente a través de troyanos, a diferencia de las más comunes botnets del resto de la región), lo que hoy se le conoce como “Profesión Raúl”. Fabio Assolini, analista de malware de Kaspersky en el país, explica que la alta penetración de la banca online y el e-commerce hace a su población un blanco más que interesante. Tanto así que “un 36% de los troyanos bancarios que circulaban en el mundo el 2010, fueron hechos en Brasil. Y de ellos, un 95% son hechos con el objetivo de robar información bancaria”, asegura Assolini.

Y la principal causa de estos ataques está precisamente en el aparente desinterés y desconocimiento por el tema que presentan los propios usuarios. Así lo graficó Jorge Mieres, analista de malware de Kaspersky en Argentina: “El gran problema es que dos de cada tres sistemas operativos en la región son ilegales o pirata”. Pero más asombroso resulta el hecho de que aun cuando un 60,7% de las pymes latinoamericanas apunta a estos códigos maliciosos como el principal problema y que un 68% reconoce haber sufrido sus consecuencias, un 63% de los OS de estas empresas son piratas.

El silencioso camino hacia el despeñadero

El grupo de analistas coincide además en que el estilo de vida que llevamos hoy en día propicia aún más la existencia y propagación de estos ataques, algo que vislumbran que gatillará una mirada bastante apocalíptica de la situación.

Jorge Mieres.

Vicente Díaz, analista senior de malware de Kaspersky en España, expone una radiografía de cómo vivimos actualmente, donde cada vez es más frecuente que nos llevemos trabajo para la casa y eventualmente manejemos información delicada de la empresa en nuestros computadores del hogar, sin el nivel de seguridad requerido. “Esto está dando lugar a un nuevo tipo de ataque: los ataques dirigidos (o APT). Por supuesto, nuestro estilo de vida incorpora el uso masivo de redes sociales a nivel personal y profesional. La privacidad por desgracia, cada vez es menos ‘privada’”, explica Díaz.

“Buscan información de trabajadores de una compañía a través de redes sociales (como LinkedIn), después buscan información en redes sociales (como Facebook) y con estos perfiles se les envía un correo específico. Como el usuario se lleva el computador a la casa, no va a tener firewall ni los elementos necesarios de seguridad”, complementa el analista español. Así, los criminales logran acceder a los sistemas de administración y las bases de datos de una empresa completa.

Algo así le ocurrió a Sony y varias otras empresas en el último tiempo, según ahonda Jorge Mieres: “Siempre hay una brecha mínima de probabilidad. En el caso particular de Sony, en el primer ataque fue un código malicioso. Acá se infectó un equipo de una red que caló hasta el servidor o lo infectó directamente. Probablemente una de las máquinas que se infectó haya tenido privilegios de administración y ese código malicioso llegó a la base de datos y chao. Ese tipo de ataque contra otros entes de Sony siguió en otros países y luego se utilizaron otros tipos de ataque más automatizados”, describe.

Las APT a nivel gubernamental

Dmitry Bestuzhev.

Lo más inquietante de esta evolución de los crímenes cibernéticos es la hacia donde el ruso Bestuzhev visualiza y advierte que pueden arribar en nuestro propio continente. “El objetivo de los APT es extraer la información confidencial sensible, generalmente del carácter de la seguridad de una nación”, dice, aplanando el camino Bestuzhev. Luego, dispara su pálpito: “Yo creo que se producirán en un máximo de cinco años, pero puede incluso ser antes. Las naciones ajenas a Iberoamérica, pueden estar espiando la información que hay dentro, pero en cinco años lo que veremos es que las naciones iberoamericanas van a producir sus propios ataques y espiar a sus países vecinos. Y eso al ser comprobado, por supuesto que puede derivar en conflictos bilaterales.”, explica.

No obstante, Mieres discrepa en cierto sentido. Personifica este tipo de ataques con los bullados casos de Anonymous, LulzSec o Wikileaks, pero más allá de su peligrosidad y complejidad, sólo los califica como una moda, poniendo el foco en el desdén de los distintos gobiernos.

