Entradas

Campana renta mail malicioso

Hoy empieza la campaña de Renta 2016 y ya se han empezado a recibir correos intentando suplantar a la Agencia Tributaria. Estos correos contienen un fichero adjunto malicioso.

Detalle del falso correo

Sólo con mencionar a la Agencia Tributaria a más de uno le habrá entrado el pánico y habrá corrido a abrir el fichero adjunto al correo.

Los correos tienen el siguiente formato:

Mail renta

Correo malicioso suplantando la Agencia Tributaria

El fichero Word adjunto, contiene macros que ejecutan código malicioso. Estas macros están desactivadas, es por eso que lo primero que intentan los delincuentes es conseguir que, al abrir el fichero, los usuarios permitan la ejecución de estas macros, algo que en esta ocasión se realiza de forma bastante explícita.

Análisis

A pesar de que el documento es detectado por varias soluciones antivirus, en este caso tan sólo se encarga de descargar otro malware y éste se ejecuta en el sistema. Es una variante del conocido troyano Win32/Neurevt, que roba información confidencial del usuario (contraseñas, información sobre el sistema operativo utilizado, etc).

Conclusión

El uso de la Agencia Tributaria como gancho para intentar conseguir un mayor número de víctimas justo cuando empieza la campaña de la Renta es algo a destacar. Por este motivo recomendamos no abrir este tipo de correos, incluso si provienen de remitentes de confianza.

Además, si las macros vienen desactivadas por defecto en el documento Word adjunto, es por un buen motivo y no debemos activarlas, y así evitar que malware se ejecute.

Recomendaciones

En primer lugar, tener una buena política de Backups bien diseñada y fiable. No es nada aconsejable tener a la misma red el repositorio de backups, ya que el virus podría ser capaz de encriptar los mismos y inutilizarlos. Recomendamos realizar copias de seguridad regularmente y tenerlas fuera del edificio, ya sea mediante apoyos externos (USB, LTO) o mediante copias en la Nube.

Tener un buen antivirus actualizado y bien configurado. En Infordisa recomendamos el uso de ESET NOD32 en todos los equipos y Servidores de la red.

Si no tiene ninguna estrategia de copias, o requiere de un nuevo o actualización de su antivirus, consúltenos y le asesoraremos de la mejor manera para proteger la continuidad de su negocio.

Estos son algunos artículos que te resultaran interesantes

Ransomware a moviles

El virus Ransomware no para de extenderse. En el primer trimestre de este 2016, se han descubierto más de 5.000 versiones a 21 aplicaciones móviles: un 24% que el trimestre anterior.

En qué aplicaciones se ha descubierto?

Han sido muchos tipos de aplicaciones pero, sobre todo las aplicaciones que pueden contener Ransomware son aquellas de streaming de vídeos, de control de estado del usuario o de planificación de viajes.

Como entra en los dispositivos móviles?

Los clientes no están actualizando el software de sus dispositivos. Por este motivo, los agujeros de seguridad no se cierran: una puerta abierta para la entrada de virus.

Cómo se produce el delito?

El método implica el uso de dos o más apps para lanzar un ataque más sofisticado. Este ataque se basa en el robo de datos sensibles del usuario. Se puede producir cuando se intercambia información con otros usuarios o cuando se envía información a una aplicación que puede realizar transacciones financieras.
Por otro lado, también existe el riesgo de que pueda utilizar una aplicación que puede controlar un servicio del sistema. Es entonces cuando puede controlar y dar órdenes desde otras aplicaciones para cambiar el funcionamiento del teléfono.

Cómo se puede evitar?

Ha habido muchos esfuerzos para mejorar la seguridad de los dismóvil, pero continuamente aparecen nuevas amenazas que tratan de ocultar Ransomware a la vista. Por este motivo, es muy importante hacer que cada vez sea más difícil para las aplicaciones maliciosas encontrar un hueco donde entrar en los dispositivos personales. Es necesario desarrollar nuevas técnicas y herramientas para conseguir aplicaciones móviles más inteligentes.

