Archivo de la categoría: Phishing

Un nuevo zero-day en Adobe Flash utilizado en la campaña Pawn Storm dirigida a Ministerios de Asuntos Exteriores

pawnstorm-300x140

Análisis de Brooks Li, Feike Hacquebord y Peter Pi

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces que conducen al exploit. Los emails y direcciones URL se han creado a mano para simular que dirigen a información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

  • “Un suicida con coche bomba se dirige contra el convoy de tropas de la OTAN en Kabul”
  •  “Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos”
  • Israel lanza ataques aéreos contra objetivos en Gaza”
  • “Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa”
  • El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria”

Sigue leyendo

TorrentLocker ataca objetivos italianos

Joseph C Chen (Investigador de Fraudes)

Hemos descubierto recientemente una nueva variante de ransomware, TorrentLocker, dirigido a aproximadamente 4.000 organizaciones y empresas italianas. TorrentLocker pertenece a la familia ransomware (CryptoLocker), y también cifra diversos archivos y obliga a los usuarios a pagar una suma de dinero. TorrentLocker utiliza la red de anonimato TOR para ocultar su tráfico de red, lo que puede haber sido el origen de su nombre.

La citada amenaza utiliza un correo electrónico spam escrito en italiano con varias plantillas como parte de sus tácticas de ingeniería social. Traducido al Inglés, estos mensajes dicen:

1. Su pregunta se ha hecho en el foro {día} / {mes} / {año} {hora}. Para la respuesta detallada consulte la siguiente dirección: {enlace malicioso}

2. Se le envió una factura que debe pagar antes de {día} / {mes} / {año}. Detalles encontrados: {enlace malicioso}

3. Su solicitud ha sido iniciada para revisar el pago {enlace malicioso}

1

1 Muestra de correo electrónico spam

Todos los mensajes contienen un enlace que lleva a un archivo zip. Descomprimir el archivo de almacenamiento produce un archivo disfrazado como documento PDF. Los archivos PDF son muy normales en las empresas, y como tal, los empleados que reciben este mensaje spam puede llegar a pensar que esto es legítimo.

2

2 Captura de pantalla del archivo vinculado

Algunos de los archivos de almacenamiento tienen nombres como Versamento.zip, Transazione.zip, Compenso.zip o Saldo.zip. Estos nombres de archivo se traducen como pago, transacción, compensación y saldo, respectivamente. Sin embargo, en lugar de un archivo PDF, estos archivos son en realidad una variante CryptoLocker detectado por Trend Micro como TROJ_CRILOCK.YNG.

Al igual que en otras variantes, Cryptolocker cifra una gran variedad de tipos de archivo, incluyendo .DOTX, DOCX, DOC, TXT, PPT, .PPTX y .XLSX, entre otros. Todos estos tipos de archivo están asociados con los productos de Microsoft Office y se utilizan comúnmente en las operaciones diarias de las empresas.

Para recibir la herramienta de descifrado para supuestamente recuperar archivos cruciales los los usuarios necesitan para pagar el rescate en Bitcoins. En una de las muestras que encontramos pidieron un rescate de 1.375 BTC

4

3 y 4. Imágenes de ransomware (Click para ampliar)

Los usuarios italianos son los más afectados por este particular spam, ya que la mitad de todos los mensajes de spam que se identifican con este tipo de spam fueron enviados a usuarios en Italia. La cuarta parte provino de Brasil, con otros países que representan el resto. En su pico, varios miles de usuarios se vieron afectados al día.

5

5. Distribución de los objetivos TorrentLocker globalmente

6

6. Número de objetivos afectados al día

Protegemos a nuestros usuarios contra esta amenaza mediante el bloqueo de las diferentes fases de esta amenaza. Además de bloquear los diversos mensajes spam, bloqueamos también las URL maliciosas y detectamos los archivos maliciosos utilizados en este ataque.