“En América Latina comenzaron a aparecer varios grupos que se proclaman ser ramificaciones de Anonymous o LulzSec, pero también deja en evidencia otra etapa de la seguridad de las entidades gubernamentales: que no tienen seguridad. El 80% tiene vulnerabilidades. Se los hemos dicho y no hacen nada”, sentencia el analista argentino, considerando un riesgo que más gente se acople a esa moda en ejemplos que vemos en la región, “como el apoyo a ciertas causas sociales, porque el abanico de posibilidades aumenta y eso es negativo”.

Para cerrar, Dmitry Bestuzhev recuerda que este tipo de ataques lo habían predicho hace dos años y ya explotaron, por lo que no habría que desestimar su vaticinio.

“La información hoy es lo que vale. Es como una especie de divisa que puedes utilizar para comprar algo, para comprometer, para mandar a tumbar alguien, etc. Estos ataques seguirán existiendo, pero serán mucho más sofisticados”, sostiene, y completa señalando que estamos en un momento de crisis de seguridad informática, pero no la máxima imaginable. “El apocalipsis cibernético no ha llegado aún; nunca va a haber un tope y esto seguirá creciendo”.

Como para irse a acostar tranquilos…

Eso es todo desde Cancún, Quintana Roo, México. ¡Salud! Adelante estudios…

Chrome 12 obtuvo el segundo lugar con una tasa de éxito de 13,2%, Firefox 4 y Safari 5 anotaron un 7,6% y Opera fue el peor con un 6,1%. El estudio se hizo en abril, por lo que no están los datos para Chrome 13 y Firefox 5 (y ahora 6).

IE9 usa la lista de reputación de sitios SmartScreen para identificar sitios maliciosos, además de un sistema de reputación de aplicaciones, una lista de los archivos que pueden resultar peligrosos. De esta manera, cuando se detecta que la descarga es peligrosa, se le envía una alerta al usuario. “La reputación de aplicaciones es el primer intento de cualquier fabricante de crear una lista definitiva de todas las aplicaciones en internet. Esta nueva capacidad puede ayudar a los usuarios a diferenciar entre el malware y software potencialmente inseguro, y el software bueno”, señala el informe de NSS Labs.

Aún sin la reputación de aplicaciones activada, IE9 logró bloquear 89,5% de las URLs maliciosas. Por supuesto, Microsoft está feliz con los resultados, celebrándolos en un post de su blog oficial, donde asegura que las mejoras significan “menos infecciones y dolores de cabeza” para los consumidores.

Por supuesto, el estudio no habla de otro tipo de vulnerabilidades que puedan tener los navegadores, de modo que éste es sólo un asunto más a considerar al momento de elegir uno. ¿Será que con esto logre convencer a algunos de cambiarse a IE?

Link: Internet Explorer tops browser security tests (ZDNET)

El malware es un antiguo enemigo que plaga internet y que intenta escabullirse en nuestros equipos para robar datos o para usar nuestro PC como un zombie en una red de spam o algo parecido. Ahora Google intentará ayudar a que menos personas se infecten, alertando a los usuarios de las búsquedas si es que hay malware en sus equipos.

La compañía indicó que descubrió un tráfico inusual que venía de un grupo de servidores intermediarios o “proxies”, mientras estaba haciendo un mantenimiento de rutina a sus datacenters. Tras colaborar con ingenieros de seguridad, Google determinó que los equipos que exhibían este comportamiento raro estaban infectados con un tipo particular de malware.

La compañía no especificó de qué malware se trata específicamente, pero sí decidió desplegar una alerta sobre la pantalla del usuario indicándole que su equipo puede estar infectado. La idea es que la persona actualice y corra luego el antivirus para eliminar esta infección. ¿Crees que será útil?

Link: Using data to protect people from malware (Google Online Security Blog)

Algo ya existente en Gmail, aunque no en Hotmail, por citar los más populares. Este cambio en las condiciones de uso del mail de Yahoo! ha despertado la indignación de Which? una organización de consumidores geeks, que acusa a la compañía de justamente lo contrario: beneficiar los ingresos publicitarios.