Desde Infordisa se recomienda tener el software actualizado de todos los dispositivos móviles que disponga el usuario o la empresa.

Moose virus

Investigadores de ESET han publicado recientemente un documento técnico donde analizan un nuevo gusano que infecta routers, con el objetivo de cometer fraudes en redes sociales. Después secuestrar las conexiones a Internet de las víctimas, el virus puede poner “Me gusta” en publicaciones y páginas, “ver” vídeos y “seguir” otras cuentas.

QUE ES MOOSE?

El malware, que los investigadores Olivier Bilodeau y Thomas Dupuy denominaron Linux / Moose, infecta los routers basados en Linux y otros tipos de dispositivos que funcionan con este sistema. Una vez infectados, esta amenaza busca y elimina otras infecciones de malware ya existentes para no tener competencia en el consumo de los recursos limitados de estos dispositivos y, seguidamente, busca otros routers para infectarlos.

moose-virus-como-funciona

Sin embargo, el gusano Moose no se basa en ninguna vulnerabilidad propia de estos dispositivos. Simplemente aprovecha las ventajas que ofrecen los dispositivos poco seguros para el uso de credenciales débiles de inicio de sesión.

AMENAZA PARA EL INTERNET DE LAS COSAS

Lamentablemente, esto significa que, además de los routers, también habría otros dispositivos que podrían verse afectados por este gusano como un daño colateral accidental. El equipo de ESET cree que incluso los dispositivos médicos, como las bombas de infusión de ciertas marcas, podrían resultar afectadas por el gusano Linux / Moose.

Sin embargo, las principales víctimas del gusano son los routers. Las siguientes marcas de dispositivos ya se identificaron como vulnerables: ACTIONTEC, Hik Vision, Netgear, Synology, TP-Link, ZyXEL y Zhone.

Esta preferencia por los routers es comprensible ya que son dispositivos permanentemente conectados a Internet que los usuarios instalan y después, en la mayoría de casos, no actualizan o ni siquiera cambian las contraseñas que vienen por defecto. Sin embargo, con la proliferación de dispositivos de todo tipo conectados a Internet no sería raro que los atacantes buscaran nuevos objetivos en un futuro cercano.

FINALIDAD DE MOOSE

El informe técnico de esta amenaza proporciona un análisis detallado del gusano Moose, los métodos que pueden emplear los usuarios para determinar si sus dispositivos están infectados, e instrucciones para la desinfección. Más importante aún, se proporcionan consejos de prevención para evitar la reinfección.

Sin embargo, probablemente el más interesante de todo sea tratar de comprender la finalidad con la que se creó el gusano Moose.

Durante la investigación, el equipo de ESET observó que el gusano creaba cuentas falsas en sitios como Instagram, y automáticamente seguía a los usuarios. En muchos casos, el incremento de seguidores se frenaba durante algunos días, tal vez para no hacer saltar los sistemas de alarma automatizados implementados por las redes sociales para identificar conductas sospechosas.

moose-redes-sociales

La triste realidad es que hay muchos individuos y empresas que se las ingenian para manipular su reputación en los medios sociales. A veces no se tienen reparos en contratar a terceros que les ofrecen un incremento en la cantidad de visualizaciones de un vídeo corporativo, añadir seguidores en Twitter o conseguir más fans de Facebook.

A menudo, estos “terceros” se ponen en contacto con otras empresas. El peligro radica en que puedan contratar criminales (quizás sin siquiera saberlo) con acceso a la botnet de routers infectados con Moose para llevar a cabo el fraude de medios sociales solicitado.

El hecho de que no se trate de fans o visualizaciones de vídeos “reales” probablemente pase desapercibido, o sea ocultado por los equipos de marketing deseosos de impresionar a sus jefes.

OTROS FINES MALICIOSOS

Además del fraude en las redes sociales, el papel de ESET también considera que el malware podría usarse potencialmente para realizar otras actividades, como ataques de denegación de servicio distribuido (DDoS), la exploración de redes específicas (donde trabaja arduamente para pasar los cortafuegos) y actividades de espionaje o secuestro de DNS (pudiendo conducir a sitios de phishing y otros ataques de malware).

