Info Spyware

vsantivirus nos cuenta:

El smishing (phishing de SMS), ya es un grave problema para muchos países, y si usted no toma las mismas precauciones que al recibir correo electrónico no deseado, tarde o temprano se podría convertir en una nueva víctima.

En la India, el departamento de telecomunicaciones, planea bloquear todos los mensajes de texto originados fuera del país. También bloquearía sitios de Internet que pueden ser utilizados para el envío de estos mensajes.

Actualmente las herramientas que permiten generar mensajes anónimos, están disponibles libremente en muchos sitios de la red.

El phishing en telefonía celular no es nuevo. Ya hace mucho tiempo se han detectado casos que se valen de la voz sobre IP para cometer estafas. A eso se lo llama “vishing”. Otra modalidad similar que utiliza mensajes SMS para captar la atención de la víctima, es denominada “smishing”.

En Uruguay, hace pocas semanas algunos usuarios de telefonía móvil, hicieron una denuncia sobre una estafa burdamente creada. No sería de mayor trascendencia, salvo por el hecho de que estas noticias deben servir para no descuidar la seguridad en este rubro, que seguramente será explotado cada vez más elaboradamente por los delincuentes informáticos.

Hasta ahora, la forma de operar es la siguiente. El usuario recibe un SMS en su celular, en donde se le solicita la confirmación de algún tipo de transacción financiera, y se le pide devuelva la llamada para confirmar la misma. Al llamar a un número determinado, se utiliza un software que responde automáticamente, y se le piden algunos datos personales, etc.

Las herramientas disponibles hoy día en la red, pueden lograr estas cosas, y tal vez muchas más. Modificar los datos de origen de un SMS, ya no es una historia que solo vemos en las películas.

Tal vez, una estafa como la del ejemplo anterior, requiera cierto tipo de trabajo de campo previo para escoger a determinadas víctimas. Pero esto ya no es una rareza, y lo será menos a medida que más gente utiliza sus nuevos celulares, y los nuevos servicios brindados por las compañías telefónicas.

Es muy común que conocidos se intercambien bromas y otro tipo de juguetes descargados de Internet, de celular a celular. Lo que muchos van a tener que aprender luego de pasar algún mal momento, es que no hay mucha diferencia entre aceptar y descargar cualquier cosa ofrecida por un conocido en su teléfono móvil, a hacer clic en adjuntos o seguir enlaces en mensajes electrónicos no solicitados en Internet.

Los SMS, pueden parecer inocuos para muchos, pero no debemos ignorar que pueden ser fácilmente manipulados por los delincuentes e incluso ser enviados desde otros países. El gobierno de la India se ha dado cuenta de esta amenaza, y por ello ha establecido un comité para evaluar las nuevas tecnologías y su uso indebido.

Las recomendaciones de este comité, han sido bloquear las llamadas que no sean del propio país, y pedir a las operadoras móviles un control más estricto de los centros de administración remota de SMS vía Internet.

Actualmente, esta clase de SMS es enviada en protocolos abiertos basados en HTTP, cosa que los hace vulnerables a ser interceptados y modificados, afirma el comité hindú.

Es muy probable que otros países comiencen a pensar de forma similar.

El consejo, es no aceptar aquellos SMS de los que se duda o desconoce su origen. El mundo de los SMS ya es tan propenso a ataques de los piratas informáticos, como lo puede ser Internet. Y el usuario es la barrera más importante para detenerlos.

rzw nos cuenta:

Symantec ha hecho publíca la noticia de que el troyano Infostealer.Monstres habría estado robando información sensible (1) del portal de empleos Monster.com.

El funcionamiento del troyano consistía en realizar conexiones hacia la web de Monster.com y así realizar búsquedas laborales utilizando credenciales de empresas empleadoras (2). La comunicación con la web en cuestión era realizada a través de subdominios dedicados a personas/empresas que pagan por el servicio de búsqueda de candidatos apuestos de trabajo.

Dicho servicio, puede ser accedido mediante un pago periódico y en algunos casos está limitado en la cantidad de consultas que pueden ser realizadas, por lo que nos hace suponer que para llegar al 1.6 millón de datos que según Symantec han sido extraídos, deberían de haber utilizado los datos de acceso de empresas que han contratado el servicio semestral o anual, los cuales no tienen límites de consultas.