Los hash del archivo vistos en este ataque incluyen:

  • 050b21190591004cbee3a06019dcb34e766afe47
  • 078838cb99e31913e661657241feeea9c20b965a
  • 6b8ba758c4075e766d2cd928ffb92b2223c644d7
  • 9a24a0c7079c569b5740152205f87ad2213a67ed
  • c58fe7477c0a639e64bcf1a49df79dee58961a34
  • de3c25f2b3577cc192cb33454616d22718d501dc

Información adicional de Grant Chen

Sandworm y SCADA

Al hilo de la noticia de que la vulnerabilidad “sandworm” (CVE-2014-4.114) se está utilizando en ataques contra la Organización del Tratado Atlántico Norte (OTAN) y varias industrias europeas, los investigadores de Trend Micro Kyle Wilhoit y Jim Gogolinski y el resto del equipo de Trend Micro FTR han descubierto nuevos y preocupantes ataques que utilizan esta vulnerabilidad. Nuestros investigadores acaban de encontrar ataques activos contra las organizaciones que utilizan el software de control de supervisión y adquisición de datos (SCADA), como un primer paso evidente en los ataques dirigidos de estilo APT.
Estos ataques se dirigen a PCs con Microsoft Windows que funcionan con la suite CIMPLICITY HMI con un spear phishing. El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad “sandworm” en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema.
Black Energy es una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Dos miembros de la familia de malware Black Energy BLACKEN.A y BLACKEN.B ya se han visto en otros ataques que utilizan la vulnerabilidad “sandworm”.
Otro tema interesante que nuestros investigadores han encontrado es que los mails de spear phishing parecen venir de Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos.
Microsoft ha lanzado una actualización de seguridad que protege contra los intentos de aprovechar la vulnerabilidad  “sandworm”, MS14-060. En base a la actividad actual y anterior, esta actualización de seguridad debe ser una prioridad para el despliegue inmediato tan pronto como sea posible, especialmente en aquellos sectores de infraestructuras críticas.
Trend Micro ofrece protección contra esta vulnerabilidad con Trend Micro Deep Security y Office Scan con el plugin de Intrusion Defense Firewall (IDF). También ofrecemos protecciones contra BLACKEN.A y BLACKEN.B través de Office Scan y nuestros otros productos de seguridad de end point.
Puede encontrar información más detallada sobre la vulnerabilidad “sandworm” en este post y más detalles de nuestras investigaciones en estos nuevos ataques centrados en SCADA aquí.

Investigando los abusos en Twitter, parte 1

Twitter es un importante canal de comunicación para muchas personas, por lo que no debería sorprendernos que también se haya convertido en un medio explotado por los ciberdelincuentes. Junto con investigadores de la Universidad Deakin, Trend Micro ha publicado un exhaustivo informe titulado “Análisis en profundidad sobre los abusos en Twitter” (An In-Depth Analysis of Abuse on Twitter) donde se ve la escala de esta amenaza.

Para obtener esta información, se han analizado los tweets de acceso público durante un período de dos semanas en 2013. Muchos se descartaron ya que no tenían ningún vínculo. La mayoría de los tweets maliciosos contienen algún tipo de enlace malicioso, por lo que se consideró oportuno centrarse sólo en estos.

Tras recopilar más de 570 millones de tweets en total, se identificó que más de 33 millones (5,8% del total) contenían enlaces a contenido malicioso de algún tipo. Contenido malicioso no significa necesariamente sólo malware, puede suponer también enlaces a anuncios y páginas de phishing afectadas, entre otras amenazas. La recogida de datos se realizó durante un período en que hubo un brote significativo de spam.

En la práctica, hemos identificado varios tipos de abuso en Twitter, incluyendo:

  • Spam
  • Phishing
  • Enlaces a malware
  • Cuentas que son robadas y suspendidas

Hay dos tipos distintos de Spam: “spam tradicional” que utiliza etiquetas de hashtags, es muy obvio, repetitivo y se cierra rápidamente. El sedundo tipo es el que llamamos “spam de búsqueda”. Tweets de spam que se pueden buscar y que son completamente diferentes. Se parecen a esto:

1

1. Tweets de búsqueda

Estos tweets son, en cierto modo, más parecidos a los anuncios clasificados. Por lo general se utilizan para promover copias piratas de artículos como:

  • software crackeado
  • películas gratuitas
  • imitaciones de gadget
  • soluciones de ámbito doméstico

A diferencia de los tweets más “tradicionales”, no hicieron gran uso de hashtags. Hay una fuerte conexión con Europa del Este y estos tweets: muchos están escritos en ruso o alojados en servidores de Rusia o Ucrania.

Esta amenaza es mucho más discreta que otros ataques y se nota: la probabilidad de que Twitter suspenda cuentas donde se realiza este tipo de actividad es más baja que las cuentas donde se participan en otras actividades maliciosas. Todo esto está diseñado para evitar que los usuarios informen de la existencia de estos tweets (y cuentas).

