Actualizate de los nuevos virus

phishing para visa

Nos acaban de reportar decenas de casos de Phishing a Verified by VISA por lo cual seguramente se ha iniciado una nueva campaña masiva de propagación de correos falsos a esta entidad.

El correo que llega es el siguiente:



Ese correo dice provenir de "[email protected]" lo cual por supuesto no es verdad. Si el usuario prestara atención, los errores de ortografía y de formato podría ser una pista de su falsedad.

Si se hace clic sobre el enlace, el usuario como siempre es redirigido al sitio que figura en la imagen:

Ver imagen

Como puede verse se trata de un servidor identificado por su IP, lo cual hace más obvio el engaño.
La gran cantidad de información que solicita el formulario hace evidente que los delincuentes podrían realizar un robo completo de identidad desde el correo electrónico, la dirección postal y los datos de la tarjeta de crédito:

Información de Pago

•Nombre de Tarjeta
•DNI
•Fecha de nacimiento
•Clave de seguridad
•Número de tarjeta (16 digitos)
•Tipo de tarjeta
•Banco Emisor
•Código de 4ta Línea
•Fecha de Vencimiento
•Código de seguridad
•Nombre del titular de la Tarjeta
•Limite de Tarjeta
•Saldo de Tarjeta
Información de Facturación

•Key
•Dirección
•Calle y número
•Colonia
•Ciudad
•Estado
•Código Postal
•Email
Una vez más, las entidades no envían estos correos y por lo tanto no ingrese información sensible en cualquier sitio o mejor aún, elimine el correo directamente.

El sitio falso ya es detectado por algunos navegadores y gracias a todos los que nos reportaron el caso.



kaspersky el virus stuxnet marca el nacimiento de un mundo cyberterrorista y guerras virtuales

Kaspersky Lab considera que Stuxnet es el prototipo funcional de una “ciber-arma", que dará el pistoletazo de salida a una nueva guerra armamentista en el mundo. En esta ocasión, será una carrera “ciber-armamentista".

Diario Ti: Ante el caudal de discusiones y especulaciones generado a raíz de la aparición del gusano informático Stuxnet, en especial sobre quién está detrás del ataque y cuáles son sus objetivos, Kaspersky Lab ha hecho públicas sus primeras reflexiones sobre este hecho.

Kaspersky Lab aún no ha podido acceder a un volumen de evidencias suficiente como para identificar a los atacantes, o el blanco objetivo, pero los expertos en seguridad en informática de la compañía coinciden en que se trata de un ataque singular y sofisticado mediante malware, perpetrado por un equipo con acceso a abundantes recursos financieros, un elevado nivel de preparación y un profundo conocimiento de tecnologías como SCADA.

Los expertos de Kaspersky consideran que no es posible llevar a cabo un ataque de este tipo sin el apoyo y respaldo de un estado-nación.

Ya se refirió a este asunto Eugene Kaspersky, fundador y presidente de Kaspersky Lab: “Creo que representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales". En rueda de prensa celebrada recientemente en Munich con periodistas de todo el mundo, durante el Simposio de Seguridad Kaspersky, el máximo ejecutivo de Kaspersky Lab no dudó en calificar a Stuxnet como “la apertura de la Caja de Pandora".

Según Eugene Karpersky, “este programa malicioso no ha sido diseñado para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo. Los 90 fueron la década de los cibervándalos, la década del 2000 fue la de los cibercriminales, y tengo la sensación de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo", concluyó Kaspersky.

Los investigadores de Kaspersky Lab han descubierto que el gusano explota cuatro vulnerabilidades distintas de “día cero". Los analistas de la firma informaron de tres de ellas directamente a Microsoft, y colaboraron estrechamente con esta compañía para la creación y distribución de los parches.

Además de explotar dichas vulnerabilidades de “día cero", Stuxnet también hace uso de dos certificados válidos (de Realtek y JMicron), gracias a los que pudo permanecer sin ser descubierto durante un periodo bastante largo de tiempo.

La intención final de este gusano era acceder a sistemas de control industrial Simatic WinCC SCADA, que controlan procesos industriales, infraestructuras e instalaciones. Oleoductos, centrales eléctricas, grandes sistemas de comunicación, navegación aérea y marítima, e incluso instalaciones militares, utilizan sistemas similares.

El conocimiento exhaustivo de estas tecnologías, la sofisticación del ataque a distintos niveles, el recurso a múltiples vulnerabilidades de “día cero" y el uso de certificados legítimos hace que los ingenieros de Kaspersky Lab estén prácticamente seguros de que Stuxnet fue creado por un equipo de profesionales altamente cualificados con acceso a una enorme cantidad de recursos y fondos.

