El software malicioso fue detectado por la empresa de seguridad Intego, que recibió una alerta de un usuario que lo descargó. No se sabe cuántos usuarios han sido engañados por este malware.

Se trata de un troyano llamado “Flashback”, que se puede obtener al hacer clic en links maliciosos que piden al usuario descargar o instalar el reproductor de Flash. Si esos usuarios además usan Safari con la configuración establecida para guardar automáticamente archivos seguros, se abrirá solo un instalador en sus escritorios, como si se tratara realmente de Flash. Si se sigue adelante con la instalación, el troyano desactivará algunos sistemas de seguridad e instalará una biblioteca de descargas dinámicas (dyld), que le permite inyectar código en aplicaciones que el usuario abre.

El troyano luego se comunica con un servidor remoto entregando la dirección MAC del usuario y permitiendo al servidor detectar si el Mac ha sido infectado o no.

Por el momento esta amenaza es considerada “baja”, pero se recomendó a los usuarios de Mac poner atención a lo que hacen y no abrir archivos adjuntos u otros archivos que no recuerden haber descargados, y desactivar la opción de Safari para abrir automáticamente los archivos seguros. También cabe recordar que Apple ahora actualiza diariamente sus definiciones de malware, por lo que un parche para esto podría salir pronto.

Link: Mac trojan pretends to be Flash Player installer to get in the door (ArsTechnica)

Apple actualizó anoche OS X con un parche que detectaba el troyano MacDefender y sus variantes, bloqueándolo antes de que el usuario pudiera caer en la trampa. La medida ha sido vista por parte de ciertos sectores como una admisión de parte de Cupertino de que los usuarios de Mac necesitan ayuda para mantener al malware a raya. Pero pese a los esfuerzos de Apple, a las 8 horas ya había una variante del troyano diseñada especialmente para saltarse la actualización de seguridad.

Se trata del juego del gato y el ratón que han vivido los fabricantes de antivirus para Windows por años de años, y aparentemente está llegando al Mac. Por supuesto, la amenaza es relativamente pequeña todavía – hay pocos afectados, y poco malware diseñado especialmente para esta plataforma, en comparación a lo que sucede con Windows.

Veremos si se trata de una amenaza aislada, o si bien hay más gente interesada en atacar Macs, y los usuarios de este sistema tendrán que optar por instalar antivirus en el futuro.

Link: Mac trojan evades Apple’s brand new security fix (The Register)

El falso antivirus

Hace algún tiempo comentamos un troyano para Mac que se hacía pasar por un antivirus llamado “Mac Defender”. Aparentemente, dado que los usuarios de los equipos de Apple no están acostumbrados a los virus y los engaños de antivirus falsos, muchos cayeron en la trampa y están aproblemados con el asunto.

La situación ha llegado a tanto, que la compañía salió a avisar que se desharán del malware con una actualización.

Apple lanzó un artículo que describe cómo eliminar el troyano de los sistemas, mientras que además adelantó que habrá una actualización para Mac OS X que “encontrará y eliminará automáticamente el malware Mac Defender y sus variantes conocidas”, avisando a los usuarios con una alerta si tienen el troyano en sus equipos.

La actualización vendría en Mac OS X 10.6.8, que aparecería dentro de poco.

Aunque el malware para Mac sigue siendo raro, las plataformas de Apple y su compatibilidad entre distintos dispositivos (tablets, teléfonos, Macs) han ido ganando popularidad en los últimos años, lo que ha vuelto a la plataforma en un terreno atractivo para implementar estafas y maneras de sacarle dinero a los usuarios incautos.

Link: Apple: Mac OS X update coming to block MacDefender malware (TUAW)

Esta información se cotejó con el mismo SII, quienes confirmaron que en su Mesa de Ayuda Telefónica se recibieron consultas respecto a un correo proveniente de direcciones como  impuestos@sii.gob.cl ,  fiscalía@sii.cl, adeudos@sii.cl y contribuciones@sii.cl, entre otras incluso menos verosímiles. Todos los mensajes tenían en común algún aviso falso relacionado con la devolución de impuestos, que en Chile empezó esta semana y tiene a más de alguno revisando su cuenta corriente cada cinco minutos.

