Noticias Tecnologicas, Noticias Tecnología, Internet, Negocios en la red.

Trojan.Win32.Sasfis.vbw se presenta como falsa una petición de pago

Los expertos de G Data Security Labs previenen contra una nueva oleada de malware – spam que persigue a los titulares de tarjetas de crédito y usuarios de banca online.

Desde el miércoles 18 de noviembre se han enviado millones de mensajes de correo electrónico con falsas peticiones de pago. En estos correos se solicita a clientes de banca online que abonen una cantidad pendiente de pago o bien que utilicen una herramienta adjunta para declinar dicho abono.

El adjunto “module.zip” contiene un archivo ejecutable que instala un troyano en el PC con el objetivo de registrar los números de tarjetas de crédito y de acceso a banca online. Además, el Trojan.Win32.Sasfis.vbw se conecta a servidores en Ucrania y Estados Unidos para descargar la información e instalar nuevo malware. Se han enviado estas falsas peticiones de pago en nombre de multinacionales como Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Negro & Decker o Avis.

Pantallazo de una petición de pago fraudulenta

El modus operandi

La víctima recibe un correo electrónico con una solicitud de pago emitida por alguna empresa multinacional sobradamente conocida, entre ellas Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Airways, Delta o Avis.

El correo electrónico incluye un programa adjunto llamado «modulo.exe» en un archivo zip que el usuario debe ejecutar para cancelar el mencionado pago. El archivo en cuestión resulta ser un caballo de troya que se introduce en el sistema, ejecuta operaciones en un segundo plano y facilita la descarga de nbuevo código malicioso. Una función como puerta trasera pondrá el equipo bajo el control de los estafadores, que podrán utilizarlo para todo tipo de actividades ilegales.

Un joven de 25 años fue detenido en Nueva Jersey (EE.UU.) acusado de robar un nombre de dominio en internet que luego vendió al jugador de baloncesto en la NBA Mark Madsen por 111.000 dólares, informaron hoy fuentes oficiales.

La Unidad de Delitos Informáticos de la Policía estatal de Nueva Jersey informó hoy que el pasado 30 de julio detuvo a Daniel Goncalves por haberse apropiado del nombre de dominio P2P.com. Se trata de la primera detención que tiene lugar en ese estado por un delito como ese.

Las siglas ‘P2P’ se corresponden con ‘peer to peer’ y hacen referencia a un popular sistema de intercambio de archivos a través de la red.

Según las autoridades estatales, Goncalves, que fue dejado en libertad bajo una fianza de 60.000 dólares a la espera de ser juzgado por tres delitos que conllevan penas máximas de 10 años de prisión cada uno, se apropió ilegalmente de la titularidad de ese dominio en 2006.

Por entonces, el valor de ese nombre de dominio podría rondar entre los 160.000 y 200.000 dólares, según la Policía de Nueva Jersey, que abrió una investigación en 2008 después de que los dueños de P2P LLC -una compañía de Florida creada específicamente para gestionar ese lugar de internet- denunciaran irregularidades en el contenido de esa web.

‘Las pruebas realizadas por GoDaddy (el servidor de internet estadounidense encargado de albergar la página de P2P LLC) demostraron que el nombre de dominio había sido transferido sin su conocimiento ni su consentimiento un año antes’, explicó la Policía a través de un comunicado.

Al parecer, Goncalves accedió ilegalmente a la cuenta de GoDaddy perteneciente a P2P LLC y emprendió la transferencia del nombre de dominio hacia su cuenta personal en la misma compañía.

Cuando acabó y dejó pasar los 60 días establecidos por ley, Goncalves puso en venta el nombre a través de la casa virtual de subastas en eBay y consiguió que Mark Madsen, jugador de Los Ángeles Clippers, lo comprara por más de 111.000 dólares sin saber que se trataba de un dominio robado.

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado un falso correo que, simulando ser una promoción de Navidad procedente de McDonald´s, es en realidad un cebo para distribuir el gusano P2PShared.U.

