El sitio en cuestión resulta de gran peligro para muchas personas, ya que cuenta con un promedio de visitas de aproximadamente 2 millones de usuarios. Una vez que la víctima ingresa a la página principal de Songlyrics, es redireccionada a otro sitio malicioso en donde se descarga automáticamente un código binario capaz de convertir el ordenador en un “zombi”. De esta manera, el equipo comienza a formar parte de cualquier botnet propia del cibercriminal.

Pese a que Websense manifiesta que todos sus clientes se encuentran protegidos contra este malware, gracias a su avanzado motor de clasificación de virus (ACE), una gran parte de los productos de seguridad de otras empresas todavía no logran detectarlo.

Vodafone ha investigado el problema y ha declarado que el problema se debe a la infección de un conjunto de tarjetas de memoria difundidas con teléfonos ofrecidos por la compañía.

El virus no daña el funcionamiento del teléfono móvil, pero si el usuario realiza una conexión entre el dispositivo y su equipo, el ordenador puede tener problemas y ser infectado por el virus.

El virus fue detectado por la compañía de seguridad PandaLabs, después de que uno de sus trabajadores pusiera en contacto un dispositivo móvil que contenía este tipo de tarjeta de memoria, con un ordenador y realizó un análisis con el antivirus del equipo.

Tras este análisis confirmó que la tarjeta de momoria del dispositio portaba un malware que pretendía infectar el equipo al que se conectara. Si el virus llega al PC, éste es infectado y pasa a ser uno de los ordenadores zombis que forman la botnet Mariposa. De esta forma, el atacante puede acceder a los datos del usuario.

Ante esta situación, la compañía telefónica para atajar el problema ha indicado que proporcionará tarjetas de memoria nuevas a todos sus usuarios perjudicados, que son unos 3.000, el número de tarjetas que contenía el lote defectuoso.

Vodafone suministrará también una herramienta para que el usuario limpie el equipo si ha sido infectado.

También se han detectado dos malware, Confiker y Lineage,  que se dedican a conseguir datos y contraseñas de usuarios.

Vodafone ha advertido que es posible que el problema afecte no solo a los terminales HTC, sino que también las tarjetas que utilizan dispositivos de otras marcas o ejemplares que tengan el mismo origen que las perjudicadas, podrían estar también infectados.

Fuente: Inteco

El juez apoyó a Microsoft para llevar a cabo la ‘Operación B49′ y realizar el cierre de los dominios desde los que, supuestamente, se gestiona la red de ordenadores zombis. El cierre se ha encargado a la compañía Verising, que gestiona los dominios ‘.com’.

Según Microsoft, esta acción supone que unos 90.000 equipos dejarían de obtener órdenes para realizar el envío de spam. Además, ha informado de que la mayor parte de las conexiones con los equipos afectados han sido interrumpidas, señalando en un comunicado que “nuestro objetivo es mantener este éxito”.

El virus que tienen los ordenadores afectados es el Waledac, un troyano que realiza el envío masivo de los correos basura. Se podían llegar a mandar hasta 1.500 millones de spam al día. Según un análisis realizado recientemente por Microsoft, se destaca que entre los días 3 y 21 de diciembre de 2009 “aproximadamente 651 millones de correos basura atribuibles a Waledac inundaron las cuentas de Hotmail”.

Richard Boscovich, responsable jurídico de Microsoft, ha señalado que “hemos decidido que la mejor táctica era literalmente construir un muro” y “cortar el cordón umbilical” existente entre los ordenadores dañados y los que han conseguido hacerse con el control remoto.

Microsoft señala también que aunque al red se ha cerrado, todavía hay miles de ordenadores afectados, con lo que aconseja a los usuarios que dispongan de un antivirus actualizado.

Fuente: El Mundo

La botnet se encarga de infectar ordenadores de usuarios, sin que ellos los sepan, y los equipos contactan con el atacante que facilita las órdenes. Con este mismo método los investigadores han podido introducirse en estas redes para espiar su funcionamiento, se han hecho pasar por uno de los ordenadores zombis que tienen acceso a ellas.

Los operadores de botnet que van a la cárcel son muy pocos, ya que el atacante camufla sus direcciones verdaderas utilizando equipos comprometidos, con lo que la dirección que queda registrada es la de estos ordenadores, no la del suyo. Los cibercriminales esconden también los programas que les permiten controlar los ordenadores, llamados bots.