Al respecto, el SII aseguró que el correo  no había  sido enviado por la institución y recomendó no abrirlo. NeoSecure confirmó que es un truco para intentar robar información sensible utilizando una versión modificada del troyano conocido como Zeus, bastante difundido en el rubro de los delincuentes bancarios.

No es común que las Mac sufran de malware. Generalmente usuarios de la computadoras de Apple están mucho más tranquilos en este tema. Pero de vez en cuando sale un virus que asusta a los mac-usuarios.

Ahora hay un nuevo troyano para este tipo de dispositivos, está disfrazado de un scanner de virus y se llama MAC Defender. Este malware se esparce vía los motores de búsqueda, cuando algún usuario busca un anti-virus es posible que se tope con este programa. Si el usuario no le hace caso, fin del problema, pero si se cree la mentira de que es un scanner de virus y lo baja e instala entonces el asunto continúa.

El troyano al ser instalando empieza a abrir ventanas de sitios de pornografía al mismo tiempo que le avisa al usuario que está infectado. Entonces dice que registre MAC Defender para eliminar el virus, lo lleva a una web pirata y le pide sus datos de tarjeta de crédito para comprar el anti-virus por 60, 70 u 80 dólares (según el tiempo que se quiere contratar este servicio).

Este malware está diseñado para configurarse y auto-abrirse cuando se enciende la computadora, por lo que hace mucho teatro. Es difícil de quitar ya que el ícono del MAC Defender sólo está en la barra de menú.

Este troyano fue identificado por la compañía de seguridad Intego, quienes han dicho que los VirusBarrier X5 y X6 pueden prevenir la instalación inadvertida. Pero recuerdan que la mejor forma de protegerse de este tipo de programas es tener sentido común y no instalar todo lo que se cruza por la red.

Link: New Mac Trojan horse masquerades as virus scanner (Macworld)

(cc) phil dokas

Con la integración de la computación en los automóviles, la idea de que alguien se infiltre en el sistema de controles de un vehículo e instale malware para hacer algunos ajustes no autorizados parece cada vez menos loca.

Hasta ahora, se pensaba que esto se podía lograr sólo conectando un laptop al auto, pero investigadores de las Universidades de California, San Diego y Washington descubrieron que también se puede hacer de forma remota, usando tecnología inocente como Bluetooth y hasta un antiguo CD.

Los investigadores están realizando estos estudios para advertir a los fabricantes de posibles vulnerabilidades y problemas de seguridad. Muchos autos nuevos vienen con tecnología Bluetooth integrada, sistemas para conectarse con celulares a internet y otros dispositivos, y esas conexiones podría ser utilizada para fines maliciosos. En uno de los ejemplos, los investigadores activaron la conexión celular e instalaron malware en el auto usando un archivo de audio. En otra prueba ejecutaron código malicioso a través de la conexión Bluetooth.

Los MP3 tampoco son seguros – los investigadores convirtieron uno de estos archivos en un troyano, que cuando fue reproducido por la radio del auto, alteró el firmware del auto, permitiendo a los hackers entrar al sistema de controles.

¿Pero para qué serviría hackear un auto? Algunas de las cosas que se podrían hacer son buscar dónde está localizado, jugar con los pestillos de las puertas, o hasta desconectar los frenos.

La mayoría de los automóviles modernos tienen un sistema computacional que controla funciones básicas, mientras que algunos han agregado a eso sistemas de GPS, Bluetooth, tecnología celular y otros extras.

Hackear el auto de forma remota sigue siendo más complicado que enchufar un laptop al auto y alterarlo así, pero vale la pena que los fabricantes tomen nota de estos posibles riesgos que se asocian ahora a los automóviles.

Link: Trojan-horse MP3s could let hackers break into your car remotely, researchers find (PopSci)

Llamado “BlackHole RAT” es una variante de un troyano de Windows llamado darkComet, aunque parece haber sido escrito por otro desarrollador.

