Vulnerability Team

El éxito de las plataformas móviles como Android o iPhone no ha pasado desapercibido para los ciberdelincuentes que cada vez con mayor frecuencia desarrollan nuevos ataques específicamente diseñados para vulnerar estos sistemas.

Aunque a día de hoy gran parte de los usuarios smartphones no conciben el peligro al que están expuestos, la adopción de programas de seguridad para móviles es una tendencia al alza que experimentará su despliegue masivo sin mucha dilación.

“El mercado de la seguridad móvil será un día mayor que el de los ordenadores“, vaticina Neil Rimer, cofundador del fondo Index Ventures, “la gente pagará para proteger sus dispositivos, y el mercado no será propiedad de una sola empresa”.
El número de amenazas para Android ha crecido un 400% en un sólo año

El número de ataques dirigidos contra Android ha crecido un 400% en un sólo año

Se calcula que el negocio del software de seguridad para móviles crecerá en un 50% hasta el próximo 2014, hasta alcanzar los 2.000 millones de dólares.

Todos los actores de la industria quieren tener su parte del pastel, tanto las compañías de seguridad tradicionales como McAfee como las operadoras de telefonía que también están empezando a ofrecer protección a sus clientes.

Los ciberdelincuentes utilizan diversos métodos para atacar a los usuarios de smartphones, pero sin duda, el éxito de las aplicaciones móviles supone una puerta a las infecciones ya que en muchas ocasiones los usuarios descargan apps sin comprobar su procedencia y autenticidad, de forma que están introduciendo el malware en su teléfono.

Eso es precisamente lo que ha ocurrido en el Android Market, en el que se retiraron un buen número de apps que habían infectado 250.000 terminales, pero “ha habido casos en todas las plataformas, Symbian de Nokia, iOS de Apple y Android“, según apunta John Hering, fundador de la firma de seguridad Lookout.

fuente: eweekeurope.es

Xuxian Jiang, profesor de la Universidad Estatal de Carolina del Norte y experto en seguridad informática ha descubierto la forma de explotar un agujero de seguridad para conseguir hacerse con información personal, que afecta a los usuarios del sistema operativo móvil de Google.

Jiang asegura que el error se encuentra en la última versión de Android 2.3 o Gingerbread y que no es demasiado difícil de explotar, ya que sólo se precisan conocimientos de Javascript y Android.

El investigador afirma que ya han llevado a cabo una prueba de concepto con un teléfono Nexus S y han comprobado que es posible aprovechar esta vulnerabilidad para robar información personal del usuario propietario del teléfono. Esta vulnerabilidad permite el acceso a parte de los datos almacenados en la SD


Para que el ataque sea efectivo es necesario que el usuario haga click en un enlace malicioso y a partir de ahí el atacante podría obtener acceso al dispositivo y cargar las aplicaciones alojadas en el sistema o parte de la información almacenada en una tarjeta SD en a un servidor remoto.

Desde Google aseguran que ya se han puesto en contacto con este investigador para desarrollar una solución a este fallo de seguridad que estaría disponible en la próxima actualización de Android Gingerbread.

Esta vulnerabilidad es muy similar a la descubierta el pasado mes de noviembre por el investigador de seguridad Thomas Cannon, que también alertó de un agujero de seguridad en el navegador de Android que podía ser utilizado por los ciberdelincuentes para acceder a información personal de la tarjeta SD.

fuente: eweekeurope.es

Este año está siendo muy agitado para los ciberdelincuentes, ya que en lo que llevamos de 2010 han conseguido producir el 34% de los virus que los expertos en seguridad han registrado en toda la historia.

Las cifras sobre la actividad de la industria del mal en lo que llevamos de 2010 son apabullantes, ya que en tan sólo diez meses, los cibercriminales han creado más de 20 millones de nuevos virus, la misma cifra de todo el año anterior.

Esta incesante generación de malware tiene como consecuencia otro dato aún más sorprendente: entre enero y octubre de este año se han creado el 34%, es decir, más de la tercera parte de todo el malware que se ha registrado en la historia, según los datos de PandaLabs.

La media de nuevas amenazas que se crean y distribuyen cada día ha aumentado desde 55.000 a 63.000 nuevos ejemplares diarios

A pesar de las espectaculares cifras, parece que a los hackers también les ha afectado la crisis, ya que “están aplicando tácticas de economía de escala, reutilizando códigos maliciosos antiguos o priorizando más la distribución de los que crean sobre la realización de otros nuevos”, según Luis Corrons, director técnico de PandaLabs.

También recalcan que la mayor parte de los virus que se crean tienen un tiempo de vida muy limitado, más de la mitad sólo estás activo 24 horas, tiempo suficiente para infectar unos pocos equipos y desaparecer.

fuente: eweekeurope.es

Uno de los grandes problemas que presentan las aplicaciones de Facebook es que su gran número de ususarios las convierten en un objetivo atractivo para la disufisón de distintos tipos de malware, que publiquen spam en los perfiles o que infectan los ordenadores.