Symantec también resalta la similitud entre Infostealer.Monstres y Trojan.Gpcoder.E, ambos utilizan un mismo archivo e icono, similar al de la compañía Monster.com, lo que daría a suponer que un mismo grupo de individuos estaría detrás de ambos troyanos.

Además, Trojan.Gpcoder.E, ha estado utilizando datos reales en correos no deseados (SPAM), lo que ha dado como resultado en un excelente ataque de phishing.

Algunos medios informaron erróneamente que el ataque había sido hacia la web de Monster.com y utilizando cuentas de empleados (3) de dicha empresa, cuando en realidad fueron cuentas de empleadores y el ataque lo sufrieron los usuarios de la web y no un servidor como se pretendía dar a entender.

Enlaces relacionados:

Roban los datos personales de miles de usuarios del portal de empleo Monster:
http://www.20minutos.es/noticia/268597/0/robo/datos/moster/

Monster attack steals user data
http://news.bbc.co.uk/2/hi/technology/6956349.stm

A Monster Trojan
http://www.symantec.com/enterprise/security_response/weblog/2007/08/a_monster_trojan.html

Los datos de miles de usuarios de Monster.com desvelados
http://www.hispamp3.com/noticias/noticia.php?noticia=20070822081824

(1) Según la empresa Monster.com, la información extraída no sería considerada por ellos de alta sensibilidad, alegando que es la misma que puede ser sacada de un listado telefónico.

(2) Dichas cuentas puede haber sido robadas haciendo uso del troyano en cuestión o también creadas por los mismos atacantes, la relación costo beneficio es muy conveniente, el acceso semestral tiene un costo de €4,999 y si hacemos uso de una buena red zombie en pocos días se puede lograr lo que Symantec ha reportado, es decir miles de equipos realizando consultas y enviando la información a los atacantes.

(3) Employers, del inglés Empleador, no Empleado como asumió el diario 20minutos.es.

# Martin Aberastegue
# Rynho Zeros Web (http://www.rzw.com.ar)
# Seguridad Informática

diarioti nos cuenta:

Un archivo descubierto en el servidor que aloja esa herramienta, llamada Apophis contenía datos como la dirección física, el número de teléfono o el CVV (Card Verification Value o número de verificación de tarjeta) de la tarjeta de crédito de casi mil personas de USA, Reino Unido y Canadá.

Una versión de la herramienta Apophis, que sirve a los ciber-delincuentes para gestionar toda la información robada a los usuarios infectados con distintas variantes de troyanos de la familia Nuklus, posee datos de más de 30.000 usuarios de más de veinte países. PandaLabs ha tenido acceso a un archivo que contenía parte de esos datos robados. En él se guardaban, de forma cifrada, información confidencial de casi 1.500 personas de USA, Canadá y Reino Unido.

Lo más sorprendente es que entre los datos robados y guardados en ese archivo figuraban, además de la cuenta bancaria o el email, otros como la dirección física del usuario, su número de teléfono o la fecha de caducidad de su tarjeta de crédito. Con esta información, los ciber-delincuentes no sólo pueden hacerse con el dinero del usuario, sino que pueden suplantar su identidad y utilizarla para realizar todo tipo de compras, transferencias, etc., en su nombre.

“Esto es una muestra del peligro del malware actual y, sobre todo, de la necesidad de contar con una buena protección que impida que los datos que introduzcamos en formularios, páginas bancarias, etc. pasen a manos de los delincuentes de la red”, afirma Luis Corrons, Director Técnico de PandaLabs.

Apophis ofrece a los ciber-delincuentes varias opciones. Así, pueden saber la localización geográfica de las máquinas infectadas, cuántas de ellas están activas en un momento dado o realizar búsquedas entre los datos robados.

google.dirson nos cuenta:

Nos escriben para decirnos que alguien ha registrado el dominio ‘gmailupgrades.com’ y está enviando correos a usuarios de Gmail invitándoles a acceder a este sitio para ofrecerles un aumento de la capacidad de sus cuentas.

En esta captura de ‘gmailupgrades.com’ véis cómo el sitio web es idéntico al oficial de Gmail, y pide vuestro nombre de usuario y contraseña (intento de Phising). Como podéis comprobar en este enlace, ni Google es el dueño del dominio, ni está albergado en sus servidores, así que os recomendamos no acceder a la página en cuestión, e introducir vuestros datos personales referentes a cuentas de usuario exclusivamente en páginas que comiencen con la URL ‘https://www.google.com’.

vsantivirus nos cuenta:

Un nuevo “cambio de cara” para los Win32/Nuwar, llena de basura los correos de usuarios de todo el mundo.