Y es que Yahoo! aparte de afirmar que este escaneo le permite bloquear 130.000 millones de envíos de spam cada mes también reconoce que esta técnica también le permite “servir publicidad más relevante” (además de defenderse con un muy maduro “los otros también lo hacen”),

En todo caso el escaneo, que también afecta a los usuarios que remiten correos a las cuentas de Yahoo! (y cuya responsabilidad de informar delega en los usuarios), es anulable dándose de baja y pasando a la anterior versión del correo.

¿Qué os parece la política de Yahoo! y de las otras compañías a este respecto?

Link: El nuevo correo de Yahoo! escanea los contenidos (El País)

En una decisión que probablemente afectará a más que unos pocos, Google decidió bloquear de su buscador todos los sitios que ocupen el subdominio .co.cc en su URL.

La razón del buscador es que gran parte de los sitios que ocupan ese subdominio son usados por organizaciones para distribuir malware. El problema es que .co.cc es de propiedad de una empresa coreana y existe con el único propósito de entregar dominios gratuitos.

Sí, es cierto, es probable que muchos sitios alojados en el sitio sí distribuyan malware, pero también es probable que muchos de los sitios que lo usan lo hacen por no tener dinero o acceso a una tarjeta de crédito, y este tipo de servicios les entrega una opción gratuita de tener presencia en la red.

Google viene advirtiendo desde hace un tiempo sobre los peligros de establecer sitios a través de hostings que entregan sub-dominios (como ellos mismos hacen con Blogger). De hecho, han integrado herramientas a sus servicios de administración (como Webmaster Tools) para ver si la empresa que te da el subdominio reparte algún tipo de software malicioso. Por mientras, ya hay reportes que afirman que los sitios .co.cc están empezando a migrar al subdominio .co.tv.

Link: Google now blocking all co.cc subdomains from search, but who’s next? (ExtremeTech)

Ahora el FBI en colaboración con otras policias europeas ha dado con dos de los responsables de este tipo de envios y los ha detenido en Lituania. Antes de caer en manos del servicio federal estadounidense a los malvados bálticos les dio tiempo a infectar cerca de un millón de ordenadores y ganar 72 millones de dólares procedentes de personas que pagaron con sus tarjetas de crédito.

Un negocio redondo que demuestra que es muy fácil aprovecharse de la ingenuidad de los usuarios, aunque la aventura haya tenido mal fin para el dúo lituano.

La trama tenía, a pesar de todo, cierta sofistificación, ya que llegó a contratar publicidad en el Minneapolis Star Tribune y la red de colaboradores se extendía por diversos países como Estados Unidos, Francia, Gran Bretaña y Alemania.

Un nuevo caso de scareware (en referencia a que los timadores juegan con el miedo de los usuarios para cometer su timo) similar al de Mac Defender

Link: El FBI detiene a dos lituanos por distribuir un falso antivirus (El País)

BeautifulPeople.com, un sitio web de citas que sólo acepta a gente bonita, afirma que un virus llamado “Shrek” hizo posible que 30.000 personas feas se hicieran miembros.

Normalmente el sitio tiene un estricto proceso de clasificación donde los actuales miembros votan para decidir si los nuevos candidatos son suficientemente bonitos como  para convertirse en miembros. Sin embargo, el módulo de calificación fue atacado por el virus y permitió que miles de nuevos miembros (incluyendo los feos) fueran aceptados.

“Comenzamos a sospechar cuando decenas de miles de nuevos miembros fueron aceptados durante un período de seis semanas, muchos de los cuales no eran precisamente un retrato al óleo. Respondimos inmediatamente, reparamos el daño causado ​​por el ‘Virus Shrek’ y mandamos a los nuevos miembros de vuelta al módulo de clasificación para tener un voto legítimo y democrático. El resultado es que hemos perdido más de 30.000 miembros recientes. Lamentamos sinceramente lo sucedido, sobre todo por toda la desafortunada gente que fue incorrectamente admitida en el sitio y creyó, aunque fuera por un corto período, que era bella. Debe ser un trago amargo, pero al fin y al cabo es mejor haber disfrutado un pedazo del paraíso que no haberlo disfrutado nunca“, dijo Greg Hodge, director general de BeautifulPeople en un comunicado.