Todavía no se han registrado ataques con este troyano, que aparentemente está en “beta”, pero el malware parece bastante fácil de usar, si se logra que el usuario de Mac lo instale (o si se crea una forma de instalarlo de forma escondida en el sistema). Básicamente, el troyano le da control remoto de la máquina al hacker. Aunque puede molestar a los usuarios con mensajes escritos en la pantalla, apagar repentinamente el equipo y otras acciones, el objetivo principal del malware aparentemente es crear pop-ups falsos que piden la clave de administrador del equipo, en un intento de robar contraseñas.

El troyano además despliega un mensaje después de haberse instalado y reiniciado el sistema:

Soy un troyano, así que he infectado tu computador Mac. Ya se, la mayoría de la gente piensa que los Macs no pueden ser infectados, pero mira, tu ESTÁS infectado! Tengo control completo sobre tu computador y puedo hacer lo que quiera, y no puedes hacer nada para evitarlo. Soy un virus muy nuevo, en desarrollo, así que habrá muchas más funciones cuando esté terminado”.

Links:
- Mac OS X backdoor Trojan, now in beta? (Sophos)
- Mac Trojan uses Windows backdoor code (The Register)

(c) mrpbody33

Desde principios de año que se han multiplicado las amenazas que giran en torno al troyano Zeus, creado especialmente para robar cuentas de los incautos usuarios y que afectó principalmente a aquellos que poseen cuentas bancarias.

Ahora expertos en la materia han comenzado a alertar sobre la existencia de un nuevo kit de desarrollo de troyanos que estaría basado en Zeus y cuyo nombre sería Ares. Lo complejo en este caso es que este kit permitirá desarrollar tantas variantes del troyano, que puede ser utilizado para cualquier tipo de ataque contra múltiples objetivos.

Según los expertos el principal objetivo de este tipo de troyanos son los usuarios que acceden a sus cuentas bancarias en línea, por lo que son este tipo de usuarios quienes deben realizar sus mejores esfuerzos para mantener sus programas de protección debidamente actualizados.

Una de las principales diferencias respecto de Zeus es que el diseño de Ares es modular, por lo que los atacantes lo pueden utilizar de diferentes maneras (lo que también dificulta su detección).

Con seguridad las compañías desarrolladoras de software antivirus ya se encuentran trabajando en actualizar sus productos para enfrentar este nuevo tipo de amenaza, mientras tanto tendremos que mantenerlos alertas y evitar acceder a sitios de dudosa reputación.

Link: Researchers: Be Wary Of New Trojan Attacks (InformationWeek)

(c) macewan

El FBI en conjunto con la fiscalía de Nueva York y Manhattan anunciaron la presentación de cargos contra 37 personas, acusadas de formar parte de una organización internacional que habría logrado robar millones de dólares desde cuentas bancarias; para lo cual hicieron uso del troyano Zeus y otros programas maliciosos.

Del total de personas que fueron acusadas veinte ya se encuentran detenidas, mientras que diecisiete personas aún son buscadas tanto en los Estados Unidos como en el extranjero.

Como parte de esta investigación Inglaterra anunció que diez personas fueron acusadas por delitos similares, por lo que se estima que en total unas 60 personas tendrían algún grado de participación al interior de la organización.

A principios de año diversas compañías de seguridad alertaron sobre la existencia del troyano Zeus y sus derivados, debido a su capacidad de robar credenciales de acceso a sistemas de correo electrónico, redes sociales y sitios bancarios. Según las primeras estimaciones en sólo cuatro semanas habría recolectado unas 68.000 contraseñas.

Dentro del grupo de personas que fueron acusadas en el tribunal federal de Manhattan, se encontrarían los principales responsables de la organización en el país, así como los encargados de blanquear el dinero robado.

Como parte de la investigación se logró comprobar que la organización reclutaba a estudiantes con Visa J1 (permite abrir cuentas bancarias en Estados Unidos), para lo cual publicaban diversos anuncios en sitios web de Rusia.

Link: Dozens charged in use of Zeus Trojan to steal $3 million (CNET)

El troyano estaba detrás de la cascada

Cada vez que se habla de virus y software malicioso en Windows, muchos amigos que usan Mac y Linux prenden sus antorchas, tridentes y empiezan a machacar al sistema operativo de Billy G. Estadísticamente, los números le dan la razón, debido a la cantidad de incidentes de seguridad que se provocan en las distintas plataformas.