Según estima BitDefender y recoge CNet, el 20 por ciento de los usuarios de los 500 millones con los que cuenta ya Facebook está infectado por algún tipo de malware. El análsis realizado por la compañía de seguridad, tras analizar 17 millones de publicaciones, ha detectado amenazas relacionadas a varios tipos de engaños.

Hay tres tipos aplicaciones con tipos de 'ganchos' que son las más populares: aquellas que permiten llegar a una función prohibida de Facebook, como saber quién visitó tú perfil (21,5%), aquellas aplicaciones que ofrecen ítems de regalo para los juegos, la principal vía de ingreso de intrusos (15,4%) o aquellas que ofrecen al usuario la posibilidad de cambiar el fondo del perfil o botones como 'No me gusta' a través de extensiones (11,2%).

En menor medida se encuentran, con un 7,1%, aquellas aplicaciones que aseguran nuevas versiones de juegos muy conocidos, aquellas que regalan teléfonos móviles (5,4%) o aquellas que parecen saber el método idóneo para visionar películas gratis en línea (1,3%).

Más allá de los ataques a travésde las aplicaciones, un 16 por ciento del malware que se ve en Facebook atrae a los usuarios a ver algún tipo de vídeo impactante y un 5 por ciento de los usuarios es infectado por los ataques del virus Koobface.

fuente: europapress.es

McAfee ha analizado más de 27 millones de sitios web para descubrir los dominios más peligrosos. El dominio web .COM es el que más riesgo entraña, y el dominio web de Vietnam (.VN) el más sospechoso de los relacionados con países. Por su parte, .JP (Japón) es el dominio web de país más seguro por segundo año consecutivo. El informe también desvela que el riesgo en la red se ha incrementado, pasando de un 5,8% (2009) a un 6,2% (2010).

“Este informe destaca la rapidez con la que los cibercriminales cambian las técnicas para atraer al máximo número de víctimas, evitando ser atrapados", afirma Paula Greve, directora de investigación de los laboratorios McAfee Labs. “El año pasado, el dominio .VN de Vietnam era relativamente seguro, y este año dicho dominio ha pasado a ser el tercero más peligroso. Los cibercriminales se dirigen a regiones donde el registro de sitios web es barato, cómodo y donde la posibilidad de ser atrapados es menor. Un dominio web que es seguro un año, puede ser peligroso al siguiente".

Los dominios de nivel superior, también conocidos como “TLD" (top-level domain), son los caracteres que se encuentran al final de las URL en los resultados. Mucha gente, con frecuencia, no pone atención al sufijo TLD cuando realizan búsquedas, y pulsan en el primer resultado que les parece interesante. Esto hace a los internautas vulnerables a los cibercriminales, quienes optimizan los sitios web para motores de búsqueda y se aprovechan de errores tipográficos como .CM en lugar de .COM.

El informe revela un cambio drástico en el ranking de dominios de países con .VN (Vietnam) que ha escalado hasta la tercera posición, desde la 39 que ocupaba en 2009. De hecho, el 58% de los sitios web registrados en Vietnam son calificados como arriesgados. En cambio, cuando se traslada ese dato a nivel mundial, encontramos que el índice desciende a un 29,4%, situándose por detrás de .COM en términos de riesgo.

Los cinco dominios web de países con más riesgo son:
- Vietnam (.VN) 29.4%
- Camerún (.CM) 22.2%
- Armenia (.AM) 12.1%
- Islas Cocos (.CC) 10.5%
- Rusia (.RU) 10.1%

Los cinco dominios web más seguros son:
- TRAVEL (sector turismo y viajes) 0.02%
- EDU (educación) 0.05%
- JP (Japón) 0.08%
- CAT (promoción de la lengua y la cultura catalana) 0.09%
- GG (Guernesey) 0.10%

fuente: diarioti.com

Es usual que los creadores de virus aprovechen celebraciones importantes para expandir sus virus, y Halloween no será una excepción. En esta ocasión es BitDefender pone como ejemplo a Win32.Worm.Prolaco, un gusano que está aprovechando la cercanía de Halloween para robar a los usuarios datos confidenciales, como números de cuenta, contraseñas bancarias o de correo, etc.

La distribución de Prolaco se está produciendo fundamentalmente a través de correos electrónicos que adjuntan una supuesta tarjeta de felicitación para esa fiesta, que en realidad oculta una copia del gusano. Si los usuarios abren dicha felicitación sus equipos quedarán infectados.

Una vez en el equipo, Prolaco debilita la configuración de seguridad local para poder llevar a cabo sus acciones maliciosas. Entre ellas, la inyección de código en el navegador para poder grabar todo lo que el usuario teclee durante su navegación por Internet, accediendo de esta manera a contraseñas, nombres de usuarios, etc.