Al principio, la empresa creía que un “feo” rechazado estaba detrás del virus, pero las investigaciones posteriores apuntan a un ex empleado que implantó el malware como regalo de despedida.

BeautifulPeople.com tiene más de 700.000 miembros en todo el mundo. En promedio uno de cada siete son rechazadas durante el proceso de aplicación – la mayoría de los nuevos miembros procedentes de Estados Unidos, Dinamarca y Francia. La mayoría de los rechazados proviene de países como Reino Unido, Rusia y Polonia.  Las 30,000 personas que recientemente fueron expulsadas del sitio provenían de EE.UU (11,924) Reino Unido (3,156), Brasil (2,911), Francia (2,340), Canadá (1,220), Alemania (1,205), Australia (1,093), Japón (998), Rusia (840), Chile (1) y Dinamarca (470).

Para ser honestos, este “virus” resultó un conveniente pretexto para hacer publicidad del sitio, ya que la privacidad y seguridad de los miembros nunca fue violada.

Link: BeautifulPeople.com claims it was hit by Ugly Virus (Digital Journal)

Google publicó en su blog oficial una advertencia sobre un reciente ataque sufrido por su servicio de correo Gmail; destinado a obtener acceso a las cuentas de usuario de altos responsables del gobierno de Estados Unidos, disidentes chinos, miembros de gobiernos asiáticos (preferentemente de Corea del Sur), responsables militares y periodistas.

La compañía de inmediato tomó cartas en el asunto logrando interrumpir el ataque, aunque de todas maneras se comunicaron con los gobiernos y usuarios afectados.

Según la investigación realizada por Googl,e los atacantes habrían utilizado técnicas de malware y phishing para obtener las claves, siendo el origen de estos ataques la localidad China de Jinan.

Según la compañía el objetivo del ataque sería lograr controlar de alguna manera el contenido de los correos electrónicos enviados por los usuarios, para lo cual habrían cambiado las opciones de reenvío y delegación de correos.

Con la finalidad de asegurar que este hecho no se vuelva a repetir, la compañía de la gran G recomendó utilizar sólo contraseñas seguras en las cuentas de los usuarios. Además sugiere utilizar la opción de verificación de cuentas en aquellos lugares donde se encuentre disponible.

No es la primera vez que Google tiene enfrentamientos con China. El año pasado, la compañía acusó un ataque proveniente de ese país que tenía como objetivo obtener secretos industriales. Tras ese incidente, Google decidió salir de China, redireccionando a los usuarios al sitio de Hong Kong y dejando de censurar resultados, como ordena el gobierno.

Click aqui para ver el video.

Link: Ensuring your information is safe online (The Official Google Blog)

Apple actualizó anoche OS X con un parche que detectaba el troyano MacDefender y sus variantes, bloqueándolo antes de que el usuario pudiera caer en la trampa. La medida ha sido vista por parte de ciertos sectores como una admisión de parte de Cupertino de que los usuarios de Mac necesitan ayuda para mantener al malware a raya. Pero pese a los esfuerzos de Apple, a las 8 horas ya había una variante del troyano diseñada especialmente para saltarse la actualización de seguridad.

Se trata del juego del gato y el ratón que han vivido los fabricantes de antivirus para Windows por años de años, y aparentemente está llegando al Mac. Por supuesto, la amenaza es relativamente pequeña todavía – hay pocos afectados, y poco malware diseñado especialmente para esta plataforma, en comparación a lo que sucede con Windows.

Veremos si se trata de una amenaza aislada, o si bien hay más gente interesada en atacar Macs, y los usuarios de este sistema tendrán que optar por instalar antivirus en el futuro.

Link: Mac trojan evades Apple’s brand new security fix (The Register)

El falso antivirus

Hace algún tiempo comentamos un troyano para Mac que se hacía pasar por un antivirus llamado “Mac Defender”. Aparentemente, dado que los usuarios de los equipos de Apple no están acostumbrados a los virus y los engaños de antivirus falsos, muchos cayeron en la trampa y están aproblemados con el asunto.

La situación ha llegado a tanto, que la compañía salió a avisar que se desharán del malware con una actualización.

