Falso correo de McDonald’s con malware

En los últimos días se ha estado propagando un nuevo spam conteniendo adjunto un archivo malicioso. Se trata de un correo que supuestamente proviene de la empresa McDonald’s deseando una feliz navidad.



El mismo se propaga bajo el asunto “Mcdonalds wishes you Merry Christmas!” y contiene un archivo adjunto llamado coupon.zip. Este archivo comprimido aloja un gusano orientado a controlar el equipo de la víctima. ESET NOD32 detecta esta amenaza bajo el nombre de Win32/Mydoom.NAI (sí, no es un error, el viejo y conocido MyDoom).

Si alguno de nuestros lectores ha sido tomado por sorpresa por este malware, de más está decir que inmediatamente, exploren las unidades del equipo con ESET NOD32 actualizado.

¿Quién dijo que estas fiestas serían diferentes para el malware?

FUENTE: ESET LAB

¿Qué es Koobface?

¿de qué se trata realmente Koobface? ¿vale la pena crear tanto revuelo por este troyano?

Detectado por ESET NOD32 como Win32/Koobface (un anagrama de la conocida red social Facebook) es un troyano orientado a propagarse por la red social del mismo nombre y Myspace, dependiendo de la versión que se trate. Su origen se remonta a agosto de 2008 y para nada se trata de un troyano de reciente aparición o de algo especial que las empresas antivirus deban tratar con cuidado.

Sus características son las siguientes:

* Como cualquier troyano, busca alojarse y permanecer en el sistema del usuario, controlando ciertas acciones que en este caso es el login en una de las redes sociales mencionadas y la obtención de credenciales del usuario.
* Se copia al sistema con distintos nombres según la versión analizada.
* No tiene características de rootkit o alguna otra que dificulte su remoción.
* Busca cookies y credenciales de login a las redes sociales.
* Modifica la clave RUN del registro para autoejecutarse al encender el equipo.
* Al instalarse por primera vez en el sistema, muestra un mensaje en inglés sobre la invalidez de un codec (”Error installing Codec. Please contact support”) y luego se autoelimina.
* Si el usuario ingresa a una de las redes sociales mencionadas el troyano envía un mensaje a todos los contactos del mismo, con un enlace a un Youtube falso como se ve a continuación:




* El contacto que caiga en la trampa e ingrese al sitio web verá un mensaje mencionado la falta de un codec y al descargarlo se infectará, continuando la cadena. Como puede verse este punto es el único que hace que el troyano tenga relación con una red social.

¿Por qué Koobface no representa el peligro con el cual lo anuncian?

* Koobface no es un virus, es un troyano
* Koobface no infecta redes sociales, porque eso no es posible. Como siempre, los infectados son los usuarios en dichas redes y utiliza a los contactos para continuar la propagación.
* No sólo los usuarios de Facebook deben tener cuidado, sino también los de Myspace y cualquier otra red ya que Koobface podría ser modificado en el futuro cercano.
* El troyano no representa peligro alguna para la red social.
* Cualquier antivirus actual es capaz de detectarlo y eliminarlo.
* Cualquier usuario puede darse cuenta del engaño al ver un mensaje como el mostrado en la imagen.

En este caso la noticia se está exagerando al punto de llegar a la Wikipedia y como siempre debemos tener cuidado, informarnos y no tener miedo. Facebook también ha publicado información al respecto.

FUENTE: ESET LAB

Postales falsas enviadas por Messenger vacían cuentas

Cada vez es más común saber de ataques de phishing que no son el fin en sí mismos si no el vehículo para sembrar malware y en los cuales no media la intervención del usuario a partir de que descargó un archivo malicioso al sistema de su PC. Este ataque afecta a usuarios de banca en línea de instituciones mexicanas.


Un nuevo engaño que afecta a usuarios de Windows Live Messenger consiste en que una postal electrónica falsa a nombre de Metropostales es distribuida a través de la lista de contactos de la cuenta del usuario cuya PC ha sido infectada.



Hasta esa parte, pareciera un viejo gusano cualquiera que se distribuye automáticamente a través del Messenger el cual abre ventanas a la lista de contactos de la cuenta infectada con un mensaje del tipo ‘te envío esta postal, espero que te guste’ con una liga a una página Web la cual no descarga automáticamente el malware, sino que dirige a la víctima a una página apócrifa de Metropostales.




Ahí se le pedirá al usuario que descargue la postal y es en este momento cuando realmente descargará el malware. De acuerdo con un reporte de Juan Pablo Castro, consultor de tecnología de Trend Micro, este tipo de malware ayudará a los cibercriminales a tomar el control de la PC.



Castro indica que luego de secuestrar el sistema operativo de la PC de la víctima los atacantes cambian en el sistema el archivo de hosts en cada máquina infectada para que cuando la víctima tecleé en el navegador la página de un banco en línea, por ejemplo, sea redirigido automáticamente y sin que lo perciba a una página Web fraudulenta.



El experto en seguridad señala que en este momento el sitio de banca en línea de una institución mexicana que está siendo atacado es el Banco del Bajío.



