VirusBlokAda

Madrid, 16 de junio de 2010 – La CNN califica el Mundial de Fútbol 2010 como el inicio de la Edad de los Medios Sociales, por lo que poco sorprende que un número de campañas de ciber-crimen hayan sido identificadas utilizando el evento para atraer a los seguidores y fans de la Copa del Mundo con el fin de que desvelen información personal y otro tipo de datos.

Los tweets del ataque a la FIFA colapsan las puertas traseras

Uno de los ataques más recientes que emplea el Mundial de Fútbol de la FIFA como cebo incluye una táctica de ingeniería social derivada de una campaña de malware vista en Twitter. Se han localizado varios programas maliciosos que están siendo distribuidos a través del popular sitio de microblogging. Dichas campañas de malware aprovechan la notoriedad de tal evento para persuadir y atraer a los usuarios a que accedan a los links maliciosos incluidos en los Tweets.

El primer malware activado hace uso de la celebración de la Copa del Mundo de la FIFA y fue enviado a través del siguiente Tweet:

Ver : https://filestore.xmr3.com/145567/11772 … 335653.JPG

Al acceder al link los usuarios permiten la descarga de una copia de una puerta trasera detectada como BKDR_BIFROSE.SMK, que conecta a una dirección IP que permite a un usuario remoto realizar actividades maliciosas en los sistemas afectados. Estas actividades incluyen el envío y recepción de archivos, keylogging (o lectura de las pulsaciones del teclado) o la recuperación de nombres de usuario y sus claves. También tiene capacidades de rootkit (programa malicioso difícil de detectar que es similar a un troyano y que posibilita al ciber-delincuente controlar el ordenador de usuario), lo que le permite ocultar sus procesos y archivos de sus víctimas.

El Mundial de Fútbol de la FIFA es un evento global increíblemente popular que, como es evidente, ya ha puesto en marcha la maquinaria para que entren en acción múltiples oportunistas y ciber-criminales. El uso de las redes sociales para perpetuar esos ataques en beneficio de los criminales tampoco es algo inusual.

La FIFA también se ha convertido en objetivo del Spam

En otro ataque, se descubrió que se estaban ejecutando dos tipos spam.

El primer ejemplo (véase la Figura1) tenía un archivo adjunto .DOC que informada a los receptores de un supuesto nuevo concurso denominado Final Draw o Sorteo Final en función del país, y que había sido puesto en marcha en colaboración con el Comité de Organización de la FIFA. También decía que el receptor recibiría un premio de 550.000 dólares. Para poder cobrar este premio, sin embargo, el ganador debía contactar inmediatamente con la agencia distribuidora a través de la información indicada en el email. El correo electrónico también solicitaba información personal del receptor.

https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Sample%2520mail.doc_1276682397157.JPG
https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Screenshot.doc_1276682425451.JPG

Otro ejemplo (indicado en la Figura 2) relacionado con esta estafa o scam se trata de un email incorrectamente escrito que contiene una carta adjunta, igualmente mal escrita, en formato PDF. En ésta se pide a los receptores que divulguen una información específica relacionada con una transferencia de fondos por cantidad de 10,5 millones de dólares. En caso de aceptar la propuesta, el usuario supuestamente conseguirá el 30% de dicha cifra.

Tenga en cuenta que está táctica recuerda al infame timo 419 o Cartas Nigerianas, que persuadían a los usuarios para que enviaran un cantidad de dinero prometiéndoles que, a cambio, recibirían una importante suma como recompensa por su cooperación. En este caso, los desafortunados optimistas son engañados con la promesa de recibir unas entradas para asistir a su competición deportiva favorita.

https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Fake%2520letter_1276682523514.JPG
https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Screenshot%2520letter%2520PDF_1276682546930.JPG

Un típico scam 419 o de Cartas Nigerianas es un tipo de fraude en el que las víctimas son engañadas con ganar tentadoras sumas de dinero como premios de lotería, herencias, etc. a cambio de algo de menor valor, como puede ser dar información o realizar una pequeña donación vía spam (véase la imagen de la Figura 3). La carta comienza por (1) la presentación del remitente que, por lo general, es una persona que supuestamente pertenece a una organización respetable. Acto seguido se pide ayuda al receptor del correo electrónico.