Tanto el blanco del ataque como la geografía donde se han detectado los primeros brotes (principalmente Irán), inducen a pensar que no se trata de un grupo cibercriminal normal. Es más, los expertos en seguridad de Kaspersky Lab, que han analizado el código del gusano, insisten en que el objetivo principal de Stuxnet no ha sido sólo el de espiar sistemas infectados, sino también el de llevar a cabo acciones de sabotaje. Todos estos hechos apuntan al hecho de que es muy probable que algún estado-nación, con acceso a grandes volúmenes de información de inteligencia, haya dado cobertura al desarrollo de Stuxnet.

ULTIMAS VARIANTES DE STUXNET​

Preocupados por las noticias del STUXNET, y dada su vinculación con ficheros .LNK, hemos analizado los ficheros complementarios .LNK que veíamos eran creadas por las ultimas variantes del WORM.VBNA, (aparte de los ya conocidos a carpetas del directorio principal), los cuales ejecutan DLL maliciosas, cuyas variantes vamos controlando , y eliminando, tras lo cual poco importan después, pero ahora sabemos que su funcionalidad se basa en el exploit utilizado por el STUXNET, el CEV-2010-2568

"Exploit/LNK.CVE-2010-2568.0A5A
Overall Risk Rating: Medium Distribution Potential: Medium Damage Potential: High
In The Wild: Yes Vulnerability: CVE-2010-2568 Discovered: 2010-07-20
Size: 157 Bytes Language: All Compression: None
Affected Platforms: Windows Vista, Windows XP, Windows 2003
OverviewTechnical DetailsA vulnerability exists in Windows Shell of Microsoft Windows XP SP3, Server 2003 SP2, Vista SP1 and SP2, Server 2008 SP2 and R2, and Windows 7, which allows local users or remote attackers to execute arbitrary code via a crafted .LNK shortcut file. It is able to spread via removeable devices. When unsuspecting user opens directory which contains the said .LNK file, malicious components will be loaded automatically and leading to further system compromise"

Se recuerda que esta vulnerabilidad permite la autoejecucion de los ficheros .LNK desde pendrives, aunque no sean llamados por el AUTORUN.INF, por lo que las protecciones habituales no lo protegen, dado que se trata de un ZERO DAY

Gracias al parche de Microsoft sacado en Agosto de este año, parece que ello ya queda solucionado en los equipos que se instale dicho parche, gracias a lo cual no hace falta aplicar la opcion /LNK del EliPen, que solo cabe aplicar en casos extremos. Ver http://www.microsoft.com/technet/securi ... 0-046.mspx

De las 15 variantes que controlamos del WORM.VBNA, (con el ELIVBNA), solo las 4 últimas crean dichos ficheros y aprovechan la vulnerabilidad en cuestión, y si bien con el EliVBNA solucionamos el problema, no sabiamos hasta ahora para qué mala intención servía la DLL creada (que en cualquier caso eliminabamos) y los ficheros complementarios indicados (que quedan inútiles sin la DLL indicada), lo cual queda aclarado una vez visto el analisis de la última muestra recibida y todo lo relacionado con ella:

Crea fichero AUTORUN.INF ejecutando el malware: shELlEXeCuTe=hbFeoM.EXE

Este crea enlaces de acceso directo de las carpetas del directorio principal, manteniendo su icono y haciendo con ellos doble función, la de ejecucion del malware y luego entrada a la carpeta indicada:


F:hbfeomx.exe Focuments
F:hbfeomx.exe F:Music
F:hbfeomx.exe F:New Folder
F:hbfeomx.exe Fictures
F:hbfeomx.exe F:Video


y además crea en las unidades removibles, fichero malicioso DLL y .lnk apuntando a él


los troyanos alcansan el liderasgo en malware en 2010

Los troyanos han vuelto a despuntar en el análisis de la actividad vírica mundial durante el tercer trimestre del año, ya que el 55 por ciento de todas las nuevas amenazas creadas durante esos tres meses pertenecían a esta categoría.

Entre los meses de julio y septiembre, los métodos tradicionales de infección mediante recepción de correos electrónicos ha disminuido, a la vez que aumentaban los usuarios afectados por otros sistemas más modernos: uso de funcionalidades de redes sociales, como el conocido clickjacking (botón “Me gusta” de Facebook); por falsas webs bien posicionadas en buscadores (BlackHat SEO) y por el aprovechamiento de vulnerabilidades 0-Day

Además, el sistema operativo de Google para smartphones, Android, se ha convertido en blanco de los hackers y han aparecido varias amenazas enfocadas sobre todo a conseguir sobrefacturación de servicios y a la geolocalización de los terminales.

Datos de malware
Pocas sorpresas en cuanto a número de malware: el 55 por ciento de las nuevas amenazas creadas en este trimestre son troyanos, y en su mayoría, bancarios. Los niveles siguen la tendencia observada en los últimos dos años, de aumento de las amenazas pertenecientes a esta categoría.



En cuanto al ranking de países con mayor ratio de infecciones, Taiwán lidera la lista, seguido de Rusia, Brasil, Argentina, Polonia y España.