Además, la mitad del tráfico de los sitios web anunciados en estos tweets en realidad no proviene de Rusia. Los usuarios que encuentran estos tweets realmente están interesados ​​en lo que “necesitan”, incluso si necesitan de herramientas de traducción automática para entenderlos.

Las cuentas de Twitter en sí son objetivos valiosos para los cibercriminales. Como resultado, también son comunes varias estafas que tratan de obtener las credenciales de usuario. Por ejemplo, cuentas comprometidas que mencionen a sus amigos en los tweets (o enviar mensajes directos) que piden al usuario hacer clic en una URL (acortada). Este enlace dirige a os usuarios a páginas de phishing donde se piden las credenciales de la cuenta de Twitter del usuario.

Otra forma de obtener acceso a las cuentas de esta popular red social es la estafa del seguidor conocido. Estas estafas atraen a los usuarios con la promesa de tener más seguidores. En su lugar, ofrecen a los atacantes el acceso a las cuentas de Twitter.

En próximos posts, vamos a ver las diferencias regionales en el abuso de Twitter, así como las posibles soluciones a la amenaza.

 

Esta investigación ha estado apoyada por ARC Linkage Project LP120200266

Para más información, visite: http://blog.trendmicro.com/trendlabs-security-intelligence/investigating-twitter-abuse-part-1/

 

Mes de la Ciberseguridad: ¿cómo los usuarios se convierten en las víctimas?

La ciberseguridad es una parte importante de nuestra vida cotidiana, tanto si somos conscientes de ello como si no. Crear conciencia de que hay que estar seguro online es responsabilidad de cada uno y es parte clave en la lucha contra la ciberdelincuencia. Es por ello que uno de los lemas del Mes de Concienciación de Seguridad Cibernética Nacional de este año es la campaña ‘Pare. Piense. Conecte ‘™, que promueve este mismo mensaje.

Aprender a estar seguro on line es difícil sin saber cómo uno puede ser infectado. Entonces, ¿cómo se convierten los usuarios de hoy en día en víctimas de las distintas amenazas on line?

¿Cómo se convierten los usuarios en víctimas?

Hay varios métodos que conducen a los usuarios a convertirse en víctimas de las amenazas on line. Los ejemplos incluyen correo electrónico – donde tenemos spam, incluido spam con archivos adjuntos o enlaces a sitios web maliciosos. Las amenazas también llegan a través de las redes sociales, donde los ciberdelincuentes pueden spamear a los usuarios con mensajes y mensajes instantáneos, que también contienen diversas amenazas.

Mientras que las amenazas han cambiado con los años, muchos de los métodos utilizados para difundir estas amenazas no son muy diferentes de las técnicas anteriores. Los cibercriminales siguen confiando en el correo electrónico para enviar millones y millones de spam cada día; el feed back que da Smart Protection Network indica que casi dos tercios de correo electrónico es spam. Sitios web maliciosos – incluyendo los sitios de phishing y estafas de encuestas – están todavía en circulación.

Estas técnicas – y otras formas de ingeniería social – aún funcionan, por desgracia. Los usuarios, por ejemplo, tienen dificultades para detectar una estafa de phishing. Otros pueden no reconocer los problemas de seguridad de adware y aplicaciones “libres”. Otros pueden no reconocer los riesgos a los que se enfrentan los usuarios de banca móvil. Otras tácticas bien conocidas como el spam, aplicaciones troyanizadas de las tiendas de aplicaciones de terceros y sitios comprometidos siguen siendo un problema hoy en día. A casi todo lo que hacemos en Internet tiene se le atribuye algún tipo de riesgo y los usuarios deben ser conscientes de ello.

¿Cómo pueden los usuarios evitar convertirse en víctimas?

La parte más importante en la seguridad on line es el reconocimiento de que existe una amenaza. Muchas de estas amenazas se basan en que el usuario no sabe cómo funcionan. Un usuario informado no será víctima de numerosas amenazas. Los usuarios informados también pueden ayudar a sus amigos a evitar estas estafas.

En relación al Mes de Concienciación de Seguridad Cibernética Nacional, discutiremos varios aspectos del actual panorama de amenazas en línea. Esté atento a los distintos epígrafes que tratan sobre las amenazas de hoy en día, y lo que se está haciendo para ayudar a combatirlas a diario.