Usted está aquí: Inicio Blog

Un nuevo y peligroso troyano

Detalles
Publicado el Sábado, 28 Enero 2012 09:14
Escrito por Texpaok

Nuevo y peligroso troyanoEl Centro de Protección contra Malware de Microsoft (Microsoft Malware Protection Center) ha descubierto un nuevo troyano que no contiene ninguna rutina sospechosa en su comportamiento inicial; esto lo hace indetectable frente a muchos escáners antivirus.

El comportamiento normal de un troyano de este tipo es descargar un archivo de Internet, guardarlo en el disco y ejecutarlo, acciones que son fácilmente detectables por cualquier antivirus. Sin embargo, este nuevo troyano funciona de la siguiente forma:

Contiene un código en Visual Basic que accede a la web de un restaurante Tibetano; un análisis del código no muestra accesos a disco ni llamadas a funciones del sistema. Si no tenemos conexión a Internet, el malware muestra un mensaje de error. Si tenemos conexión a Internet, el troyano realiza una petición a la página HTML del restaurante citado anteriormente, se copia a sí mismo en la carpeta de sistema como "misys.exe" y empieza a realizar funciones de keylogger.

¿De dónde procede ese ejecutable?

Mirando el código de la página HTML descargada se observan instrucciones en formato hexadecimal que se corresponden con funciones x86, así que lo que hace el troyano es ejecutar esas instrucciones en el contexto de su propio proceso. Esto no produce ninguna inyección de código en otros procesos o descargas al disco, por lo que el "downloader" se convierte en malware cuando descarga el código HMTL. Con esta forma de funcionamiento consigue evitar los análisis de muchos antivirus que no tengan análisis de comportamiento.

La mala noticia es que este tipo de troyanos si puede crear fácilmente a través del toolkit Poison Ivy, ya que esta herramienta nos permite crear código malicioso (binario, C, Phyton o Delphy) en lugar de ejecutables.

Phishing a los usuarios de Google usando Google

Detalles
Publicado el Martes, 24 Enero 2012 15:52
Escrito por Texpaok

PhishingEn la sección de “Noticias” de nuestra web podéis ver con cierta frecuencia la aparición de noticias relacionadas con ataques de phishing. Aunque el objetivo principal de este tipo de ataques suele estar orientado a suplantar entidades bancarias, debido al inmediato beneficio económico obtenido, en los últimos tiempos este tipo de ataques se están orientando al robo de credenciales de perfiles sociales y cuentas de correo electrónico.

Una de las últimas técnicas usadas para engañar a los usuarios de Gmail/Google ha sido publicada por Christy Philip Mathew, quien explota la psicología humana para conseguirlo:

Lo primero que hizo fue crear una página falsa de Google y la subió a un servicio de almacenamiento; el siguiente paso era hacer legítima para sus víctimas la URL de esta página falsa. ¿Cómo lo consiguió? Pues usando la herramienta de traducción de Google.

Usando este servicio obtuvo un link a su página falsa, consiguiendo así engañar a los usuarios. En la siguiente imagen podemos ver el resultado de su experimento:

Phishing a los usuarios de Google


Siguiendo unas pautas básicas los engañados podrían haberse dado cuenta de que algo raro estaba pasando simplemente al mirar la url pero, como ya sabéis, este tipo de técnicas tiene éxito porque atacan al eslabón más débil de la cadena: el usuario.

En una próxima entrada en el blog os explicaré las últimas técnicas que están siendo usadas por las empresas para “educar” a sus empleados frente a este tipo de ataques.

Un saludo.

Vulnerabilidad de redirección de url en Google

Detalles
Publicado el Sábado, 14 Enero 2012 11:23
Escrito por Texpaok

Vulnerabilidad de redirección de url en GoogleUna redirección abierta es una vulnerabilidad que existe cuando un script permite redireccionar a un sitio externo llamando directamente a una URL específica, sin filtrar, lo que puede ser usado para redirigir a las víctimas a sitios web maliciosos. Una aplicación web acepta una entrada controlada por el usuario que especifica un enlace a un sitio externo, y utiliza ese enlace en una redirección.

En xssed.com ha sido publicada una vulnerabilidad similar para Google, lo que podría aprovecharse para crear ataques de distribución de troyanos, spam o phishing. Un ejemplo podría ser la siguiente url:

https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.something.com

Esta misma vulnerabilidad fue descubierta en Facebook hace algunos meses. Potencialmente, esta vulnerabilidad podría:

  • Permitir la redirección de los usuarios a una página no segura que contenga malware y comprometer la máquina de los usuarios. Además, el malware podría utilizar técnicas de keylogging u otros ataques que permitan el robo de credenciales o información personal.
  • Los usuarios pueden ser objeto de ataques de phishing siendo redirigidos a páginas controladas por los atacantes que se asemejen a una página web de confianza. Los atacantes podrían robar las credenciales de los usuarios y usarlas posteriormente para acceder al sitio web legítimo.

Estaremos atentos a las posibles novedades sobre este tema.

Más Artículos...

  1. Si has descargado desde redes p2p últimamente, entonces apareces en youhavedownloaded.com
  2. ¿Estás en la lista negra?
  3. Primer análisis del incidente
  4. Redirección al acceder a la web
Free Internet Security - WOT Web of Trust
feed-image RSS
2011 Blog.
Powered by Joomla 1.7 Templates