Archivo de la etiqueta: Smart Protection Network

Nuevo “Zero-day” en Adobe Flash: Qué necesita saber

Christopher Budd

Un nuevo problema afecta a Flash de Adobe. Esta es una situación grave que afecta a casi todo usuario de Microsoft Windows. Por eso, aquí está lo que necesita saber y, lo más importante, lo debe hacer.

¿Cuál es el problema?

El problema es una vulnerabilidad recientemente descubierta que afecta a Adobe Flash en Microsoft Windows. Esta vulnerabilidad o defecto puede utilizarse por los atacantes para ejecutar código o programas en su ordenador con Windows como si usted lo ejecutara. Cualquier cosa que pueda hacer en su ordenador, el programa del atacante puede hacerlo. En el peor de los casos, puede descargar malware en su ordenador.

Vulnerabilidades aparecen constantemente. Pero generalmente se reparan con un parche cuando se encuentran, antes de que los atacantes puedan localizarlas. Mientras el sistema se mantenga actualizado, está protegido contra la mayoría de las vulnerabilidades. Lo que convierte esta situación en grave es que los investigadores, incluyendo nuestra TrendLabs, han descubierto que los atacantes primero encontraron esta vulnerabilidad y después atacaron antes de que el parche esté disponible: este tipo de situaciones se llama situación de “día cero”, porque los defensores tienen “cero días” para protegerse de los ataques. Esto significa que, incluso si mantiene su sistema actualizado, todavía está en riesgo de ataque hasta que Adobe libere un parche.

Sigue leyendo

El final del soporte a Windows XP: véalo y comuníquelo

Autor: Christopher Budd, Global Threat Communications

Comienza la cuenta atrás para el final de Windows XP. En poco más de una semana esta versión del popular sistema operativo de Microsoft verá el final de su larga y exitosa carrera. Cuando los libros de historia se escriban, Windows XP probablemente será recordado como la versión más exitosa de Windows.

Pero todo lo bueno tiene un final, incluso  los sistemas operativos.

Después del 8 de abril de 2014, Microsoft dejará de proporcionar actualizaciones de seguridad para Windows XP. A partir de entonces, se convertirá en el blanco de ataque más fácil para malware y cibercrimen en Internet.

Esto no sería un problema si según nuestros datos de Smart Protection Network el 32% de todos los PC está TODAVÍA ejecutando Windows XP. Esto significa que más del 30% de los ordenadores está a punto de convertirse en un objetivo importante para el malware y el cibercrimen.

El mundo nunca se ha enfrentado a una situación como ésta. Otras versiones de Windows han salido de su soporte en el pasado, pero nunca cuando tenían su uso estaba tan extendido.

Así que muchos de los sistemas a través de Internet están a punto de convertirse en posibles objetivos, lo que hace que esta situación sea un problema no sólo para aquellas personas que ejecutan estos sistemas vulnerables sino para todos. Cualquier sistema comprometido es una amenaza no sólo para las personas que lo poseen y utilizan, sino para otros usuarios de Internet. En particular, los sistemas comprometidos que se convierten en parte de botnets hacen más daño a los demás que a los propietarios.

Lo que esto significa es que en unos días estaremos viendo una gran cantidad de equipos con Windows XP convirtiéndose en una amenaza real para todos en Internet.

Situación extraordinaria

Se ha dicho que circunstancias extraordinarias requieren medidas extraordinarias. Si alguna vez ha habido un caso que en el que esto aplique en términos de seguridad, debería ser éste.

En el de Windows XP y el hecho de que las personas que ejecutan Windows XP constituyen más un peligro para los demás que para sí mismos, ya no es una cuestión  personal y de elección. Al igual que en una crisis de salud pública se aplican diferentes reglas a causa de la amenazas para el bien común, también aquí se tienen que aplicar nuevas normas.

 Por ello, Trend Micro pone a disposición de la población un documento que explica el fin del soporte de seguridad para Windows XP, lo que esto significa para alguien que ejecute Windows XP y lo que se debe hacer al respecto. La idea es que cualquier persona que conozca a otra que ejecute este sistema operativo, pueda aconsejarle utilizar este folleto para ayudar a protegerse a sí mismo y al hacerlo, también ayuda a proteger Internet. Ya se trate de amigos, familiares o empresas –siempre y cuando vea a alguien ejecutando Windows XP, esperamos que tenga en cuenta el riesgo que supone para todos y se tome un tiempo para ayudar a entender los riesgos y hacer algo al respecto.

1

 

Hacer esto no es sólo un servicio público. Si ve a su médico en la consulta utilizando Windows XP, por ejemplo, es probable que su información personal y médica se encuentre en riesgo. Hacer un comentario sobre este problema puede ahorrar mayores problemas en el futuro.