Tampoco debemos olvidar otras posibilidades como, por ejemplo, utilizar los routers infectados como proxy y conectarse a través de ellos, haciendo más difícil la localización de los delincuentes.

CONCLUSIÓN

Una vez más, se les recomienda a los consumidores permanecer atentos, asegurarse de tener instalados los últimos parches de seguridad, y nunca utilizar las contraseñas predeterminadas o fáciles de adivinar en sus dispositivos conectados a Internet.

Per obtenir molta més informació sobre l’amenaça i la forma de protegir-te, llegeix el paper tècnic de l’equip d’experts de ESET “Dissecting Linux / Moose” (en anglès).

Artículo original del blog We Live Secutity de ESET

Cryptolocker solucion

Estas últimas semanas seguramente ha oído hablar a compañeros o conocidos, sobre un virus que entra en los equipos, encripta la información que tenemos, y pide posteriormente un rescate. Se trata del virus Cryptolocker, y si lo prevenimos, lo podemos evitar. A continuación os explicamos cómo.

¿Qué es Cryptolocker?

En los últimos meses todo el mundo ha oído hablar de este virus ya que algún amigo cercano seguramente ya lo ha sufrido. Cryptolocker es uno de los Virus más famosos y más peligrosos de los últimos años que está atacando con fuerza durante este mes a través de nuevas mutaciones inutilizando miles de Equipos y Servidores. Este Malware utiliza sofisticadas técnicas de cifrado de datos para inutilizar documentos importantes. Se recibe mediante e-mail y el equipo se infecta a través de la descarga de sus archivos adjuntos, los cuales no son detectados por los antivirus.

¿Cómo desinfectarme?

Actualmente no hay ninguna manera fiable de desencriptar los archivos. La única solución es recuperar el sistema mediante backups previos a la infección. En cualquier caso, pagar a los hackers no es garantía de solución eficaz. Algunos antivirus pueden eliminar el virus en sí, pero no recupera los datos.

¿Cómo prevenir el desastre?

En primer lugar hay que tener una buena política de Backups bien diseñada y fiable. No es nada aconsejable tener en la misma red el repositorio de backups, ya que el virus podría ser capaz de encriptar los mismos y inutilizarlos. Recomendamos realizar copias de seguridad regularmente y tenerlos fuera del edificio, ya sea mediante soportes extraibles (USB, LTO) o copias en la Nube.

Tener un buen antivirus actualizado y bien configurado. En Infordisa recomendamos el uso de ESET NOD32 en todos los equipos y Servidores de la red. Llámenos y le enseñaremos cómo configurar correctamente su antivirus y protegerse de los ataques.

Si no tiene ninguna estrategia de copias, consúltenos y le asesoraremos de la mejor manera para proteger la continuidad de su negocio.

Ransomware

Se ha detectado una nueva campaña de ransomware, un tipo de software malicioso que cifra todos los documentos del disco duro de la víctima y pide un rescate para descifrarlos. Esta campaña, utiliza una nueva variante del CTB-Locker, y está afectando desde hace unos días muchos usuarios españoles.

Todo apunta a que el foco de infección es un correo electrónico con un archivo adjunto, bien con extensión doc o rtf, o bien un archivo comprimido que contiene un archivo con extensión scr.

Una vez el usuario ha ejecutado el archivo adjunto, comienza a cifrar todos los documentos que encuentra en los discos duros del usuario, incluyendo documentos accesibles a través de unidades de red, por lo que tenemos que tener especial cuidado en entornos empresariales, ya que podría comprometerse toda la información de la empresa si no se toman medidas a tiempo.

También se han detectado variantes que roban las libretas de direcciones de las aplicaciones de correo electrónico para obtener nuevas víctimas a quien enviar el correo electrónico origen de la infección.