Respecto al spam, el 95 por ciento de todo el correo electrónico que se movió a través de Internet en este trimestre eran correos no solicitados. El 50 por ciento de todo el spam se ha emitido desde sólo 10 países, encabezados por India, Brasil y Rusia. Por primera vez, el Reino Unido desaparece de este ranking como emisor de spam.

Récords en métodos de infección no tradicionales
Cabe reseñar en esta edición el récord de infecciones registrado a través de métodos de distribución de amenazas que ya se están convirtiendo en los habituales: a través de la red social Facebook, secuestrando el botón de “Me gusta” para redirigir a usuarios a otras páginas (método conocido como clickjacking); mediante el posicionamiento de web falsas en motores de búsqueda, técnica de BlackHat SEO, y por el aprovechamiento de vulnerabilidades 0-Day.

Un trimestre lleno de sobresaltos
Este trimestre nos ha mantenido en vilo en cuanto a eventos de seguridad se refiere. Hemos asistido a lo que ha sido un conato de gran epidemia, como las antiguas provocadas por los conocidos virus tipo ILoveYou o Sircam, con el gusano “Here you Have”, que ha conseguido tener un gran impacto y cuya autoría parece que ha sido reivindicada por un grupo de la resistencia iraquí.

Además, se ha hablado mucho de dos graves errores en el código del sistema operativo de Microsoft, vulnerabilidades 0-Day. Una de ellas, podría haber sido aprovechada para atacar sistemas SCADA (en concreto, centrales nucleares), aunque no se ha podido confirmar tal rumor.

Otra gran noticia relacionada con seguridad, en este caso, buena, es la detención del autor del kit de botnets Butterfly, origen de la ya conocida red Mariposa, que afectó a 13 millones de ordenadores a nivel mundial.

Casi al final del trimestre surgía el llamado gusano Rainbow o OnMouseOver. Una vulnerabilidad en el código de la popular aplicación Twitter permitía inyectar código JavaScript para realizar diferentes acciones: redirigir visitas a páginas, publicar sin el consentimiento ni conocimiento del usuario en su timeline el javascript, etc. Problema que Twitter solventó en sólo unas horas.

Android está en el punto de mira de los hackers
En estos tres meses también hemos asistido a lo que pudiera ser el despegue de amenazas para smartphones, ya que parece que los hackers han puesto sus ojos en Android, el sistema operativo de Google.

Han aparecido dos aplicaciones desarrolladas específicamente para esta plataforma: FakePlayer, que se hacía pasar por un reproductor de vídeo, se reenviaba mediante mensajes SMS y cuando el usuario lo utilizaba generaba una sobrefacturación de un servicio de telefonía sin que la víctima lo supiera; y TapSnake, una aplicación disfrazada de juego que enviaba por geolocalización las coordenadas del usuario a una empresa de espionaje.

Además, comienzan a aparecer las primeras aplicaciones de Android legítimas, comprimidas con autoextraíbles, que infectan las máquinas en las que se trata de descomprimir la aplicación. Es decir, se están empezando a usar las aplicaciones de Android como reclamo para infectar PCs a través de autoextraíbles.
Fuente



Comentario:
Y añado que se empiezan a detectar troyanos como las últimass variantes del AUTORuN.VBNA que, ademas de lo conocido inicialmente, aprovechan el agujero del STUXNET (CVE-2010-2568) para propagarse por pendrive sin AUTORUN.INF ... es lo último acontecido.

tras el reciente virus en el facebook relativo a sorprendente esta chica se suicido despues de que su padre envio esta foto llega hoy este otro aviso de spam sobre la foto mas cara del milenio
​

Actualmente circula el siguiente mensaje por Facebook:

En este caso el atacante estaría utilizando técnicas sociales para distribuir masivamente un código, dado que el mensaje nos invita a acceder a una aplicación de Facebook (y no a una foto como prometen), supongo que la aplicación hará algo más que mostrar una foto. El siguiente gráfico, que muestra lo que se obtiene al hacer clic en este enlace, nos pide permiso para ejecutar una aplicación que accederá a nuestra información básica.

¿Qué es lo que conseguirá el atacante?
Lo que el autor de esa aplicación obtendrá es una lista de usuarios de Facebook con los datos básicos de su perfil que el usuario tenga compartidos. Y con esa información un hacker puede hacer maravillas:

•Puede vender esa información a terceros.
•Puede usar los datos para inferir nuestro perfil socioeconómico.
•Puede usar los datos para inferir nuestra contraseña.
•Puede averiguar dónde vivimos.
•Puede saber nuestro teléfono; una llamada le costaría saber si estamos o no en casa.
•Puede usar esa información para realizar un ataque de ingeniería social más personalizado.
•Todo lo que a usted se le ocurra.
•Etcétera.
Fuente



Comentario:
Pues cuidado con ellos y con los datos que se depositan en todas las Redes Sociales ...

saludos