Solemos pensar en la seguridad de Internet como algo que “otras personas” deben cuidar. Y, por lo general, los profesionales pueden hacerse cargo de una gran parte de esta responsabilidad. Pero todos somos parte de Internet y todos tenemos la responsabilidad de protegernos no sólo a nosotros mismos, sino entre todos, para mantenernos lo más seguros posible. Justo en este momento es realmente apropiado hacer algo diferente. En lo que a Windows XP se refiere y a los riesgos que se avecinan después del 8 de abril de 2014, si usted lo ve, dígalo. 

por Rika Joi Gregorio (Threat Response Engineer)

Conforme más países se unen a la búsqueda del desaparecido vuelo de Malaysia Airlines 370, los cibercriminales utilizan esta noticia tan comentada para propagar diferentes amenazas on line.

Una de ellas, que creemos se está extendiendo a través del correo electrónico, contiene un falso video sobre el vuelo. Supuestamente es un video de cinco minutos sobre MH70 llamado Malaysian Airlines MH370 5m video.exe. En realidad, es un backdoor detectado como BKDR_OTOPROXY.WR. Como en la mayoría de los backdoors, este malware permite a un atacante remoto ejecutar varios comandos en el sistema, incluidos los de descargar y ejecutar archivos desde sus servidores y recoger información del sistema.

Este backdoor tiene algo de inusual. Su servidor de comando y control (C & C) www-DPMC dynssl-com (sustituir guiones con puntos) fue observado por otros investigadores de seguridad en octubre del año pasado por estar relacionado con un ataque dirigido. No es habitual que un ataque dirigido comparta la misma infraestructura que una campaña mayor de ciberdelincuencia “convencional”, pero que parece ser que es el caso aquí. Actualmente no tenemos ninguna información de que este backdoor en particular esté siendo utilizado en los ataques dirigidos.

También descubrimos estafas que se aprovechan de la tragedia. Una de estas hace uso de las falsas noticias de que el avión desaparecido ha sido encontrado en el mar. Los usuarios que hacen clic en el enlace son dirigidos a una página web que imita el diseño de Facebook. Este site cuenta con un vídeo embebido, supuestamente del descubrimiento del avión desaparecido. Al hacer clic en cualquier parte de la página se abre otra página con un falso video sobre la secuela de la película Avatar.

1

1. Site malicioso con el “video” embebido
Cuando el usuario hace clic en cualquiera de estos videos, se le pide compartir con sus seguidores de redes sociales antes de poder verlo. El video está restringido a menos que se comparta. Después de compartir, el usuario está obligado a verificar su edad, completando un test. Estas pruebas son en realidad una encuesta estafa. Estas estafas solicitan a los usuarios responder a múltiples encuestas a cambio de algo (en este caso, un supuesto video) que en realidad no existe. El feedback de Trend Micro Smart Protection Network indica que el 32% de los usuarios que accede a esta página se encuentra en América del Norte y más del 40% en Asia-Pacífico.

Otra encuesta estafa consiste en un site que imita el diseño de YouTube para presentar otro video del “descubrimiento” del avión desaparecido. Al igual que el anterior, se requiere que los usuarios compartan el video y completen un  “test” antes de poder verlo. Una vez más, este test lleva a un site de encuesta falso.

2
2. Otro site promocionando un “video” de última hora

La actualidad y la actualización de las noticias se han convertido en un cebo de la ingeniería social de los delincuentes cibernéticos. Lamentablementea esto ocurre con frecuencia– sucesos como el terremoto de Tohoku, la maratón de Boston y el tifón Haiyan han servido ​​para difundir diversas amenazas.

Aconsejamos a los usuarios confiar en los sites de noticias de buena reputación y de confianza para obtener información sobre acontecimientos actuales, en lugar de a través de correos electrónicos o de sites de redes sociales. Trend Micro detecta y bloquea todas las amenazas relacionadas con estos incidentes.

Con ideas adicionales de Maela Angeles, Ruby Santos e Isaac Velásquez.

El cliente de escritorio de WhatsApp no existe; es más, es usado para ataques spam

Por Michael Casayuran (Anti-spam Research Engineer)

La popular aplicación de mensajería WhatsApp ha sido noticia al ser adquirida recientemente por Facebook por la asombrosa cifra de 19 mil millones de dólares. Los ciberdelincuentes no han perdido el tiempo en sacar provecho a esta noticia: apenas una semana después del anuncio oficial , un ataque spam confrima que una versión del escritorio de la aplicación móvil popular se está probando .

whatsapp
 1 . Captura de pantalla del mensaje spam

Nuestros ingenieros han encontrado una muestra de spam que alude a la compra por Facebook de WhatsApp, y también apunta a que una versión de WhatsApp ya está disponible para usuarios de Windows y Mac PC . El mensaje proporciona un enlace de descarga para esta versión, que se detecta como TROJ_BANLOAD.YZV , utilizado comúnmente para descargar malware bancario. (Este comportamiento es el mismo, ya sea en PC o en dispositivos móviles.)