El asunto del correo es:”Mcdonalds wishes you Merry Christmas!” (McDonald´s te desea Feliz Navidad). En el cuerpo del mensaje puede leerse lo siguiente:

“McDonald’s is proud to present our latest discount menu.
Simply print the coupon from this Email and head to your local McDonald’s for FREE giveaways and AWESOME savings.”

(McDonald´s se enorgullece de presentar nuestro último menú descuento.

Simplemente imprime el cupón de este email y ve a tu local McDonald´s para conseguir regalos gratis y ahorrar dinero).

Para dar más validez a los mensajes, la dirección desde la que se envía tiene el dominio “mcdonalds.com”. Además, el mail cuenta con un menú desplegable que da la opción de elegir el país en el que se va a disfrutar de la supuesta promoción, algo muy adecuado si se quiere hacer creer que el mail procede de una multinacional como McDonald´s.

Existe otra variante de correo electrónico utilizada por este código malicioso para distribuirse. En este segundo caso, el asunto es “You have recieved a Hallmark E-Card from your friend” (Has recibido una E-tarjeta Hallmark de tu amigo).

En el cuerpo del mensaje, de nuevo, se incita al usuario a descargarse y ejecutar el archivo adjunto en el email, con la excusa, esta vez, de que así podrá ver la tarjeta que le han enviado.

En ambos casos, si el usuario hace caso al email y descarga el supuesto cupón, e intenta abrirlo, en realidad, estará ejecutando una copia del gusano P2PShared.U que se instalará en su ordenador.

Una vez en el ordenador, este gusano enviará nuevos mails a otros usuarios con el mismo asunto y la misma apariencia.

Además, se copiará en la carpeta de archivos compartidos de varios programas P2P (programas como el eMule, LimeWire, morpheus, etc.) con nombres atractivos y de distinto tipo desde software de seguridad, programas de edición de imagen, cracks de programas, etc. De esta manera, cuando un usuario crea estar descargando alguno de estos programas a través de una de estas redes, en realidad, se estará descargando una copia del gusano

Cybex imparte el segundo curso de EnCase Forensics, el programa estrella en investigación forense informática.

Cybex, firma de referencia en investigación del fraude empresarial y económico en entornos virtuales, organiza e imparte del 24 al 27 de noviembre el curso de EnCase Forensic II en el centro BCMadrid. Este curso, dirigido a Fuerzas y Cuerpos de Seguridad, y certificado oficialmente por Guidance, va a dar a conocer el funcionamiento y las utilidades del software EnCase Forensic, referencia de la industria para análisis forense de medios digitales.

El aumento de los delitos cometidos a través de las nuevas tecnologías se ha incrementado exponencialmente a medida que su uso se ha extendido en la sociedad.

Conceptos como phising, piratería, código malicioso, spam, fuga de información, y delitos como ciberterrorismo o las webs de pederastia, se han vuelto habituales en los medios, reflejando una realidad diaria que debe abordarse desde nuevos ángulos. Los Cuerpos y Fuerzas de Seguridad deben prepararse para realizar investigaciones complejas y a gran escala en entornos digitales. De esta forma, podrán identificar, prevenir y perseguir el cibercrimen en todas sus manifestaciones.

El curso de Cybex sobre EnCase Forensic capacitará a policías y guardias civiles para realizar técnicas avanzadas de búsqueda de pruebas electrónicas, uso de librerías hash en las investigaciones y elaboración de informes de resultados con las pruebas encontradas. Cuerpos y Fuerzas de Seguridad en todo el mundo utilizan y se benefician de la potencia de EnCase Forensic.

Cybex se ha convertido, desde su fundación en el año 2000, en la principal empresa de consulta para procesos relacionados con la gestión y obtención de pruebas electrónicas y su admisibilidad en procedimientos judiciales. Proporciona sus servicios especializados a bufetes de abogados, corporaciones, empresas, gobiernos, y fuerzas y Cuerpos de Seguridad del Estado.