Sin embargo, una amenaza informática se cierne sobre los compañeros que siguen el camino del software libre y que puso en riesgo por estos días a algunos usuarios. Resulta que en el popular sitio Gnome-look.org se ofrecía un protector de pantalla de una cascada, que traía escondido un troyano en su interior!

Afortunadamente, la “comunidad” actuó rápidamente (los usuarios no debieron esperar al segundo martes del mes) y removió el código malicioso, que instalaba un script que aumentaba los privilegios para desarrollar un posible ataque de denegación de servicios, además de mantenerse actualizado a través de las descargas del propio sistema.

Si estás seguro (completamente seguro) que fuiste uno de los sujetos confiados que instaló este “inocente” protector de pantalla, la solución es trivial. Ve a tu terminal más cercano e inserta la siguiente línea de comando.

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app55522

Lo más notable del caso es que a las pocas horas, el incidente ya estaba controlado por la gran cantidad de desarrolladores que trabajan en el software libre, donde no es necesario pagar por un producto externo para proteger tu propio computador. Lo que me extraña es que todavía hay gente que descarga protectores de pantalla…

Link: Felicidades: Linux tiene Malware popular (techtear vía FayerWayer Brasil)

(cc) CavinB

Para muchos el éxito de un juego se basa en la cantidad de copias comercializadas, pero para otros esto se mide desde otro punto de vista, aquel que nos muestra el interés generado entre los jugadores y entre aquellos que se aprovechan de estos últimos.

Es el caso del juego World of Warcraft (Wow), el que lleva varios años siendo uno de los juegos que más usuarios activos mantiene.

Tal vez es por esta razón que esté en la mira de los hackers, quienes han visto una importante oportunidad de negocio relacionado con la comercialización de las cuentas de aquellos usuarios más avanzados en el juego.

Para esto han desarrollado un troyano que se aprovecha de la llamada “ingeniería social” para hacer caer a sus víctimas. El troyano en cuestión se distribuye por medio de un correo donde una agradable señorita busca un hombre fortachón para que la acompañe a pasar las frías y solitarias noches. El adjunto del correo corresponde al archivo “myPhotos.rar” y donde viene oculto el troyano que se encarga de buscar las cuentas de usuario del juego en el computador infectado, para luego enviarlas a un servidor remoto.

Posteriormente el atacante utiliza las cuentas recolectadas para comercializarlas en una especie de mercado negro de juegos, donde pueden alcanzar a costar un precio bastante interesante como para que se tomen la molestia de crear el troyano.

Link: New Trojan Steals World of Warcraft Passwords (Mashable)

Para los programadores de troyanos, mantener un mecanismo de control confiable es un aspecto prioritario.  Cuando este mecanismo de control se basa en el uso de medios de comunicación confiables, se hace altamente complejo identificar y luego eliminar esos mecanismos de control.

El mecanismo usado en esta ocasión es bastante simple y efectivo.  El troyano es una DLL para Windows que al activarse, se conecta a Google Groups y accede a un grupo de noticias privado.  En este grupo de noticias se van subiendo instrucciones como si fueran artículos, por lo tanto el troyano las descarga y ejecuta.

De acuerdo a las estadísticas que el troyano registra en el mismo grupo de noticias y producto de la revisión de su código, ha sido posible deducir los motivos del atacante.  Se puede ver que es una implementación de prueba, para comprobar la factibilidad de usar un grupo de noticias como mecanismo de control.  Además el troyano está programado para actuar con gran sigilo, de tal forma que pueda recolectar información de cada computador sin que el usuario detecte nada anormal.

Link: Google Groups Trojan (blog de Symantec)

Desde diversos medios se informa sobre la existencia de un nuevo troyano, que se aprovecha de una vulnerabilidad no corregida existente en Excel.

El troyano es capaz de ocultarse en una hoja de cálculo que al ser abierta por el usuario, de inmediato crea una puerta trasera, por medio de la cual un atacante podría tomar el control de la máquina infectada.

Según la empresa de seguridad McAfee las versiones de Excel que se encuentran expuestas al troyano son:Excel 2000, 2002, 2003, 2007, 2004/2008 para Mac, Excel Viewer/Excel Viewer 2003.