El spam con el tema de la FIFA indicado (Figura 4) utiliza la misma técnica que en el segundo ejemplo: prometer una cantidad de dinero al receptor del email.

Ninguno de los dos tipos de scam solicitan directamente dinero en efectivo. En cambio, ambos piden información o invitan a que los receptores se coordinen con un contacto falso (como ocurre en el ejemplo de la figura 3) acompañado de una llamada a la acción para proceder a enviar sus datos de contacto (figura 4). Los ciber-delincuentes que se encuentran detrás de estos fraudes son individuos que están utilizando Internet para cometer crímenes relacionados con el robo de identidad, envío de spam, phishing y otros tipos de fraudes.

Por otro lado, en otra campaña de spam, se analizó un mensaje de correo electrónico que ha sido enviado recientemente:

https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Sample%25202010FIFA%2520Spam_1276682706536.JPG
https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Screenshot%2520PDF%2520attach_1276682750748.JPG

El spam lleva adjunto un archivo .PDF que contiene los detalles de un supuesto premio de lotería que el receptor del email podría ganar. Para ello, se pide a la víctima que facilite información personal, la cual debe ser enviada a una persona de contacto o al emisor del correo electrónico antes de que el premio pueda ser reclamado.

Analizando las diferentes campañas de fraudes, se ha observado que el nexo de unión entre los recientes envíos de spam estaba en que el supuesto remitente de los emails: la señora Michelle Matins, Vicepresidenta Ejecutiva (no se menciona ninguna corporación), que también es la persona que firma el scam 419, también conocido como el timo Nigeriano.

https://filestore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Screenshot%2520other%25202010FIFA%2520Spam_1276682822329.JPG

Algunos ejemplos recuperados estaban libres de adjuntos y presuntamente habían sido enviados por un supuesto Vicepresidente de la FIFA, llamado Geoff Thompson. Sin embargo, la investigación realizada revela que este nombre también estaba relacionado con un viejo fraude.

Ya se informó de la existencia de un primer ataque de spam bancario relacionado con el Mundial de Fútbol 2010 de la FIFA a principios de 2009, 18 meses antes de que el actual evento tuviera lugar. El spam entonces detectado estaba relacionado con un premio de la lotería online.
Fuente

Comentario:
Y se sabe que los acontecimientos extraordinarios son aprovechados por los spammers para "colar" entre las noticias, y este no podía ser menos. Cuidado con ellos !

saludos

ms, 16-6-2010

Se está recibiendo mail masivo que aparenta venir de Caja Madrid indicando anomalias en la cuenta con dicha Caja:

TEXTO DEL PHISHING:

http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif

Durante nuestro proceso regular de mantenimiento, hemos detectado un error en la información personal de la cuenta que usted tiene con Caja Madrid.

Esto se debe a alguno de los siguientes factores:

1. Un cambio reciente en su información personal (cambio de dirección, etc.)

2. Haber ingresado información inv?lida durante el proceso inicial de registro ó que usted a?n no haya realizado dicho registro.

3. La imposibilidad de verificar con exactitud la opci?n relacionada a su forma preferente de pago y manejo de su cuenta debido a un error t?cnico en nuestros servidores.

Para actualizar y verificar la informaci?n de su cuenta por favor haga clic sobre el siguiente v?nculo. Ser? dirigido a la p?gina principal de nuestro sitio en Internet y podrá actualizar dicha información desde la comodidad de su hogar.

https://cajamadrid.es (FALSO!)
(Su caso ID es CM-0087-9012-000)

Si la informaci?n de su cuenta no se actualiza en las 48 horas siguientes, algunos servicios relacionados con el acceso a su cuenta ser?n restringidos hasta que sus datos personales sean verificados y actualizados.