Cybex posee también un Centro de Competencias en Defensa y Seguridad Nacional que mediante acuerdos establecidos con diferentes organismos, reúne a equipos multidisciplinares integrados por personal de sus laboratorios, personal de I+D y profesionales procedentes de alianzas estratégicas internacionales.

http://www.cybex.es/

de contenidos de internet ha detectado un ataque de spam que ha tenido gran credibilidad entre los usuarios debido a la crisis que sacude los mercados internacionales

Los afectados recibían un email para instalar un supuesto certificado de seguridad de su entidad bancaria y lo que descargaban era un troyano, que registraba las secuencias del teclado, robando el nombre y contraseñas del usuario de banca online.

El 12 de septiembre, el equipo de investigación de Trend Micro descubrió un esquema de phishing espía dirigido a Wachovia Bank. Aparentemente aleatorio, este ataque de spam resultó ser sólo el primero de una serie, que comenzaron con un spam del Bank of America el 9 de septiembre de 2008 y continuaron con el banco de inversi´no Merrill Lynch a finales de mes.

El mensaje de spam hacía que los clientes online de Wachovia Bank instalaran de forma manual el ‘Wachovia Security Plus Certificate’ para tener acceso seguro a los nuevos servicios online de la entidad.

Al hacer clic en el enlace se descargaba un archivo que el usuario podía ejecutar o guardar según prefiriera. Por supuesto, al ejecutarlo no le daba un acceso seguro a absolutamente nada, sino que descargaba un trojano que robaba su claves sin que el usuario se diera cuenta.

¿Que pasaba cuando se descargaba el troyano

El troyano descargado realizaba las siguientes rutinas durante la ejecución:
1. Descargaba dos ejecutables (también identificados como TROJ_AGENT.AINZ) y los ejecutaba directamente.
2. Instalaba un ejecutable (también TROJ_AGENT.AINZ) y un archivo de sistemas (TROJ_ROOTKIT.FX, un componente de rootkit).
3. Creaba y modificaba las entradas del registro para ejecutar automáticamente los archivos descargados e instalados.
4. Borraba las cookies de las sesiones del navegador.

Juntos, troyano y rootkit registraban las pulsaciones del teclado realizadas por los usuarios al capturar información dentro del navegador Internet. La rutina de eliminación de cookies obligaba a los usuarios a capturar los datos nuevamente (incluso después de activar la función “Recordar Contraseña”. Es entonces cuando TROJ_AGENT.AINZ enviaba la información recopilada a un site ubicado en Alemania a través de un post HTTP.

Los autores de este ataque crearon un rootkit (TROJ_ROOTKIT.FX) para asegurarse de que la rutina de robo de información procedía completamente sin que el usuario lo supiera. Este rootkit, como la mayoría de ellos, oculta los procesos, por lo que al intentar verlos a través del Administrador de Tareas o incluso el Explorador de Procesos (una herramienta avanzada de visualización de procesos de los PCs) no se detectaban, ni se ponía de manifiesto la ejecución de rutinas maliciosas.

Asimismo, el rootkit también oculta archivos para cambiar la configuración de las “Opciones de Carpeta…” de Windows Explorer mostrando todos los archivos. Los rootkits además, realizan la mayoría de los cambios del sistema al manipular el registro del sistema – y después ocultan estas entradas del registro modificadas-. Estas capacidades hacen de los rootkits un componente del código malicioso muy atractivo para las amenazas Web.

¿Y, después?

Poco después del spam de Wachovia, Trend Micro encontró otro ataque de spam, esta vez suplantando a Merrill Lynch, que empleaba la misma táctica, aprovechándose de las preocupaciones por la seguridad de los usuarios de banca online.

El que la URL del enlace del supuesto certificado de seguridad pareciese legítima, aumentó la credibilidad y la eficacia de ambos ataques.

Leido: noticiasdot.com