Los atacantes cada vez utilizan más las ventanas que aparecen cuando el usuario esta navegando por Internet. En ellas se les informa de que su equipo está, supuestamente, infectado y se les ofrecen falsos antivirus para limpiarlo y protegerlo. Este método protagonizó el 15% de los ataques de malware registrados por Google en sitios web. El estudio se realizó entre enero de 2009 y febrero de 2010.

Según Niels Provos, principal ingeniero de software de Google, desde que la compañía comenzó con el estudio hasta que terminó, la presencia de anuncios de falsos antivirus se ha multiplicado por cinco. Señala también que este método se está convirtiendo en un grave problema porque representa la mitad de todo el software malicioso difundido mediante anuncios en la red.

En su investigación, Google examinó 240 millones de sitios web en los que descubrió 11.000 dominios que se dedicaban a extender falsos antivirus.

El uso de esta amenaza y la manera de difundir los falsos antivirus ha ido evolucionando. En sus inicios se extendían mediante el envío de correos electrónicos a los usuarios, pero en 2007 Google registró el primer ataque de este tipo que se realizaba mediante una página web.

La técnica de este ataque también se ha modificado. Según Provos, “en aquel momento, los ataques empleaban JavaScript simple para desplegar una alerta que pedía al usuario que se descargara un falso ejecutable”, pero “recientemente, los sites de falsos antivirus utilizan JavaScript complejo para mimetizar la apariencia de la interfaz de usuario en Windows. Y en algunos casos, el software malicioso detecta el sistema operativo y se adapta a su interfaz”.

Fuente: Zona Virus

Según un mensaje que ha dado Google a través de correo electrónico, “el equipo de Gmail se toma la seguridad con toda seriedad y esta investigando los informes que hemos visto en nuestros foros de usuarios durante los últimos días” y añade que, “animamos a los usuarios que sospechen que sus cuentas puedan haber sido comprometidas a cambiar sus contraseñas de forma inmediata ha seguir los consejos dados en la página http://www.google.com/help/security/.”,

Aún no se sabe que intenciones hay detrás de esta amenaza ni cómo funciona. Según los mensajes que los usuarios han dejado en los foros, los ciberdelincuentes podrían estar mandando spam mediante la interfaz móvil del sistema, la cual proporciona a los usuarios de teléfonos móviles la posibilidad de ver sus cuentas. Además, los usuarios dejan ver su preocupación ante el riesgo de que haya un fallo en esta interfaz que este dando a los atacantes la posibilidad de mandar correos basura mediante sus cuentas.

Google, por su parte, ha asegurado que no hay ningún problema de seguridad en la interfaz de Gmail, indicando que “nuestra investigación no aporta indicios de ello. A veces los spammers utilizan una interfaz móvil para acceder a las cuentas que ya han comprometido porque resulta más fácil para los bots utilizar este método a gran escala”.

Fuente: CSO España

El método se basa en detectar la locación del propietario de la cuenta cuando accede a ella y, si no lo hace desde un sitio habitual, se envía un aviso acompañado de un informe sobre la actividad de la cuenta.

Para controlar los sitios habituales desde los que el usuario entra a su correo electrónico, el sistema automatizado compara la dirección IP relevante a una gran situación geográfica. Pavni Diwanji, director de ingeniería de Google, señala que “mientras que no tenemos la capacidad para determinar desde que locaciones específicas se accede a las cuentas, un acceso que llega de un país y algunas horas después es accedida desde otro puede activar la alarma”.

Si Google sospecha de que alguien ha accedido a una cuenta que no es la suya se verá un mensaje que informará del lugar desde el que alguien entró y se podrá acceder a un informe en el que se detallan las actividades de la cuenta y los lugares de acceso más recientes.

Cuando se accede al aviso se puede cambiar la contraseña o, si se a tratado de un acceso legítimo, eliminar la alarma.

El Bloom Box es una nueva tecnología, del campo de la energía, que podría cambiar la forma de obtener electricidad. Las búsquedas sobre este nuevo método están aumentando, con lo que los ataques “blackhat SEO” también están creciendo para aprovecharse de las personas interesadas que quieren tener más información sobre este tema.  

Según el informe de VirusTotal, solo el 10% de los antivirus detectan esta nueva amenaza. Hasta que los ataques estén controlados es recomendable evitar las búsquedas en Google relacionadas con el Bloom Box.

En cuanto al “blackhat SEO”, consiste en utilizar métodos ilegales para posicionarse en un buen lugar en los buscadores. Se utilizan distintos tipos como el cloaking, que consiste en mostrar un contenido diferente a los motores de búsqueda del que se enseña a los usuarios; textos ocultos, de los que el usuario no es consciente; se compran enlaces o se duplican contenidos, buscando páginas web con el mismo contenido pero usando palabras distintas.