——————————————————————————–

(c) Caja Madrid. 2001 – 2010. Espa?a. Todos los derechos reservados.

http://img85.imageshack.us/img85/3052/barrehorizontale55xx0.gif

Evidentemente el link no conduce a la Caja Madrid sino a :

http://loscabosflowers.com/webmail/bin/qw/index.php

el cual redirecciona inmediatamente a un servidor sito en Francia: 62.147.134.115

lns-bzn-47f-62-147-134-115.adsl.proxad.net

que visualiza entrada de datos y captura los mismos si se entran…

IMAGEN PANTALLA CAPTURA DE DATOS:

Ver imagen

Como siempre, no pulsar en ningun link de estas paginas, y menos entrar ningun dato en las casillas al efecto … !!!

saludos

ms, 16-6-2010

Recibida lista de principales virus detectados por Kaspersky en el pasado mes de Mayo, cabe señalar que el Conficker (alias Kido) sigue proliferando, y recordamos que su BOTNET va aumentando peligrosamente, con lo que ello supone de tener miles de servidores de internet bajo su control …

1 Net-Worm.Win32.Kido.ir
339.585

2 Virus.Win32.Sality.aa
210.257

3 Net-Worm.Win32.Kido.ih
201.746

4 Net-Worm.Win32.Kido.iq
169.017

5 Trojan.JS.Agent.bhr
161.414

6 Worm.Win32.FlyStudio.cu
127.835

7 Virus.Win32.Virut.ce
70.189

8 Trojan-Downloader.Win32.VB.eql
66.486

9 Worm.Win32.Mabezat.b
54.866

10 Trojan-Dropper.Win32.Flystud.yo
50.490

11 Worm.Win32.AutoIt.tc
47.044

12 Packed.Win32.Krap.l
44.056

13 Trojan.JS.Iframe.lq
38.658

14 Trojan.Win32.Agent2.cqzi
35.423

15 Trojan.Win32.Autoit.ci
34.670

16 Trojan-GameThief.Win32.Magania.dbtv
31.066

17 Trojan-Downloader.Win32.Geral.cnh
30.225

18 Trojan.JS.Zapchast.dv
29.592

19 Virus.Win32.Induc.a
28.522

20 Exploit.JS.CVE-2010-0806.e
27.606

Resaltamos los porcentajes de los 5 primeros con un total de mas de 1 millon de incidencias , de los que el conocido y temible Conficker ha sido el rey con un 63 %, el Sality el segundo con un 19 % , el VIRUT el tercero del podio con un 7 %, y con casi un 3 % los Onlinegame, y con un 8 % un par de downloaders significativos:

710348 conficker – ALIAS KIDO Y DOWNADUP, DE SOBRAS CONOCIDO

210257 sality – PELIGROSO VIRUS INFECTOR DE EJECUTABLES

70189 virut – VIRUS POLIMORFICO MUY COMPLEJO INFECTOR DE EJECUTABLES

31066 ONLINE GAMES – PWS CAZAPASSWORDS QUE VA CAMBIANDO E INFECTANDO

60486+30225 Trojan-Downloaders Win32.VB.eql y Win32.Geral.cnh

Si bien el Conficker se evita si se tienen los parches de microsoft instalados (especialmente el MS08-067) y vacunados ordenadores y pendrives con el Elipen, ademas de disponer de contraseñas "duras", otros como el Sality y el Virut son infectores cambiantes que se han de ir controlando a medida que se van conociendo, y muy temibles por no ser detectados de entrada por los antivirus, pero en este caso los delatan nuestras utilidades, al modificarlas y saltar la alerta de control de Checksum.

Los Online Games han disminuido sensiblemente, aunque siguen vigentes y los downloaders descargan nuevas variantes de malwares que requieren doble detección, la propia de los downloaders y la de los malwares descargados, como son muchos Fake AV.

Otros muchos completan el parque actual, pero valgan los indicados como mas probables a tener en cuenta para evitarlos !

saludos

ms, 16-6-2010