El reporte señala que los atacantes están agregando las líneas al archivo de hosts (C:\Windows\system32\drivers\etc\hosts) 66.7.194.122 y 66.7.194.122. De esta manera, si el usuario escribe la página bb.com.mx en el explorador es redireccionado a otra página que no es la del banco deseado.



“Esto sucede sin ninguna intervención del usuario, al igual que el envío de mensajes a toda la lista de contactos del Messenger”, explicó Castro.


Las consecuencias ya son conocidas, los atacantes copian el usuario y contraseña de la víctima así como sus números de tarjetas bancarias y proceden a vaciar las cuentas a las que tengan acceso.

Fuente: ESET LAB

A ti que te gustan los EMOTICONES GRATUITOS

A veces no nos damos cuenta de lo que entregamos a cambio de cosas sencillas. Digo esto porque en el ejemplo que sigue estamos dispuestos a entregar nuestra privacidad (por supuesto a veces sin saberlo) a cambio de un simple emoticón.

Este tipo de engaños es muy frecuente en Internet y lamentablemente muchas veces terminamos haciendo el caldo gordo a los delincuentes. En este caso se simula una ventana de chat y en cualquier lugar que el usuario haga clic, será redireccionado a la descarga de un adware:



El adware puede ser cualquiera, pero en este caso se trata de Hotbar, que ya fuera objeto de análisis en ESET Latinoamérica por su carácter invasivo y lo complicado que suele tornarse removerlo del sistema.

Por eso, pensemos lo que estamos dispuestos a entregar a cambio de una simple “carita sonriente”.

Fuente:ESET LAB

Llegaron las felicitaciones maliciosas

"Como ya se está volviendo costumbre en navidad y en el día de San Valentín, en todo el mundo comenzaron a circular las tarjetas navideñas con malware integrado."

Al acercarse la temporada navideña los autores de códigos maliciosos están recurriendo a estas temáticas, como acostumbran particularmente es estas fechas y en el día de San Valentín.




Un reporte de Websense dio a conocer que están circulando correos electrónicos que contienen un vínculo a un sitio en Internet donde se puede visualizar la tarjeta enviada incluso hasta por un conocido. Sin embargo, conducen en realidad a la puerta trasera de un troyano que infectará la computadora para tomar control de ella.

“Los mensajes de correo electrónico aparecen como si hubieran sido enviados desde el despliegue de un escenario navideño animado en el dominio postcards.org. Una liga URL dentro del correo conduce a un archivo malicioso llamado postcard.exe hospedado en varios servidores”, indica el reporte.


Es hasta que el usuario pretende visualizar la tarjeta animada cuando el troyano es descargado al sistema. Una vez ejecutado el malware, el atacante podrá tener control de la máquina infectada. Mientras el troyano está siendo instalado en la PC, se despliega una imagen llamada xmas.jpg con el fin de distraer al usuario.

Accesos directos que ejecutan malware

Se trata de un mensaje en idioma alemán donde se aclara que se ha realizado una transacción de un determinado monto de dinero y que para obtener mayor información, se debe recurrir al archivo adjunto. El correo electrónico es un spam como el siguiente:



El archivo adjunto contiene una carpeta llamada “scann”, que en su interior aloja un archivo llamado “scann.a”, un malware que ESET NOD32 detecta bajo el nombre de Win32/AutoRun.FakeAlert.AD, y un acceso directo con el mismo nombre que el archivo adjunto.


Y, precisamente en este acceso directo se encuentra lo llamativo, ya que el mismo se encuentra asociado al archivo “scann.a” a través de la siguiente instrucción: %windir%\system32\cmd.exe /c scann\scann.a

Es decir, el usuario que haga doble clic sobre el acceso directo, estará ejecutando bajo línea de comandos el código malicioso. Por lo tanto, es importante adoptar buenas prácticas de no descargar ni ejecutar archivos adjuntos e instalar un antivirus con capacidades de detección proactiva capaz de detectar estas nuevas amenazas.

Fuente: ESET LABS

Troyanos en archivos PDF

En la última semana se ha comenzado a propagar vía spam gran cantidad de malware en scripts y exploits alojados en archivos PDF especialmente manipulados para ese fín. Este incremento se debe a la reciente publicación, por parte de Adobe, de una actualización crítica en su popular producto Adobe Reader. Aquellos usuarios que no hayan actualizado su sistema son potenciales víctimas de este ataque.

Estos scripts dañinos son utilizados para descargar e instalar malware en el equipo del usuario. Por lo tanto, la posibilidad de detección de un antivirus recae en dos puntos: por un lado detectar el scripts o exploit insertado en el archivo PDF y, por el otro, la detección del malware descargado.

En el primer caso ESET NOD32 detecta proactivamente los archivos manipulados, como variantes del troyano PDF/Exploit.Pidief y, en el segundo, el malware descargado puede ser cualquiera, por lo que dependerá de cada caso.



Por eso, es fundamental actualizar a la última versión de Adobe Reader para evitar ser víctimas de estos exploits y, además contar con un antivirus con capacidades de detección proactiva que permita detectar posibles nuevas variantes de este ataque.


Fuente: Eset Labs