Apple lanzó un artículo que describe cómo eliminar el troyano de los sistemas, mientras que además adelantó que habrá una actualización para Mac OS X que “encontrará y eliminará automáticamente el malware Mac Defender y sus variantes conocidas”, avisando a los usuarios con una alerta si tienen el troyano en sus equipos.

La actualización vendría en Mac OS X 10.6.8, que aparecería dentro de poco.

Aunque el malware para Mac sigue siendo raro, las plataformas de Apple y su compatibilidad entre distintos dispositivos (tablets, teléfonos, Macs) han ido ganando popularidad en los últimos años, lo que ha vuelto a la plataforma en un terreno atractivo para implementar estafas y maneras de sacarle dinero a los usuarios incautos.

Link: Apple: Mac OS X update coming to block MacDefender malware (TUAW)

Google anunció que agregará una herramienta de protección contra malware en la próxima versión de su navegador, Chrome 12. La nueva característica alertará a los usuarios cada vez que descarguen un archivo ejecutable de Windows que esté en sus registros de malware.

Esta opción ya está disponible en la versión actualizada de Chrome del canal de desarrolladores, y Google espera tenerlo operando sin problemas para cuando llegue la fecha del lanzamiento de la versión estable.

Mientras en un principio el foco estará en programas maliciosos para Windows, Google planea expandir estas capacidades más adelante. Se trata de una medida que va un poco más allá de lo que existe actualmente en los navegadores y que se concentra más que nada en alertar respecto de URLs que pueden ser peligrosas.

Internet Explorer 9 también tiene un sistema similar de protección contra malware. Quienes quieran echarle un ojo al sistema pueden descargar la versión de desarrolladores de Chrome para Windows. Los demás pueden esperar a la versión estable de Chrome 12.

Link: Protecting users from malicious downloads (Google Online Security vía Wired)

Creadores de malware están usando vulnerabilidades de miles de sitios web para inyectar código malicioso, como parte de un ambicioso ataque que busca redirigir a los internautas a una web falsa de antivirus.

El ataque, que ha sido bautizado como “LizaMoon”, fue alertado por la firma de seguridad Websense el martes. La compañía indicó que hackers habían usado una inyección de SQL para introducir una línea de código maliciosa en unos 28.000 dominios, enviando a los visitantes a la página de un antivirus falso. En un par de días, ese número ha aumentado a 380.000.

Se trata de uno de los casos más grandes de este tipo que se haya registrado, que está llegando a niveles de epidemia. Entre los sitios afectados, se incluía también a iTunes, aunque WebSense explicó que la seguridad de Apple ha funcionado bien bloqueando este tipo de ataques.

Para los demás, el riesgo es caer en la trampa de descargar el antivirus falso. Los sitios que los atacantes comenzaron a usar para la redirección están ahora bloqueados, pero los sujetos han comenzado a usar otras direcciones para el redireccionamiento y probablemente seguirán cambiando para conseguir su cometido.

Links:
- LizaMoon mass injection hits over 226.000 URLs including iTunes (Websense)
- LizaMoon mass-injection attack reaches epidemic proportions (The Register)

Tal como dice el título, el gobierno de Corea del Sur presentó un proyecto de ley que busca prevenir el surgimiento de PCs zombies. ¿Qué es un PC zombie? Un computador infectado por algún virus o malware. Si bien la ley tiene un nombre más bien sensacionalista, lo que busca promover es el uso de un software de seguridad elegido por el gobierno.

Y algo más, porque no podía ser tan simple: la ley también permite que la Comisión de Comunicaciones de Corea examine “los detalles de negocios, los archivos, documentos y otros” de las personas e instituciones sin una orden. Sólo necesitarían la sospecha de que alguien ha “violado el deber de usar un software de seguridad”.

Justo el día en que el gobierno anunció su plan, hubo avisos de un ataque de un malware que destruía discos duros. El ataque fue cubierto en varias partes y fue conocido dentro de Corea, aunque no convierte a los computadores en zombies. De hecho, la idea del computador zombie es atacar el computador, y ocuparlo después para una acción más grande, pero para eso el usuario no tiene que saber que fue infectado, porque si no, pasa un antivirus y listo. El malware que salió el día del anuncio afectaba el booteo de los computadores, por lo que no era un buen candidato para ser zombie.

