Primero debemos recordar que era el malware Stuxnet. Fue el primer gran virus que estuvo orientado a realizar ataques a gran escala contra fábricas o grandes industrias, y se lo recuerda principalmente por atacar la planta nuclear de Irán. En ese ataque logró involucrarse en todos los ordenadores de la central atómica y controlar los procesos de producción. El mismo causo una gran alerta, ya que podría ser utilizado con fines destructivos.

Luego de que pasase un año de la aparición de Stuxnet, se suma un nuevo gusano con los mismos patrones de ataque: Duqu. Y no ha dado puntada sin hilo, ya ha atacado a grandes sistemas y complejas infraestructuras en Europa.

Al ser detectado por firmas de seguridad, encontraron la semejanza con el popular gusano, ya que tiene fragmentos de códigos idénticos. El modus operandi de Duqu es enmascararse tras un código verdadero de certificados digitales (de los cuales tanto hemos hablado).

Gusano Duqu

Diferencias y Semejanzas: Duqu no es un gusano del todo, ya que a diferencia de su antecesor no busca replicarse y es más liviano. La característica principal que lo hace menos dañino es que no posee las líneas de destrucción de hardware como Stuxnet. Symantec se animo a decir que Duqu es solo el comienzo de una operación de rastreo industrial mucho mayor. Algo así como un iceberg que aun no ha demostrado todo su cuerpo.

Estaremos atentos a ver como se desempeña esta noticia a lo largo de las redes y que conflicto en los ordenadores causa el malware.

Aquellos usuarios de Windows han mirado con envidia la prestigiosa seguridad de Apple y su sistema operativo Mac OS. Pero la llegada del otoño parece que hizo ruido en el Mac OS X Lion. Esto se debe al descubrimiento de un nuevo troyano que vulnera una brecha de seguridad del tipo dopper. Una amenaza de este tipo aprovecha las llamadas “backdoors”, o sea, puertas de acceso desde atrás al sistema. El software malinetencionado permite instalar malware para infectar el equipo.

El troyano fue detectado por dos empresas de seguridad y explicaron que el mismo abre un fichero PDF en chino de manera normal, para luego en forma oculta enviar a un servidor remoto los datos del usuario y la dirección MAC de conexión. Esto permitiría a ciber-delincuentes enviar al ordenador

Adobe sigue en su rutina de actualizar su poderoso Flash Player. Así lo vimos hace unos días cuando lanzaron AFP 10.3 con importantes novedades. Ironicamente a menos de una semana de su lanzamiente, Adobe publica un parche de seguridad catalogado como crítico. malwares.

Los desarrolladores informan que es recomendable actualizar cuanto antes a esta versión (10.3.183.10), ya que los atacantes podrían aprovechar un agujero de seguridad y dañar el sistema o incluso tomar contro del mismo. Por otro lado, se detalló que otra vulnerabilidad corregida son los ataques dirigidos a través de correos electrónicos.

El paquete de mejoras esta disponible para todos los sistemas operativos y móviles.

El gran problema de esta intrusión es que demoraron casi un mes en detectarlo. Al parecer lograron obtener el acceso de las claves de un usuario maestro (root). De esta manera, pudieron conseguir información privilegiada del corazón del sistema operativo más seguro del mundo. No sólo esto sino que también incrustaron un troyano en los ficheros.

Por otro lado, modificaron los permisos y controles de seguridad de dos servidores: hera y odin1. Las credenciales digitales de casi 500 usuarios fueron adulteradas. Actualmente, los ordenadores ya están formateados y restablecidos a su punto inicial para evitar daños mayores.

La pregunta que preocupa al mundo informático es hasta qué punto perturbará la integridad de Linux.

Esta nueva amenaza es una variable de una infección que ya habíamos comentado en nota anterior, que graba tus llamadas y ahora también cada uno de los mensajes de texto, además registra cada geolocalización con uso del GPS. Todo es enviado a un servidor remoto sin que el usuario tenga noción de esta actividad. En caso de hayas descargado esta aplicación de la red social desde algún sitio que no era oficial con borrarla se solucionará el problema.

Es necesario recordar que debes siempre descargar las aplicaciones de los sitios oficiales o del Market propio de Android. De esta manera, los riesgos son menores, ya que los administradores controlan día a día los distintos programas, herramientas y juegos que se ofrecen.

Los ciber-delincuentes han aprovechado el lenguaje abierto del navegador para introducir una amenaza contra las plataformas Windows. Con la caratula de Firefox 5.0.1 se instala además el Troj/PWS-BSF. El fin del mismo es obtener todas las contraseñas que se utilicen en el sistema operativo.