Este gusano “todo-en-uno” también abre una puerta trasera en el equipo para recibir órdenes de su creador. De esta manera es capaz de realizar varias acciones maliciosas como modificar entradas en el Registro o en la configuración gráfica (resolución, frecuencia), iniciar o finalizar procesos, acceder a las unidades de memoria, escanear puertos, descargar /ejecutar archivos desde o hacia la memoria, terminar procesos del antivirus, robar contraseñas de los navegadores y cuentas de redes sociales, etc.

También puede robar las cookies, conectarse a servidores FTP, cargar los datos en los servidores de FTP, cambiar la configuración de servicios o monitorizar el puerto USB para propagarse con mayor facilidad.

fuente: itespresso.es

El virus Licat.a está expandiéndose rápidamente, según han detectado los laboratorios de Trend Micro.

Desde TrendLabs afirman que la expansión de Licat.a, tanto numérica como geográficamente, se está generalizando. El archivo malicioso PE_LICAT.A utiliza un domino de generación de algoritmo, la misma técnica empleada por el dañino Conficker y sus variantes.

Según la firma de seguridad, el archivo envenenado es malware que podría ser considerado como la forma más “clásica” de virus: aquel que utiliza la técnica de buscar otros tipos de ficheros e inyectar su propio código en estos archivos víctima. Cuando uno de los archivos infectados se abre, permite que el código malicioso se ejecute. En concreto, Licat busca archivos .EXE, .DLL y .HTML en el sistema infectado y los modifica, añadiendo estas rutinas maliciosas.

Al abrirse un fichero infectado, explican desde TrendLabs, Licat genera una secuencia de 800 direcciones de Internet del tipo http://{pseudorandom alpha characters}.biz/forum/. Y los caracteres pseudoaleatorios son generados utilizando una función basada en la fecha y hora del ordenador infectado. A continuación, el virus intenta conectarse a cada uno de esos destinos para descargar y ejecutar nuevos componentes y otras cargas útiles.

fuente: csospain.es

BitDefender ha lanzado una herramienta gratuita que permite a los usuarios infectados con Win32.Worm.Stuxnet eliminar esta amenaza.

Stuxnet es un gusano que ha saltado a la fama por infectar miles de ordenadores en Irán. Se trata de un ejemplar muy “especial" puesto que no parece diseñado para robar datos o dinero, sino simplemente para infectar ordenadores dirigidos, fundamentalmente, por un programa de Siemens. El objetivo final parece ser el de detener la maquinaria que maneja centrales y oleoductos.

Este ejemplar no tiene muchos precedentes y su alta sofisticación habla de un trabajo artesanal y elaborado, de meses de duración y de trabajo en equipo. Todo lo contrario al malware actual, elaborado mediante programas automatizados que sirven para generar troyanos, gusanos, etc.

La herramienta lanzada por BitDefender es capaz de eliminar todas las variantes conocidas de este ejemplar de malware así como los rootkits que están siendo utilizados para ocultar este gusano.

Win32.Worm.Stuxnet infecta por igual a todos los sistemas basados en Windows, si bien, ataca prioritariamente los sistemas SCADA (supervisory control and data acquisition) que tengan funcionando el software WinCC de Siemens.

El gusano se propaga aprovechando un gran número de vulnerabilidades de las versiones actuales de Windows. Además, puede ejecutarse a sí mismo desde un dispositivo extraíble tan pronto como el archivo .Ink haya sido leído por el sistema operativo.

Un aprovechamiento exitoso de esta vulnerabilidad supone la apertura de una puerta trasera en el equipo, así como la instalación de dos rootkits que ocultan tanto los archivos. lnk y como los .tmp que conforman el gusano.

fuente: BitDefender 

Una investigación llevada a cabo por Sourcefire, empresa creadora de un sistema de detección de intrusiones de red de código abierto llamada Snort, ha encontrado que el 96% de los directores y un 69% de los empleados utilizan dispositivos personales para realizar tareas del trabajo, y que un 71% mueven los datos en las redes corporativas a través de esos dispositivos.

Caso todos los empleados encuestados, un 98%, tenían cuentas de correo electrónico y uno de cada cuatro la había utilizado para trabajar durante el año pasado. El uso más frecuente fue el envío de correos electrónicos urgentes cuando el correo electrónico de la empresa estuvo estropeado (18%), mientras que un 12% lo utilizó para recibir documentos legítimos que el firewall de la compañía había estado bloqueando.

Un 83% de los empleados admitieron que tales acciones suponían un riesgo para la seguridad TI de las organizaciones, pero si lo prohibieran uno de cada tres lo seguiría haciendo; de hecho un 27% afirmó que la compañía debería estar contenta por su compromiso para completar su trabajo.

Tres cuartas partes de los empleados que respondieron al estudio, realizado en Inglaterra, afirman que el gobierno debería hacer más para proporcionar un entorno de internet seguro, pero al mismo tiempo un 60% de los directores de seguridad TI critica las iniciativas gubernamentales para combatir el cibercrimen.

fuente: itespresso.es