La encuesta se ha realizado a más de 600 directivos de seguridad de TI de compañías de infraestructuras críticas de distintos sectores de todo el mundo. Se observa que un 54% de estas compañías han sufrido ataques de gran escala o infiltraciones que provenían de organizaciones criminales, terroristas u otros países. La media del coste total del periodo de inactividad, que este tipo de ataques ocasiona, es de 6,3 millones de dólares cada día.

El informe ha recibido el nombre de “En el punto de mira: las infraestructuras críticas en la era de la ciberguerra”, ha sido comisionado por McAfee y llevado a cabo por el Centro de Estudios Estratégicos e Internacionales (CSIS). Con este estudio se confirma que el riesgo de sufrir ciberataques va en aumento.

Aunque se están realizando avances en el campo de la legislación  y regulación, el 37% de los directores de TI piensa que la vulnerabilidad de su sector ha crecido en el último año, y dos quintas partes de los encuestados creen que tendrán un percance de seguridad durante el próximo año. Únicamente el 20% de los directores creen que se encuentran a salvo de ataques graves durante los próximos cinco años.

Años atrás, las infraestructuras críticas no contaban con ningún tipo de protección  o era escasa, no se pensaba en la seguridad. Actualmente, en estas compañías las redes de ordenadores se encuentran conectadas entre sí con redes IT corporativas y otras infraestructuras de red, a las que se puede acceder desde cualquier sitio del mundo.

Dave DeWalt, Presidente y CEO de McAfee, señala que “En el actual clima económico, es necesario que las organizaciones estén preparadas ante la inestabilidad que los ciberataques pueden causar en infraestructuras críticas” y que “Tanto el transporte público, como la energía y telecomunicaciones, son sistemas de los que dependemos hoy en día. Un ataque cualquiera a estas industrias podría causar serios trastornos económicos, desastres medioambientales y pérdida de la propiedad”.  Este tipo de ataques no afecta solo a las compañías, sino también todas las personas que utilizan sus servicios.

DeWalt se refirió al ataque sufrido por Google diciendo que la ‘Operación Aurora’ “ha sido el mayor y más sofisticado ciberataque dirigido contra una compañía específica, pero podría haber tenido como objetivo cualquier otra infraestructura crítica” y añade que este ciberataque ha supuesto “un antes y un después en el campo de la ciberseguridad, debido a la naturaleza coordinada del ataque”.

En el estudio los encuestados también opinan que las leyes resultan ineficaces en cuanto a la protección para ataques potenciales. Además, creen que afecta que distintos gobiernos se hayan visto involucrados, años atrás, en infiltraciones a infraestructuras.

Kevin Mitnick estuvo encarcelado e incomunicado durante cinco años. Fue condenado por entrar en numerosas empresas mediante medios poco lícitos. Entró tanto en numerosas empresas telefónicas como en instituciones públicas. Actualmente dirige su propia consultora de seguridad y a menudo da conferencias. Su última conferencia ha sido en el Campus Party Brasil, donde es considerado todo un icono y ha levantado gran expectación.

Mitnick trató varios temas en su conferencia. Sobre las redes sociales señaló que “los sitios de consumo y entretenimiento son el nuevo objetivo de los hackers. Twitter y Facebook son las nuevas fuentes para saber debilidades. Ahí la gente da información valiosa que los hace vulnerables. Hay que estar alerta con qué contamos allí”. Estas plataformas dejan al descubierto mucha información personal del usuario, que no es consciente que puede permitir al atacante averiguar cosas sobre él, conseguir claves y poner en peligro la seguridad de su equipo. Por esto es importante revisar las opcines de privacidad de las redes sociales y tener cuidado con la información que deja al descubierto y a quien.

En cuanto a los polémicos ataques que ha sufrido Google por parte de atacantes chinos, el ponente ofrece un consejo al gigante informático: “contra los ataques, mejor código, ésa es la herramienta que tiene que usar Google”.

Siguiendo con este tema, también se refirió  Internet Explorer, ya que mediante un fallo del navegador se llevaron a cabo los ataques. Indicó que “Microsoft no es más vulnerable, pero sí mas apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia”. En cuanto al resto de los navegadores dijo que “todos son vulnerables. Lo importante es que se actualicen”. Es importante que el usuario mantenga actualizado su navegador para tener mayor seguridad en su equipo.

En cuanto a las acciones de los ciberdelincuentes, cree que las motivaciones han cambiado desde sus tiempos a la actualidad. Ahora la mayoría de los ataques tienen fines económicos, señaló que “en mi época hackeábamos por diversión, hoy es por dinero”.

El presente aumento de cibercriminales y acciones delictivas en la red ha ido cambiando el panorama legal sobre estos delitos y cada vez se endurece más. Según Mitnick la acción de los hacker anteriormente a él “no se consideraba ni delito, no estaba tipificado.  Las leyes se hicieron conmigo”.

Hoy ha publicado la actualización para corregir el fallo que tanta polémica ha suscitado, al haberse utilizado para realizar el ataque chino a 35 empresas estadounidenses, entre ellas Google y Adobe. Además, Microsoft ha reconocido que sabia de la existencia del fallo desde hace cinco meses.