A nuestros queridos lectores les recordamos que de ninguna manera se debe actualizar los programas y aplicaciones que usemos en el ordenador desde enlaces que provengan de correos electrónicos o desde publicidad indirecta. Siempre utilizar los sitios oficiales. En este caso: http://www.firefox.com o http://www.mozilla.com/es-ES/firefox/

Te dejamos la ficha técnica del Troyano:

La nueva aplicación maliciosa graba las conversaciones que mantienes con todos los contactos en la memoria interna en formato MDR. Hasta aquí no habría algún inconveniente con su función, el tema es que sin permisos se conecta a un servidor remoto y transfiere estos ficheros. El servidor en cuestión no puede ser detectado, por lo cual sólo el atacante tiene acceso.

Además, un reciente informe publicado por Lookout revela que la cantidad de infecciones en Android en los últimos 6 meses se ha duplicado. En este lapso, los malware crecieron un 500%. Como en otras notas, te recomendamos realizar las descargas de programas a través de las tiendas oficiales para evitar caer en trampas de ciber-delincuentes.

Dato destacado: 3 de cada 10 usuarios de Android estarían infectados

A continuación se incluye una imagen de la curva de aplicaciones con infecciones en el último tiempo:

Se puede observar el crecimiento de 80 aplicaciones infectadas a 400 en el primer semestre

El mail iba destinado a los empleados del establecimiento y su remitente se hacía pasar por el departamento de Recursos Humanos del mismo. En el cuerpo del mensaje se podía ver un botón que “supuestamente” mostraría más información al respecto, pero que en realidad explotaba una vulnerabilidad crítica en el Explorador de Internet.

Pese a que de los casi 600 empleados de la planta sólo 57 pulsaron el enlace, fue más que suficiente para que el código malicioso se instale en la red y comience la transferencia no autorizada de datos. Por suerte, el personal del laboratorio se percató de lo que sucedía a tiempo y cortó por completo la conexión a Internet, logrando que los cibercriminales extraigan solamente unos pocos megabytes de información.

Por el momento no se ha abierto ninguna investigación oficial al respecto.

El código malicioso advierte a la víctima que está instalando una versión pirata del programa en cuestión, por lo que si decide continuar con el proceso la cosa se pone peor. Inmediatamente el troyano envía un mensaje de texto a toda la lista de contactos del usuario, diciendo: “Oye! Acabo de descargar una aplicación pirata de Internet…soy estúpido y tacaño…no robes como yo!”.

Todo indicaría que aquél que se encuentre detrás de la creación de este troyano es alguien que vela por la erradicación de la piratería en Internet, ya que además incluiría en el SMS enlaces directos a la aplicación legítima en el Android Market.

El código malicioso ha sido denominado “Geinimi” por Lookout Mobile Security, la misma firma de seguridad que lo detectó por primera vez y alertó sobre sus riesgos. El objetivo de esta amenaza es robar los datos personales de los usuarios del móvil sin que ellos se den cuenta y enviarlos a servidores remotos controlados por los mismos cibercriminales.

Dentro de las acciones que el virus puede llevar a cabo una vez instalado en el móvil podemos encontrar la instalación de aplicaciones maliciosas y la realización de llamadas y envío de mensajes de texto sin autorización.

Pese a que Geinimi ha sido descubierto sólo en sitios chinos que ofrecen aplicaciones piratas para Android, los especialistas están convencidos de que no tardará en propagarse a otros lugares del mundo.

La noticia tuvo lugar nada más y nada menos que en el blog de Brian Krebs, el creador de SpyEye y competidor directo de Zeus durante años. En el post, Krebs anuncia que se le ha entregado en forma gratuita el código original de Zeus y que a partir de ahora estará a cargo del proyecto.

También anunció que “Slavik”, reconocido desarrollador de la famosa botnet, no sólo se desvinculará completamente del negocio en línea sino que tampoco continuará danto soporte a los clientes que hayan comprado el paquete de crimeware. A partir de ahora, Krebs se hará cargo de cualquier duda y reclamo al respecto, dejando la puerta abierta a la inevitable fusión de Zeus y SpyEye.

De concretarse esta alianza, estaríamos hablando de un troyano sumamente peligroso y para el cual necesitaremos estar preparados. Por el momento, NOD32 es el único antivirus que ofrece protección contra ambos códigos maliciosos.