Hay especulación en Corea del Sur de que el mismo gobierno habría liberado el malware para que su ley sea aceptada por la población más fácilmente. Aunque no haya sido así, ya el hecho de que los agentes de la Comisión de Comunicaciones puedan ver todo lo que hace una persona en internet es preocupante.

Link: South Korea Wants To Mandate Everyone Must Install ‘Security’ Software To Prevent ‘Zombies’ (Techdirt)

Llamado “BlackHole RAT” es una variante de un troyano de Windows llamado darkComet, aunque parece haber sido escrito por otro desarrollador.

Todavía no se han registrado ataques con este troyano, que aparentemente está en “beta”, pero el malware parece bastante fácil de usar, si se logra que el usuario de Mac lo instale (o si se crea una forma de instalarlo de forma escondida en el sistema). Básicamente, el troyano le da control remoto de la máquina al hacker. Aunque puede molestar a los usuarios con mensajes escritos en la pantalla, apagar repentinamente el equipo y otras acciones, el objetivo principal del malware aparentemente es crear pop-ups falsos que piden la clave de administrador del equipo, en un intento de robar contraseñas.

El troyano además despliega un mensaje después de haberse instalado y reiniciado el sistema:

Soy un troyano, así que he infectado tu computador Mac. Ya se, la mayoría de la gente piensa que los Macs no pueden ser infectados, pero mira, tu ESTÁS infectado! Tengo control completo sobre tu computador y puedo hacer lo que quiera, y no puedes hacer nada para evitarlo. Soy un virus muy nuevo, en desarrollo, así que habrá muchas más funciones cuando esté terminado”.

Links:
- Mac OS X backdoor Trojan, now in beta? (Sophos)
- Mac Trojan uses Windows backdoor code (The Register)

BitDefender

Y sí, efectivamente, el sexo en internet también contagia cosas indeseadas. Según el estudio, el 63% de los usuarios de páginas de pornografía han sufrido problemas de malware relacionado directamente con sitios de contenido adulto.

Otro dato es que de los hombres encuestados, el 78% accede a páginas porno, y de este porcentaje el 25% lo hace desde la computadora del trabajo (que se infecten las compus de la oficina ¿no?), un 69% (sin albúr) lo hace desde su casa, y el 6% restante desde algún local de la calle.

Las mujeres parece que casi no visitan internet: De las encuestadas sólo el 22% revisa este contenido.

Y cómo último dato, regresando a los hombres; el 38% dice que ingresa a páginas porno por curiosidad mientras que el 54% lo hace para “relajarse”, el estudio no dice las razones del 8% restante.

En fin, les paso el dato: Ver o descargar porno no es bueno para la computadora. Y si lo van a hacer, tengan un buen anti-virus a la mano o chéquenlo desde compu de terceros como recomienda el 31% de los encuestados.

Link: El sexo en la Red también puede producir infecciones (Europa Press)

La compañía NSS Labs nuevamente nos sorprende con un estudio cuyo resultado señala que el beta de Internet Explorer 9 es el navegador más seguro, al lograr bloquear de manera efectiva el 99% del malware que pulula por Internet.

Si lo anterior te causó extrañeza mejor que pongas atención al resto del estudio, ya que el segundo navegador mejor evaluado resultó ser Internet Explorer 8, con un 90% de efectividad.

El resto de los navegadores ni siquiera se acercan a los “dos líderes”, ya que Firefox 3.6 sólo alcanzó a ser efectivo en un 19% de los casos; mientras que en último lugar de la tabla se ubicó Opera 10, el que no logró resultar efectivo en ninguna de las pruebas a las que fue sometido.

Para construir dicho informe NSS Labs evaluó Internet Explorer 8 y 9 beta, Firefox 3.6, Safari 5, Chrome 6 y Opera 10. Los datos fueron obtenidos durante las 24 horas del total de días en que se extendió el estudio (11 días). En ese tiempo se realizaron 39 tests cada seis horas, junto con incluir 636 direcciones reconocidas por ser potencialmente peligrosas.