A continuación podemos ver capturas con el aspecto que presenta el software malicioso una vez ha infectado el equipo:

En este enlace tenemos más información sobre la familia CTB-Locker. Se indica que utiliza criptografía de curva elíptica para cifrar los archivos, torre para comunicarse con los servidores de control, y Bitcoin como método de pago, dificultando en gran medida el seguimiento de los delincuentes. Además, indican que todavía no se ha encontrado ninguna manera de descifrar los archivos cifrados por este software malicioso sin tener que pagar el rescate.

En los últimos meses estamos viendo aparecer cada vez más Ransomware, y todo apunta a que será una técnica que irá aumentando su presencia en un futuro próximo, como indica el FBI en el artículo “Ransomware on the Rise”.

Funcionament i tipus de software malicios1

Hay muchos tipos de software malicioso pensados ​​para reportar beneficios a los delincuentes y otros que simplemente buscan provocar molestias o trastornos. Sin embargo, el software malicioso que más se distribuye a través de sitios web está diseñado para que los delincuentes ganen dinero.

Si su sitio web está infectado, los tipos de software malicioso que se describen a continuación podrían descargar a los dispositivos de sus clientes cuando lo visiten. Tenga en cuenta que estas personas verán su marca junto con un aviso del antivirus o, en el peor de los casos, los efectos de una infección.

Ramsonware

ramsonware

El ramsonware bloquea el equipo del usuario y muestra una única pantalla de advertencia. Ni siquiera se permite que el personal de asistencia entre el dispositivo de forma remota para eliminar el software malicioso. A menudo, el mensaje adopta la apariencia de un aviso oficial de un cuerpo de seguridad y el software puede llegar a utilizar la cámara del equipo para incluir una foto del usuario en la advertencia.

Beneficios para el delincuente

Como deja entrever el nombre en inglés, los delincuentes exigen un rescate para desbloquear el dispositivo. Suelen dar a entender que se trata de una multa por un comportamiento ilícito o ilegal de la víctima, que se pagará a un cuerpo de seguridad oficial y el pago del rescate no siempre se traduce en el desbloqueo del equipo . Se estima que el año pasado un tres por ciento de las víctimas pagaron el rescate.

Botnets

botnets

Las botnets son redes de equipos personales y servidores que los delincuentes utilizan para distribuir spam o generar clics falsos en anuncios remunerados por clic. Si el software malicioso funciona bien, incorporará el dispositivo de la víctima a la red sin levantar sospechas.

Beneficios para el delincuente

Aunque los beneficios que genera este tipo de software malicioso no son elevados inmediatamente, se trata de infecciones difíciles de detectar y eliminar, por lo que suponen una fuente de ingresos constante ya largo plazo para los delincuentes.

Registro de pulsaciones de teclas

registro-pulsaciones-teclado

El registro de pulsaciones de teclas consiste justamente en eso: el software malicioso graba las teclas que se pulsan y, por tanto, puede buscar combinaciones de 16 dígitos (posible numeración de tarjeta de crédito), secuencias de seis números (fechas de nacimiento en potencia) o cadenas de texto poco habituales (que podrían ser contraseñas).

Beneficios para el delincuente

El objetivo de este tipo de software malicioso es recopilar información para realizar robos de identidad, fraudes con tarjeta de crédito y hacking de cuentas. Como estos datos están muy cotizados en el mercado negro, este software malicioso puede reportar grandes beneficios, sobre todo si permite a los delincuentes esquivar los sofisticados y sólidos sistemas de protección de uno de los grandes clientes de su empresa.

Propagación

propagacion

El software malicioso se propaga por la red a la que esté conectada la víctima, de manera que todos los usuarios y servidores de esta red quedan expuestos a una infección que puede afectar a los datos, los dispositivos y las operaciones.

Beneficios para el delincuente

La recompensa depende del grado de propagación y del software malicioso adicional que se active en los diferentes dispositivos según sus vulnerabilidades. Este tipo de ataque puede paralizar una empresa, provocar fugas de datos masivas e implicar cientos de miles de euros de gastos de enmienda.