Funciona así: TSPY_BANKER.YOSI se descarga en el sistema. Esta variante recupera nombres de usuario y contraseñas almacenados en el sistema, lo que supone un riesgo para la seguridad de las cuentas on line a las que se accede en el sistema afectado. El uso de programas maliciosos, junto con un mensaje portugués, hace pensar que los objetivos son usuarios en Brasil. El feedback de Smart Protection Network afirma que más del 80 por ciento de los usuarios que ha tenido acceso al site malicioso viene de Brasil.

Aunque el volumen de este tipo de spam de ejecución es relativamente bajo, actualmente está aumentando. Una de nuestras fuentes de spam confirma que las muestras representan hasta el 3 % de todo el correo visto, lo que hace suponer un posible brote de spam.

Recomendamos a los usuarios que tengan cuidado con este mensajes o similares ; WhatsApp no tiene actualmente una cuenta Windows o Mac , por lo que todos los mensajes apuntan a que puede ser considerado una estafa. Trend Micro protege a los usuarios de este ataque de spam a través de la detección del archivo malicioso y spam, así como el bloqueo del sitio web.

 

Flappy Bird troyanizado continúa tras la desaparición de la app por su creador

por Veo Zhang (Mobile Threats Analyst)

El giro interesante que han tomado los acontecimientos sobre el juego Flappy Bird ha tenido su repercusión en Internet: tras convertirse en un juego muy popular (descargado más de 50 millones de veces), el desarrollador anunció de repente que lo retiraba de las app stores como realmente luego hizo. La decisión suscitó mayor interés en el juego si cabe, y aparecieron aplicaciones similares en las app stores, e incluso subastas de dispositivos con la app instalada.

Lo que vino después fue, sin embargo, menos agradable: aparecieron un montón de falsas aplicaciones Android Flappy Bird difundiéndose por la red.

Especialmente siginificativo en mercados de aplicaciones de Rusia y Vietnam, estas falsas aplicaciones Flappy Bird tienen exactamente el mismo aspecto que la versión original :
1
Todas las versiones falsas que hemos visto hasta ahora abusan de los servicios de pago – aplicaciones que envían mensajes a números de tarificación adicional, causando por lo tanto cargos no deseados en las cuenta de teléfono de las víctimas. Como se verá más adelante, la falsa aplicación Flappy Bird pide permisos para leer/enviar mensajes de texto durante la instalación – algo que no se requiere en la versión original.
2
Después de que el juego está instalado y puesto en marcha, la aplicación comienza a enviar mensajes a números de tarificación adicional :
3
Y mientras el usuario está ocupado en el juego, este malware se conecta a hurtadillas a un servidor C & C a través de Google Cloud Messaging para recibir instrucciones . Nuestro análisis del malware reveló que a través de esta rutina, el malware envía mensajes de texto y oculta las notificaciones de mensajes de texto recibidos con cierto contenido.

Aparte del abuso de los servicio de pago, la aplicación presenta riesgo de fuga de información para el usuario, ya que envía el número de teléfono, el proveedor de línea telefónica y la dirección Gmail registrados en el dispositivo .

Otras versiones falsas que hemos visto tienen una función de pago añadido en la aplicación originalmente libre. Estas versiones falsas muestran un pop-up preguntando al usuario si quiere pagar por el juego. Si el usuario se niega a jugar, la aplicación se cerrará.

Estas aplicaciones falsas Flappy Birds ahora se detectan como ANDROIDOS_AGENT.HBTF , ANDROIDOS_OPFAKE.HATC y ANDROIDOS_SMSREG.HAT .

Aconsejamos a los usuarios de Android (en especial a los que están dispuestos a descargar la ahora ” extinta ” aplicación Flappy Bird ) tener cuidado al instalar aplicaciones . Los ciberdelincuentes están constantemente sacando provecho de los juegos populares (como Crush Candy, Angry Birds Space , Temple Run 2  y Bad Piggies ) para dar rienda suelta a las amenazas móviles . Los usuarios también pueden optar por instalar una aplicación de seguridad (como Trend Micro Mobile Security ) para poder comprobar las aplicaciones antes de la instalación .