El sistema de las botnet es complicado y difícil de controlar. Pueden ser creadas tanto por grandes organizaciones mafiosas como por pequeños grupos de técnicos o un solo hacker. La funcion de los que dirigen las redes es realizar los virus e infectar las páginas para que éstas infecten los equipos de los usuarios que accedan. También tienen realizar los programas con los que harán y controlarán las botnet y administrarlas.

Cuando un atacante trabaja por libre suele vender o alquilar sus botnet a compañías que quieren enviar correos basura, bombardear o investigar otras compañías. También se utilizan para robar información bancaria. Con la venta de estos servicios, “un botmaster que se dedique a mandar spam gana entre 50.000 y 100.000 dólares al año”, según Bernado Quintero, de Hispasec.

Los ciberdelincuentes también pueden vender sus programas y web maliciosas a otros que quieran hacer su propia red. En el mercado negro, un programa controlador de los equipos de una botnet puede costar unos 1.000 dólares, si no lo localizan los antivirus, y hasta más de 3.000 para los sofisticados.

Fuente: El País

Los avances en la seguridad cada vez son mayores, pero también lo son los esfuerzos de los atacantes para crear nuevos malware y nuevo métodos para engañar a los usuarios como el SpyEye.

Según el informe de “Análisis de SpyEye Bot”, realizado por Malware Intelligence, las actividades de esta nueva herramienta son similares a las que desarrolló ZeuS, una de las botnets más grandes. El SpyEye está diseñado para desarrollarse en prácticamente todos los sistemas operativos de Microsoft.

Su mayor similitud con ZeuS es la automatización de robo de información confidencial bancaria y el constructor interno que integra. Debido a que ha entrado en el mercado hace poco, aún tiene un nivel de detección bajo.

SpyEye incluye funcionalidades keylogging, mediante un módulo denominado FormGrabbing, que le posibilita obtener información mediante varios navegadores como FireFox, Internet Explorer o Maxthon.

Otro punto importante es que utiliza CC Autofill, que se encarga de automatizar el robo de datos vinculados a tarjetas de crédito, reportando la información al botmaster (responsable del mantenimiento de la botnet) mediante distintos archivos de registros (logs).

El comando y el dominio de la botnet se lleva a cabo mediante el protocolo http, con la opción de configurar dos posibilidades. De este modo, el botmaster automatiza la gestión de los equipos zombis y si algún dominio es dado de baja, puede dirigirlo utilizando la ruta alternativa.

Cuando SpyEye llega a un equipo, crea una conexión con un servidor en la que guarda datos relacionados con el sistema y, a su vez, descarga una actualización de sí mismo (Los detalles de su infección vienen expecificados en el informe).

SpyEye se muestra como una importante alternativa a los tipos de ataques que se suelen ver de este tipo. Con sus características y rápido desarrollo, se presenta como el sucesor y gran competidor directo de ZeuS.

Fuente: INTECO-CERT

Durante este año se ha conocido más de un caso de este tipo de ataques. Son preocupantes ya que pueden tener graves consecuencias en el país en el que se den debido a que hay numerosos datos de gran importancia que pueden quedar al descubierto o funciones que podrían verse con dificultades para desarrollarlas adecuadamente.

Uno de los casos conocidos de estos años son los de el Departamento de Policía de Nueva York, el cual denunció que sus equipos eran víctimas de un asalta para poder tener acceso a su red con 70.000 intentos diarios. La mayoría venían de China.

Otro caso es el de Estados Unidos y Corea del Sur el día de la celebración de la Independencia, 4 de julio. Ese día, según “Vasco Press”, varios portales web institucionales recibían peticiones de denegación de servicio con las que pretendían derrumbar sus equipos.

Los ciberdelincuentes llevaron a cabo los ataques desde varios ordenadores que infectaron y tenían bajo su control. Con ellos podían mandar ordenes a los equipos zombis para que descarguen nuevas amenazas o utilizarlos para enviar spam. 

Estos ataques a los gobiernos son preocupantes porque pueden perjudicar la economía de un país o infraestructuras críticas, como tecnología o instalaciones que si terminaran con ellas producirían daños en la salud, bienestar económico o seguridad de los habitantes.

Los gobiernos están tomando cartas en el asunto y mostrando su preocupación ante los posibles ataques que puedan surgir. En varios países se han empezado a crear grupos y asociaciones de trabajo para garantizar la solidez de los países ante amenazas terroristas en la Red.

En España se creó en Mayo el Consejo Nacional Consultivo en Cyber-Seguridad en España (CNCCS) que reúne a los desarrolladores de Seguridad del país primordiales mas importantes que cooperan con las Fuerzas y Cuerpos de Seguridad y el Gobierno de España.