No debería sorprendernos, pero ciertamente a pesar de ello, no deja de ser una gran molestia.

Sean tarjetas virtuales, o invitaciones a lugares exclusivos, los usuarios de Internet deben seguir sufriendo la llegada masiva de correo basura con enlaces a sitios maliciosos que descargan una nueva versión del gusano que ESET NOD32 detecta como Win32/Nuwar.gen, y que tiene la particularidad de cambiar cada 30 minutos, en un intento de eludir la detección de los antivirus.

Win32/Nuwar.gen también es conocido como Nuwar, Zhelatin, Storm o Peacomm entre otros nombres.

Los mensajes invitan al destinatario a confirmar su suscripción a un determinado servicio o “club” (con temas que van desde el póquer a la música en MP3, pasando por el buen vino), brindando un usuario y contraseña provisorios, para que la víctima pueda darse de alta, luego de hacer clic en el enlace respectivo.

Este enlace, como en anteriores versiones del Nuwar, solo muestra direcciones IP -todas diferentes-, y no nombres de dominios.

Si se hace clic allí, un simple mensaje en la página solicitará un applet para poder ingresar de forma segura:

If you do not see the Secure Login Window
please install our Secure Login Applet.

Si el usuario lo acepta y hace clic, se descarga el gusano propiamente dicho, cuyo ejecutable por ahora parece llamarse APPLET.EXE

También se intenta infectar al usuario por la simple visualización de la anterior página. Para ello busca explotar una antigua vulnerabilidad en Winamp.

Tenga en cuenta que esta alerta tiene como idea recordarle los peligros de seguir enlaces o abrir adjuntos de mensajes no solicitados, sin importar su procedencia. Es muy posible que en los próximos días, otros “lavados de cara” y un nuevo maquillaje, nos presente nuevas variantes de este molesto spam, que además nos trae de regalo un gusano.

Algunos de los falsos remitentes detectados:

Bartenders Guide
Cat Lovers
Free Ringtones
Funny-Files
Membership Support
MP3 World
Net-Jokes
Office Antics
Poker World
Ringtone Heaven
Tech Department
Web Connects
Web Players
WebTunes
Wine Lovers

Algunos de los asuntos utilizados:

Dated Confirmation
Member Details
Membership Support
New Member Confirmation
Please Confirm
Registration Confirmation
Technical Support
Thank You For Joining
User Services
Welcome Letter
Welcome New Member
Your Member Info

El texto del mensaje varía de acuerdo al remitente y asunto utilizado. Un ejemplo:

Greetings,

Here is your membership info for Free Ringtones.

Membership Number: 915879295
Your Temp. Login ID: user6898
Temp Password ID: jt794

Be Secure. Change your Login ID and Password.

Follow this link, or paste it in your browser: [enlace]

Enjoy,
Support Department
Free Ringtones

libertaddigital nos cuenta:

Un ataque mediante el empleo de un troyano denominado ‘Infostealer.Monstres’ podría haber permitido a piratas informáticos acceder a información personal de centenares de miles de usuarios del portal de empleo Monster.com, según informa la compañía de seguridad informática Symantec.

El programa se encargaba posteriormente de reenviar los datos a un servidor remoto en el que los empleados de la compañía de seguridad ‘on-line’ encontraron alrededor de 1,6 millones de entradas con información personal de centenares de miles de personas.

El informe de Symantec destaca que sólo se apreciaron conexiones a través de los subdominios para empleados ‘hiring.monster.com’ y ‘recruiter.monster.com’, utilizados por captadores de candidaturas y encargados de recursos humanos para la búsqueda de potenciales candidatos.

Estos sitios requieren la introducción de claves de acceso para visualizar la información de los candidatos, por lo que “probablemente el troyano habría utilizado los códigos robados de algunos empleados”, explicó Symantec.

Asimismo, la compañía de seguridad subrayó que la información almacenada en el servidor remoto constituía “el sueño de cualquier spammer”, e indicó que el troyano podía ser programado para el envío de correo ’spam’ personalizado que podría haberse utilizado para realizar estafas mediante ‘phising’.

Symantec afirmó haberse puesto en contacto con Monster para indicar las cuentas comprometidas y facilitar su eliminación.