Link: Web Browser Group Test Socially-Engineered Malware Q3 2010 (Vía The Inquirer)

(cc) Sparrow*

A mediados de esta semana, y sin mucho ruido de por medio, Mozilla habría corregido hasta 13 diferentes vulnerabilidades en su navegador Firefox, incluyendo un nuevo parche sobre un problema aparentemente solucionado en una actualización anterior. En concreto se trataría de una amenaza que afectaría a la herramienta de diseño web Firebug. De esos 13 “agujeros”, 11 corresponderían a amenazas de primer nivel, de las utilizadas por hackers y demás para infectar con malware nuestro ordenador o para convertirlo directamente en un zombi.

Los parches de seguridad afectan a todas las versiones actuales de Firefox desde la 3.5. Sobre la esperada nueva versión del navegador (4.0), esta se sigue retrasando de manera indefinida (decir que el 2011 es algo bastante abstracto)  a pesar de las constantes versiones betas accesibles (como en el caso de I9). El motivo parece bastante claro, con Firefox en sus niveles de popularidad más bajos desde mayo del 2009 y con el ascenso imparable del Google Chrome en ciernes, las nuevas versiones de los navegadores van a tener que ofrecer algo más que simples actualizaciones para poder mantener una cuota de mercado cada vez más competida.

Link: Mozilla patches Firefox 13 Firefox Security Bugs (Computer World)

Cuando instalé iTunes, para poder manejar la colección de música de mi iPod, ¿por qué creyó Apple que estaba bien agregar el plug-in ‘iTunes Application Detector’ en mi navegador Firefox sin preguntarme?

¿Por qué pensó Microsoft que estaba bien meter su Windows Live Photo Gallery o el plug-in de Office Live para Firefox en mi navegador cuando instalé Microsoft Office? ¿Por qué cree Google que es un comportamiento razonable insertar un plug-in de Google Update en Firefox cuando instalé Google Earth o Chrome (no estoy seguro de qué causó esto) sin preguntarme primero?”, reclamó Dotzler en un post de su blog.

También comparó a las compañías con quienes fabrican malware, debido a que una segunda instalación escondida ocurrió sin la autorización del usuario.

“Puede que estas piezas adicionales de software instaladas sin mi consentimiento no sean maliciosas, pero la forma en que fueron instaladas fue furtiva, poco limpia e incorrecta”, sentenció Dotzler.

Llamó a todas las compañías a “no ser malignas”, incluyendo a nuevos competidores como RockMelt a que “no sigan el camino maligno”.

No es difícil pensar en software que hace esto, no sólo con el navegador. Además de “aparecer de la nada”, son programas que consumen recursos, y que a veces ni siquiera es fácil deshabilitar o remover. Esta no es la primera vez que se hace notar esta situación, ni la primera vez que Dotzler llama la atención sobre la pérdida de privacidad de los usuarios.

Link: Firefox and more: why do they think this is OK? (Blog de Asa Dotzler vía The Register)

Las fórmulas utilizadas por los investigadores para identificar familias de procesadores

A diario los distintos Sistemas Operativos se ven enfrentados a los temidos malware (unos con mayor éxito que otros), muchas veces sin que los usuarios se alcancen a percatar de que sus equipos acaban de ser infectados y que es muy factible que terminen convertidos en computadores zombie.

Con el objeto de defenderse de estos ataques los usuarios vivimos preocupados de mantener actualizado el antivirus y de instalar el último parche o Service Pack, de manera de mantener a raya este tipo de ataques y que nuestra información se mantenga a buen resguardo.

Lo anterior podría tener los días contados según una investigación llevada a cabo en la Escuela Superior de Informática, Electrónica y Automatización de París; en donde han logrado demostrar que es posible crear malware capaz de afectar a un procesador en particular, sin importar el Sistema Operativo que se este utilizando.

El equipo liderado por Anthony Desnos logró encontrar la forma como un código malicioso lograra identificar un procesador en particular, estudiando detenidamente la forma como este realiza algunos cálculos aritméticos y la manera como estos codifican los números.

Gracias a esto los investigadores al logrado agrupar las distintas familias de procesadores, por lo que no descartan llegar a determinar de manera exacta a cada uno de los procesadores existentes utilizando una fórmula en particular.

