Alertan sobre propagación de malware a través de redes sociales
La compañía ESET alertó sobre la masiva campaña de propagación de un malware a través de redes sociales, como Facebook y Windows Live Messenger. ESET, firma global de soluciones y creadora de un programa antivirus, destacó que el malware convierte a los equipos infectados en parte de una red de botnet (robots informáticos o bots, que se ejecutan de manera autónoma y automática) a través del código 'Win32/Darkbot'.
La empresa explicó que el ataque inicia basado en publicidad engañosa o mensajes que pudieran ser atractivos, como la foto de algún personaje de renombre o la visualización de un video de algún artista, y así mediante un click se da inicio a la descarga de un archivo ejecutable malicioso.
Entre las acciones ilícitas del malware se encuentra el robo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea, donde de manera remota integra información y permite al atacante definir mensajes para propagar la amenaza a través de estos servicios.
[bAmérica Latina en el primer lugar en ataques por malware Dorkbot
[/b]
A seis meses de la aparición del malware conocido como Dorkbot hoy en día es el más detectado en América Latina y México se ubica en el primer lugar en el ranking de detecciones de este virus a nivel mundial, informó ESET.
El laboratorio de Análisis e Investigación de ESET explicó que se trata de un código malicioso que se distribuye mediante redes sociales y varias aplicaciones de Windows y convierte a los equipos infectados en parte de una red Botnet para el robo de datos de acceso en usuarios, así como ataques publishing contra bancos de la región.
Desde la aparición del Dorkbot, los niveles de detección de otras familias de códigos maliciosos que aprovechan el uso de medios extraíbles ha descendido.
Ello, luego de la tendencia de modificación en las últimas versiones de los sistemas operativos de Windows que bloquean la ejecución automática de estos, por lo que los cibercriminales tienden a desarrollar nuevas estrategias para distribuir amenazas a nivel mundial.
Dos nuevos virus utilizan a Facebook como reclamo para atacar PC¨s
Dos nuevos virus informáticos han comenzado a utilizar desde hace tres días a la red social Facebook como reclamo para que los internautas se descarguen archivos contaminados, según informó hoy la compañía Panda Security.
El primero de ellos, un programa de tipo "troyano" capaz de operar en el ordenador de un usuario sin su permiso para enviar "spam" o correo basura, se llama "Asprox.N" y se propaga desde un correo electrónico con un documento adjunto en el que dice hablar en nombre de Facebook.
El segundo virus, "Lolbot.Q", se difunde a través de enlaces en servicios de mensajería instantánea y "secuestra" la cuenta del usuario en Facebook.
Después, el virus le pide al internauta que facilite su número de teléfono para que la empresa le envíe una contraseña nueva para acceder a la red social, cuando en realidad lo que hace es suscribir al usuario a un servicio de mensajería por el que puede llegar a pagar 8,52 euros a la semana.
Después, el virus le pide al internauta que facilite su número de teléfono para que la empresa le envíe una contraseña nueva para acceder a la red social, cuando en realidad lo que hace es suscribir al usuario a un servicio de mensajería por el que puede llegar a pagar 8,52 euros a la semana.
El BOTNET TDL-4 , casi indestructible
4,5 millones de "botnet dura", la más sofisticada de las amenazas de hoy para las PC de Windows
Una nueva botnet "mejorada" que ha infectado a más de cuatro millones de ordenadores es "prácticamente indestructible", segun los investigadores en seguridad.
"TDL-4", es el nombre que se ha dado para ambos, el troyano bot que infecta las máquinas y el subsiguiente acopio de ordenadores comprometidos, es "la amenaza más sofisticada de hoy"
Por un lado, dijo Golovanov, TDL-4 infecta el MBR o Master Boot Record, de la PC con un rootkit - malware que se esconde a la vista del sistema operativo. El registro de inicio maestro es el primer sector - el sector 1, cara 0, cilindro 0 - de la unidad de disco duro, donde se almacena el código para arrancar el sistema operativo después de que la BIOS del ordenador lanza los controles de puesta en marcha.
Dado que el TDL-4 se instala en su rootkit MBR, con técnicas Stealth quedando invisible para el sistema operativo y sobre todo, para el software de seguridad diseñado para rastrear los códigos maliciosos.
Dado que el TDL-4 se instala en su rootkit MBR, con técnicas Stealth quedando invisible para el sistema operativo y sobre todo, para el software de seguridad diseñado para rastrear los códigos maliciosos.
Pero eso no es el arma secreta del TDL-4
Lo que hace que la botnet sea indestructible es la combinación de la encriptación avanzada y el uso de un peer-to-peer (P2P) público para las instrucciones dadas a los malwares de comando y control (C & C) de los servidores.
"La forma en que se utiliza peer-to-peer para TDL-4 hace muy difícil acabar con esta botnet"
Lo que hace que la botnet sea indestructible es la combinación de la encriptación avanzada y el uso de un peer-to-peer (P2P) público para las instrucciones dadas a los malwares de comando y control (C & C) de los servidores.
"La forma en que se utiliza peer-to-peer para TDL-4 hace muy difícil acabar con esta botnet"
En resumen
TDL-4 un virus troyano que infectó a más de 4.5 millones de PCs sumándolas a una botnet que evoluciona más rápido que los que la combaten. Y es interesante leer el reporte por que explica básicamente (además de detallar los componentes del virus) como este se esconde, borra troyanos de la competencia, actualiza su código y hasta previene ser borrado…
Si uno lo mira conceptualmente… y suma un rootkit cifrado RC4 usando los nombres de dominio de los servidores de control como claves del cifrado y que se comunican usando dos redes P2P para tener capacidad para responder al cierre de una u otra…. la hace una botnet realmente digna de admirar (si, ya se que está mal hacer una botnet!) por como fue armada y pensada.
¿Porque me parece que es más dificil de tirar abajo? Porque tenés que lograr que 4.5 millones de usuarios de PCs que ni siquiera deben saber que están infectados, corran programas para limpiar archivos específicos y saber que es un MBR para poder repararla e impedir que se propague con lo que la lucha para frenarla debería ser más rápida que su capacidad de propagación y eso (sin poder cortar los canales de comunicación) dudo que sea simple.
Virus informáticos se infectan entre sí y crean un supermalware
Un análisis de Bitdefender encontró 40 mil ejemplares de este tipo de malware -al que han bautizado como "Frankenmalware"- en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado.
Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260 mil ejemplares de este tipo están amenazando los ordenadores de los usuarios.
"Si un usuario recibe uno de estos híbridos en su sistema, podría enfrentarse a pérdida de dinero, problemas informáticos, robo de identidad y una oleada de spam lanzada desde su equipo"
"La llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente y su comportamiento será cada vez más difícil de predecir"Aunque no hay datos antiguos sobre este tipo de virus, el número de híbridos creció en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general
Todos los híbridos de malware analizados hasta el momento se han creado de forma accidental. Sin embargo, el riesgo que representan estos combos podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios compuestos o a lanzar malware específicamente creado para provocar esa hibridación.
Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile.
Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones.
Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el firewall y asegurar su persistencia mediante la inyección de código en "Winlogon", un proceso crítico del sistema.
"Ahora, imaginemos estas dos piezas de malware trabajando juntas -voluntariamente o no- en el mismo sistema", señala Botezatu, que añade: "Esa PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones".
Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones.
Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el firewall y asegurar su persistencia mediante la inyección de código en "Winlogon", un proceso crítico del sistema.
"Ahora, imaginemos estas dos piezas de malware trabajando juntas -voluntariamente o no- en el mismo sistema", señala Botezatu, que añade: "Esa PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones".