Etiqueta: malware

Se reporta un ataque de malware en WordPress producido por un clon de The Pirate Bay

Publicado el 1 abril, 2015

malware piratebay

Señalan en Malwarebytes Unpacked, publicación de la compañía de seguridad Malwarebytes, que se ha detectado en múltiples sitios web gestionados con WordPress una vulnerabilidad en forma de iframe la cual busca inyectar malware en los equipos de sus visitantes. Lo curioso es la específica página utilizada para ocultar dicho software malicioso: thepiratebay.in.ua.

La página en mención no es más que un clon de The Pirate Bay, popular sitio de descarga de torrents, de los que permitió el proyecto The Open Bay creado por IsoHunt para que cualquiera pudiera crear en su propio servidor una copia del servicio sin mayores conocimientos técnicos. Continúa leyendo «Se reporta un ataque de malware en WordPress producido por un clon de The Pirate Bay»

Aplicación de capturas puush ha sido infectado, puedes tener malware en tu ordenador

Publicado el 30 marzo, 2015

por Juan Diego Polo

Si usáis puussh en vuestro ordenador, prestad atención porque la última versión de Windows incluye «regalo sorpresa».

Los responsables por este popular sistema para hacer y compartir screenshots han anunciado en Twitter el problema: la última actualización incluye malware, aunque no han especificado cómo esa amenaza ha llegado allí.

Piden para que busquemos el archivo puush.daemon.exe dentro del directorio AppData/Roaming/puush, borrarlo y escanear el PC, recordando que este problema solo está ocurriendo en la versión Windows. El archivo en cuestión (puush.daemon.exe) también se encuentra en C:\Program Files (x86)\puush, hay que asegurarse que se borra, y que se eliminan todos los procesos de puush dentro de nuestro gestor de tareas.

puush

En reddit comparten la captura superior mostrando el aspecto del archivo infectado, así como el enlace a la página de virustotal con más detalles sobre esta amenaza.

Confiar en un programa que usan miles de personas y ver cómo se transforma en un virus «de la noche a la mañana» es un problema más serio de lo que parece. Esperemos que consigan descubrir lo que ha ocurrido para intentar mejorar la imagen de este programa.

PayPal adquiere la forma de seguridad CyActive para impulsar su nuevo centro de seguridad en Israel

Publicado el 10 marzo, 2015

por Fco. José Hidalgo

El servicio de pagos online Paypal, que próximamente se independizará de eBay, la empresa matriz, ha anunciado hoy que en base a la seguridad como prioridad para mantener el dinero de los usuarios más seguro en Internet, va a ampliar sus esfuerzos en esta materia mediante el establecimiento de un centro de seguridad en Israel, donde podrá contar tanto con la tecnología de vanguardia del país así como los mejores talentos en ciberseguridad. Además, como parte de la misma estrategia, también anuncia la adquisición de CyActive, una firma de seguridad especializada en la predicción del desarrollo del malware.

A este respecto, no se ha indicado los términos del acuerdo de adquisición, aunque la prensa local ya filtró la pasada semana que el precio era de 60 millones de dólares, aunque James Barrese, Director de Tecnología y Vicepresidente Senior de Servicios de Pago de Paypal, ha indicado a TechCrunch que el precio era especulativo. Además, asegura al citado medio que la adquisición de CyActive se debe más a la mejora de las capacidades de seguridad de Paypal que al hecho de que Paypal se separe de eBay próximamente.

El nuevo centro de seguridad supone un hito muy importante para Paypal como parte de los esfuerzos que realiza en materia de seguridad, su prioridad fundamental, ya que está «profundamente integrado en todas las decisiones de negocio y producto» que realizan cada día.

Google Analytics también nos avisará si hay malware en nuestro sitio web

Publicado el 5 marzo, 2015

por Juan Diego Polo

Hasta ahora teníamos que estar pendientes de los avisos de Google para Webmasters para saber si no hay nada «maligno» dentro de nuestro sitio web. Google nos avisa cuando se detecta «algo raro», como archivos subidos por algún creacker con el objetivo de infectar los ordenadores de nuestros lectores.

Estos avisos llegan ahora también a Google analytics, plataforma de estadísticas que los webmasters consultan mucho más menudo (en elgunos casos 24×7, observando los datos en tiempo real que ofrecen), ayudando así a conocer problemas al mismo tiempo que Google los identifica.

El aviso tendrá un asepcto semejante al de la captura izquierda, dando los detalles que pueden ayudarnos a eliminar la amenaza.

Lo informan en el blog de Google como un avance para mejorar la seguridad de sus usuarios, aunque es importante recordar que el navegador chrome, al mismo tiempo, informará a los lectores de la amenaza, mostrando una aviso enorme, y rojo, para avisar del peligro, por lo que es posible que sepáis del peligro antes incluso de abrir Google Analytics.

Google sigue tomando medidas drásticas con sitios web que instalan programas indeseados

Publicado el 24 febrero, 2015

por Juan David Quiñónez

Hace mucho Google le declaró la guerra a los sitios web que pretenden instalar software indeseado (barras, virus, aplicaciones de phishing, juegos no pedidos, etc.) en los dispositivos de sus visitantes. Claro, además de lo peligroso que pueden resultar en temas de vulneración de datos personales y seguridad, son molestos y generalmente sus instalaciones se ejecutan de forma oculta. Para la muestra, el adware y malware SuperFish con el que Lenovo ha tenido que lidiar y responder a decenas de usuarios que casi no lo podemos anular de nuestros equipos.

En fin, medidas drásticas siguen siendo tomadas por parte de Google para proteger a los millones de personas que se valen de sus servicios en línea. Así, además de los mensajes de alerta que se nos presentan tan pronto nos encontramos con un enlace que lleva a un archivo malicioso y el bloqueo de la descarga de archivos considerados peligrosos por su propia blacklist, ahora Google Chrome bloqueará de inmediato, con un mensaje como el de la captura superior, el propio sitio web que albergue y trate de ejecutar una instalación forzosa de tal software no deseado.

Pero eso no es todo, también se verán afectados en los resultados de búsqueda de Google dichos sitios web con lo que se limitará aún más su visualización y masificación. Igualmente, los programas de publicidad de la compañía empezarán a deshabilitar los anuncios relacionados con la instalación de tales programas.

Termina el respectivo comunicado en el blog de Inside Search con la invitación a utilizar Google Webmasters Tools para monitorizar los sitios web propios y conocer a tiempo si parte de sus contenidos son considerados como software indeseado.

app android que promete bajar la película «The interview» en realidad roba datos bancarios

Publicado el 31 diciembre, 2014

por Juan Diego Polo

Aparece por Corea del Sur una aplicación android que se divulga como «la que tienes que instalar para bajar la película The Interview», aplicación que, en realidad, es un troyano conocido por robar datos bancarios de dicha región y de Citibank. Se trata del malware Android/Badaccents, troyano que ya ha engañado a aproximadamente 20.000 personas con dicha aplicación.

Los detalles, divulgados en grahamcluley.com, indican que el malware se aloja en Amazon Web Services. El problema fue identificado por McAfee, quien ya ha entrado en contacto con Amazon para intentar eliminar el archivo lo más rápido posible.

Lo curioso es que con todo el ruido que ha hecho la película, en la que acaban asesinando al líder de Corea del Norte, Kim Jong-un, no hayan creado un sistema sencillo de acceso a la película desde cualquier parte del mundo. El lanzamiento fue en Estados Unidos, no hay doblajes, y en seetheinterview.com solo se puede ver y pagar desde Estados Unidos y Canadá, lo que genera ansiedad desde otros países y oportunidades para distribuir malware de este tipo.

Un sofisticado troyano, Regin, estaría espiando a todo el mundo desde 2008

Publicado el 23 noviembre, 2014

por Juan David Quiñónez

“Una pieza de malware cuya estructura presenta un grado de habilidad raramente vista” capaz de “controlar de forma remota el ratón y el teclado, recuperar archivos borrados, realizar capturas de pantalla, pulsaciones de teclas y navegación”, enfocada a atacar empresas de telecomunicaciones y proveedores de Internet. Él es Regin, un troyano que, según recientes conocimientos de la firma de seguridad Symantec, estaría trabajando desde 2008 (algunos afirman que desde 2006) a lo largo y ancho del mundo (ver gráfica de Symantec), en particular, en territorios de Rusia y Arabia Saudita -de paso, hasta México-. Por supuesto, su complejidad indica una alta probabilidad de ser perpetrado con el apoyo de algún estado, por ejemplo, el Estadounidense, el Israelí o el Chino.

Su enfoque estaría ligado al espionaje, por transitividad, de pequeños negocios y otros clientes de dichas empresas de telecomunicaciones y servicios de Internet. Eso en su mayoría pues en Symantec mencionan haberle encontrado hasta en hospitales, aeropuertos y entidades de investigación. Claro, como comentan en The Verge, esto nada tiene que ver con robo de información financiera aunque su nivel de infección podría estar relacionado con métodos similares de fraude como el de sitios web falsos que como clones de sitios reconocidos podrían hacer posible el aterrizaje en las máquinas de los usuarios. No, la idea es el espionaje a escala mundial así como Stuxnet lo intentó en su momento (2011).

Más detalles de Regin: Se habla de su alta personalización incluso para valerse de las funcionalidades de las que previamente enunciamos que podría controlar en cada máquina, y utilizarlas para correr piezas de software más especializadas que lograran atentar contra infraestructura energética y otras víctimas con altos requerimientos tecnológicos. En fin, a grabarse el nombre y a mantenerse alerta pues seguramente Regin seguirá dando de qué hablar en las semanas venideras.

Más información: Symantec

Microsoft se apodera de 22 servicios de DNS dinámicos dejando sin servicio a millones de usuarios

Publicado el 2 julio, 2014

por Sergio Asenjo

Al parecer, en las últimas horas Microsoft se ha hecho con el control de veintidós servicios de DNS dinámicos. Un servicio de DNS dinámico es aquel que permite al usuario acceder mediante un nombre de dominio a un servidor que opera bajo una IP dinámica, permitiendo, gracias a ello, que el ordenador sea localizable en Internet si conocemos este nombre de dominio, en lugar de tener que utilizar una IP distinta para acceder cada vez que la conexión sea reiniciada. Es un servicio muy utilizado por usuarios que quieren acceder a sus ordenadores desde fuera de casa o en la creación de servidores de aficionados a los videojuegos online.

Después de que Microsoft se haya hecho con el control de estos servicios, millones de usuarios se habrían visto afectados, ya que se han quedado sin servicio en las últimas horas. Sitios web como noip.com, que ofrecen este tipo de servicios, alertan de la situación a los usuarios como podemos ver en la imagen superior. En Microsoft se han apresurado a dar explicaciones, asegurando que se trata de una campaña para proteger la seguridad de los usuarios en Internet, afirmando que en los últimos días habían detectado una gran cantidad de ataques que conseguían infectar con hasta 245 tipos diferentes de malware los equipos con Windows. Afirman haber alertado de ello hace unos días, pero no obtuvieron respuesta alguna. Al parecer, a falta de actuación por parte de estos servicios ha obligado a Microsoft a tomarse la justicia por su cuenta. Por el momento, se desconoce cuando serán restablecidos estos servicios.

Nuevo malware para Android bloquea tu teléfono y exige un rescate

Publicado el 10 junio, 2014

por Sergio Asenjo

Una nueva nueva amenaza se cierne sobre los propietarios de dispositivos móviles con Android instalado. En esta ocasión, se trata de un tipo de malware que se encarga de bloquear el acceso a tus datos personales para posteriormente, exigir el pago de un rescate si quieres recuperar su control.

Para ello, tal y como han informado desde la compañía de seguridad informática ESET, ‘Simplocker Android’ (nombre que recibe el malware) escanea la tarjeta SD de la víctima con el fin de localizar ciertos ficheros, como imágenes, documentos PDF, música y otro tipo de archivos, para justo después bloquear el acceso a todo el contenido de la tarjeta haciendo uso de encriptación AES. Según la ESET, se trata del primer malware para móviles conocido que impida el acceso a los datos de los teléfonos móviles con Android instalado para posteriormente exigir el pago de un rescate. Si estáis al tanto acerca de las noticias sobre seguridad y virus informáticos, esta táctica es sufrida de forma más habitual por usuarios de PC, aunque en esos casos la cantidad exigida suele ser bastante elevada. En este caso, los creadores del virus reclaman el pago de 260 grivnas ucranianas, que vienen a ser alrededor de 16 euros. Tan pronto hayamos completado el pago, supuestamente se nos devolvería el control de nuestro teléfono. La peligrosidad que entraña este tipo de malware es elevada, ya que no solo nos impide acceder a nuestros datos, sino que también envía información privada del teléfono como el número de IMEI a los hackers. El malware, al estar basado en la red TOR, complica enormemente la localización de los creadores del ‘Simplocker Android’.

Por el momento no deberíamos preocuparnos en exceso, ya que aún no se ha extendido más allá de la región ucraniana. Aún así, siempre es bueno estar informado por si en algún momento se extendiese a otras Play Stores. Por supuesto, en caso de recibir el virus, bajo ningún concepto hemos de pagar la cantidad solicita, por pequeña que sea, ya que lo único que esto haría es motivar a otros hackers a copiar la técnica con el único fin de ganar dinero, lo que extendería este tipo de amenazas.

Oldboot.B, la nueva pesadilla en el mundo android

Publicado el 5 abril, 2014

por Juan Diego Polo

android Android sigue siendo el objetivo de aquéllos que aprovechan el hecho de ser una plataforma mucho más abierta y flexible que la competencia. Un nuevo informe en The Hacker News muestra los detalles de un nuevo malware, una mejora del Oldboot.A que nace como la mayor amenaza para este sistema operativo hasta la fecha (de hecho se cree que ya ha infectado a millones de dispositivos).

Comentan que está diseñado para volver a infectar a los dispositivos móviles incluso después de haber sido limpiado a fondo. El programa reside en la memoria de los dispositivos infectados y modifica la partición de arranque de dispositivos, por lo que extrae el programa malicioso durante la fase inicial de arranque del sistema.

La familia oldboot es muy resistente a ser detectado por antivirus tradicionales, suele pasar invisible por las herramientas de análisis automático, instalando aplicaciones maliciosas de forma silenciosa e inyectando módulos peligrosos en el sistema, desactivando el software Antivirus en muchos casos.

Comentan en bgr.com que la empresa 360 Mobile Security (360safe.com) ya está trabajando en una herramienta gratuita para eliminarlo. De momento solo se sabe que es capaz de enviar mensajes SMS falsos, abrir páginas web para robar datos de acceso a aplicaciones (phishing) y seguramente otras actividades, aunque de momento se sabe poco sobre los síntomas.

Lo único que podemos hacer de momento es evitar la instalación de aplicaciones de cualquier otro lugar que no sea Google, y aún así desconfiar de los que no tienen un desarrollador que pueda encontrarse fácilmente en Internet (empresas de desarrollo de aplicaciones que no tengan un sitio web desde el cual puedan ser contactados, o que pueda ser rastreado su prestigio).

Imagen de android en shutterstock.com