Los fallos cubiertos se podrían utilizar para efectuar un código arbitrario y comprometer completamente el equipo. El parche corrige un total de ocho vulnerabilidades. No todas tienen la misma gravedad ni afectan a todas las versiones del Explorer. La gravedad de los fallos cambia según la versión del navegador y la plataforma Windows de la que se disponga.

Entre los fallos corregidos se encuentran un cross-site scripting y uno de validación de URL’s que podría provocar la efectuación remota de código a través de una URL creada de forma maliciosa.

El fallo más explotado, conocido como ‘Aurora’, es de una naturaleza parecida a la de otras cinco vulnerabilidades, que en muchas ocasiones pueden posibilitar la ejecución remota del código.

Por si no se hubiera suscitado bastante polémica con el ataque chino y el fallo de Internet Explorer, ahora se ha reconocido por la propia de Redmond, que se tenía constancia de esta vulnerabilidad desde el pasado mes de agosto. Al parecer, un investigador de la firma de Israel BugSec, Meron Sellen, reportó la vulnerabilidad en agosto y Microsoft corroboró en septiembre la gravedad de ésta.

Otros fallos, que son corregidos también con este parche, habían sido igualmente comunicados a Microsoft por Zero Day Initiative hace seis meses. Microsoft tenía programado publicar este parche en su ciclo normal de publicación de actualizaciones de febrero, pero ante la gravedad de los ataques se ha visto obligado a publicarla antes.  

Antes Google había proporcionado acceso HTTPS a Gmail como una alternativa, pero desde el martes se ha transformado en la alternativa por defecto y se estaría difundiendo a los usuarios en las siguientes semanas.

HTTPS significa HyperText Transport Protocol Secure. Su función es evitar el espionaje el ataque conocido como “man-in-the-middle” sobre la información que cruza Internet. Este método cifra el tráfico y tiene más recursos, con lo que proporcionarlo es más costoso para Google. Este cambio fue divulgado en su blog oficial, aunque no se hacía ninguna referencia al ataque sufrido por los ciberdelincuentes chinos.

El director de ingeniería de Gmail, Sam Schillace, dijo que “Usar HTTPS ayuda a proteger los datos que se puedan interceptar por terceros, como en las redes públicas Wi-Fi”. Además se señaló que “Inicialmente les dejamos la opcion de utilizarlo debido a que había un inconveniente: HTTPS puede ser que su correo electrónico sea más lento, ya que los datos se encuentran cifrados y no pueden viajar a través de la red tan rápido como los datos que no están cifrados. Durante los últimos meses hemos estado investigando sobre el balance seguridad/latencia y se decidió que cambiar a HTTPS, para todos, era lo correcto por hacer”.

Se advirtió tambien que para los usuarios que usan “Gmail sobre http actualmente, el cambio a HTTPS puede causar algunos problemas”. Para este inconveniente, se facilita una LIGA a la página que muestra instrucciones para solucionar los problemas que puedan surgir.

La utilización por default de HTTPS en Gmail resguardará la información confidencial, función que no se puede conseguir con HTTP. Este hecho es importante para los usuarios que tienen negocios, en especial los de Gmail cuyas funciones comprenden campañas por los derechos humanos en China.  

El protocolo HTTPS  es usado ya por instituciones financieras y organizaciones que necesitan conexiones seguras en sus páginas web y aplicaciones.

Cuando secuestra los enlaces web recibe y manda llamadas a la API en varios programas como IEXPLORE.EXE, FIREFOX.EXE, QUIP.EXE o OPERA.EXE.

El virus se hace con el control del sistema de solicitudes y respuestas del trafico web. Secuestra los enlaces de  programas como IEXPLORE.EXE, FIREFOX.EXE, QUIP.EXE o OPERA.EXE y los suministra una etiqueta con secuencias de comandos maliciosos en las respuestas.

Opachki utiliza un gotero para contaminar los equipos, cargando un archivo DLL . Acto seguido, se dedica a descubrir las cadenas de la memoria y cuando ha terminado de utilizarlas las borra.

Los nombres de ficheros .DLL que crea cuando se instala son los siguientes:

• %Usuario%\protect.dll
• %Usuario%\Menu Inicio\Programas\Startup\ChkDisk.dll
• %System%\autochk.dll
• %Temp%\nsrbgxod.bak
• %Usuario%\Manu Inicio\Programas\Startup\ChkDisk.lnk

Además, crea en el registro dos entradas para cargarse en memoria cuando el sistema se inicia:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
 Valor: autochk = rundll32.exe c:\docume~1\admini~1\protect.dll,_iwmpevents@16

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
 Valor: autochk = rundll32.exe %System%\autochk.dll,_iwmpevents@16

El troyano no permite navegar adecuadamente al usuario por la red. No importa que las web a las que entre el usuario sean mediante buscador o página de inicio, el troyano actúa igual aunque no se pase primero por un buscador.