Microsoft publicó un aviso de seguridad (Microsoft Security Advisory), por medio del cual informa que se encuentra analizando el problema con el objeto de publicar un parche que logre solucionar la vulnerabilidad detectada en Excel.

Link: New Excel Trojan Hits the Net (Vía The Register)

Estas versiones pirata de iWork ’09 vienen con un paquete adicional llamado iWorkServices.pkg que contiene el software malicioso. El troyano se instala al momento de iniciar la instalación de iWork como un elemento de inicio en /System/Library/StartupItems/iWorkServices con permisos de root para lectura, escritura y ejecución. Luego el troyano se conecta a un servidor remoto a través de Internet notificando su presencia en una nueva víctima, permitiendo así el acceso remoto de intrusos al equipo con permisos para realizar cualquier acción.

Debido a que el troyano además puede instalar otros componentes en el equipo y modificar los programas existenes, eliminarlo no es tarea sencilla, por lo tanto aquellos que resultaron infectados deberán formatear el disco e instalar Mac OS X nuevamente pueden utilizar la herramienta gratuita de SecureMac para eliminarlo.

Para evitar correr este tipo de riesgos, lo recomendable es obtener la versión original de iWork ’09, cuyo precio es de USD$79, o descargar una versión de prueba por 30 días.

Link: Pirated iWork ’09 installer may contain trojan horse (Macworld)

Según la empresa ScanSafe, al ingresar al sitio ParisHilton.com se abre una ventana emergente que ofrece a los visitantes la opción de descargar un programa. Sin embargo, sin importar si se elije la opción “Yes” o “No”, el sitio intentará descargar al equipo un trojano llamado Trojan-Spy.Zbot.YETH, por lo tanto la única manera de evitar ser infectado es cerrar el navegador desde el administrador de tareas de Windows.

Además, hasta el momento sólo 12 de 37 antivirus lograron detectar el virus, por lo tanto le recomendamos a aquellos que lo suelen visitar con frecuencia no hacerlo hasta que todo vuelva a la normalidad.

Link: Paris Hilton’s Web Site Infected With Malware (Information Week)

Troyano dice no a la piratería

Los troyanos no son nuevos y están esparcidos en toda la red, pero el comportamiento del Troj/Qhost-AC es único ya que aparentemente no tiene efectos maliciosos en el sistema operativo, sino que impide que se descarguen torrents de Mininova y ThePirateBay. Estamos ante un troyano que busca evitar las descargas ilegales.

Deshacerse de este troyano es relativamente fácil, ya que solamente hace un par de modificaciones a los archivos hosts. Como es de esperarse, los sistemas operativos basados en Windows son los susceptibles a infectarse con este troyano bienhechor.

Link: “Altruistic” Trojan blocks Piratebay and Mininova access (Download Squad)

La eterna discusión sobre si los Sistemas Operativos de Apple son más seguros que los de Microsoft tal vez nunca finalice, pero que ambos tienen vulnerabilidades nadie lo puede negar.

Esta semana se han detectado dos ataques importantes que afectan al Sistema Operativo Mac OS X. El primero llamado ‘OSX.RSPlug.D’ es una variante de un programa de antigua data (RSPlug), pero que ahora viene con un nuevo instalador.

El troyano se contacta con un servidor remoto para descargar archivos e instalarlos en la máquina infectada.

El troyano RSPlug original comenzó a circular por la red hacia Octubre de 2007 e instala un programa llamado DNSChanger que redirecciona el tráfico de Internet del usuario por medio de un DNS malicioso, con lo cual lleva a los usuarios hacia sitios de pishing.

El segundo ataque sufrido por el Sistema Operativo de Apple se denomina ‘OSX.TrojanKit.Malez’, aunque algunas empresas especializadas lo han denominado ‘OSX.Lamzev’.

Se trataría de una aplicación programada para abrir puertas traseras, pero los análisis de los especialistas han concluido que no es una amenaza importante producto que para que sea efectiva, requiere que el atacante tenga contacto físico con la máquina.

Link: Mac OS X targeted by Trojan and backdoor tool (ZDNET)