De esta manera un atacante en particular podría realizar un ataque mucho más efectivo gracias a la identificación del procesador, sin que sea de mucha importancia el Sistema Operativo que está corriendo en la máquina atacada.

Link: New Class of Malware Attacks Specific Chips (Technology Review)

(cc) hyku - Flickr

Hace algunas semanas una investigación conjunta de la Universidad de Washington y la Universidad de California San Diego, demostró que es posible “hackear” la Unidad de Control Electrónico de un automóvil (ECU en inglés, lo que muchos llaman “computador de a bordo”) dándole a los atacantes la posibilidad de jugar con los controles, ya sea tocando la bocina o cortando los frenos.

Lo anterior no sonaba tan inquietante porque si hay un cracker conectado por puerto serial RS232 a tu auto sería difícil no notarlo. Sin embargo ahora las cosas cambiaron, cuando  una reciente publicación de la Universidad Rutgers y la Universidad de Carolina del Sur  demostró que puede hacerse todo eso remotamente, usando los sensores inalámbricos de presión en los neumáticos.

Desde el año 2008, la regulación estadounidense requiere la presencia de sensores wireless en los neumáticos que informen la Unidad de Control Electrónico de la presión de aire, cosa de desplegar una alerta cuando ésta marque niveles inusuales que signifiquen algún peligro.

En la mentada investigación se explica que con un equipo de USD 1.500 (contando sensores de radio y software especial) se puede detectar y espiar los sensores inalámbricos de autos cercanos. Además,  tales sensores tienen un ID único, por lo que provisto que se tuviera acceso a una cantidad suficiente de equipos de detección, se podría monitorear la posición aproximada de un vehículo sin que su dueño lo sospechara.

Además de rastrear el móvil, se puede usar los sensores neumáticos para inyectar información errónea en la ECU, y eventualmente provocar una falla que dejara el auto temporalmente inutilizado. Ahora en las películas de espionaje en vez de mostrar tiroteos en movimiento bastará un geek premunido de un netbook para detener al vehículo rival. Pero hey, también tiene usos positivos: A lo mejor la policía podría usar un sencillo control remoto para detener cualquier auto que intentara eludir un control.

Actualmente, los sensores neumáticos envían información a la ECU cada 60 o 90 segundos, por lo que hay una ventana muy precisa en la cual se podría causar un daño real. Sin embargo este experimento -presentado en la conferencia USENIX- demuestra que como mínimo los computadores de a bordo fueron diseñados con estándares de seguridad demasiado relajados.

Links:
Hackean computador de un auto vía inalámbrica (CHW)
Cars hacked through wireless tire sensors (Ars Technica)

El problema radica en una falla en la forma en como funcionan los Universal Serial Bus (USB), que permite que los equipos que conectes puedan convertirse en una herramienta para el robo de información, en lo que se ha llamado “troyano del hardware”.

Hasta ahora, los troyanos de hardware eran circuitos modificados – por ejemplo, que los hackers se infiltraran en una fábrica y cambiaran chips, de modo que el aparato en el que irán insertados actúe de una forma distinta a la planeada (que hagan que el equipo se reinicie, o se apague, etc).

Los ingenieros canadienses descubrieron que hay una vulnerabilidad en la funcionalidad “plug and play” de los USBs. El protocolo USB confía en que cualquier dispositivo que se conecte va a informar correctamente qué es. Pero en teoría, un calentador de tazas podría decirle al PC que es un teclado, o un mouse, y el computador le creerá.

De hecho, el equipo desarrolló un teclado que contenía un circuito que permitía robar datos desde el disco duro y retransmitirlo a través de dos formas: vía código morse con luces LED y mediante un código sutil en sonidos causados por la tarjeta de sonido. También podrían haber optado por mandar los datos por mail, como lo haría cualquiera, pero estos ingenieros querían probar algo parafernálico que nadie pudiera detectar.

Con este experimento, en teoría cualquier objeto USB podría robar datos. Así que cuidado con esos USB sospechosos.

Link: USB coffee-cup warmer could be stealing your data (New Scientist vía CHW)