La empresa de seguridad McAfee revisó sus diez principales predicciones de amenazas de seguridad para el año 2007. Las investigaciones demuestran que las amenazas, incluido los sitios Web con fraude electrónico para robo de datos, están en aumento.

“Tal como lo predijimos, los criminales profesionales y organizados siguen impulsando gran parte de la actividad maliciosa en la red. Sin embargo, nos sorprendió que el malware móvil y el spam de imágenes hayan disminuido”, dijo Jeff Green, vicepresidente senior de McAfee Avert Labs y desarrollo de productos.

Esta es la decena de amenazas peligrosas en la seguridad:

1) Aumento de los sitios Web para robar contraseñas

El número de sitios Web con actividad de fraude electrónico sigue aumentando exponencialmente. McAfee Avert Labs observó un aumento de 784% en los sitios Web con actividad de fraude electrónico en el primer trimestre de 2007, sin señales de que esto vaya a disminuir. Esto sitios Web por lo general usan páginas de registro falsas para servicios en línea populares como sitios de subastas, procesadores de pago en línea o banca en línea. Avert Labs anticipa un mayor abuso de los sitos diseñados para colaboración en línea como las páginas wiki y aplicaciones en línea. Incluso los sitios de archivo en Internet sufrirán las consecuencias.

2) El spam, en especial el spam con imágenes, está aumentando

La cantidad total de spam que se detectó en las trampas de McAfee Avert Labs se ha mantenido fija durante la primera parte del año. El spam con imágenes representó un 65% de todo el spam a comienzos de 2007. En la práctica ha descendido recientemente. El spam con imágenes es correo electrónico basura que incluye una imagen en lugar de sólo texto. Se usa por lo general para publicitar acciones, productos farmacéuticos y grados académicos. La imagen puede triplicar el tamaño de un solo mensaje, lo que causa un aumento significativo en el ancho de banda usado por los mensajes de spam. En noviembre de 2006, el spam con imágenes representaba hasta un 40 por ciento del spam total recibido. Un año antes sólo era de menos del diez por ciento.

3) La popularidad del video en la Web será un objetivo para los hackers

Los criminales cibernéticos están en el auge del video en línea disponible en sitios de redes sociales como YouTube y MySpace. Por ejemplo, el sitio Web de una banda de rock francesa se usa para cargar un troyano en computadores de fans, explotando una funcionalidad en QuickTime.

4) Más ataques a dispositivos móviles

Para sorpresa, las cifras de malware móvil están disminuyendo con una docena de nuevos ejemplos de software malicioso destinado a dispositivos como teléfonos celulares y teléfonos inteligentes durante el primer trimestre de 2007.

5) Los programas publicitarios fortalecerán su dominio

McAfee predijo que más empresas legítimas intentarán publicitar software destinado a consumidores. No obstante, dado que el programa publicitario tiene mala reputación, los negocios están intentando otras maneras de entregar un mensaje en Internet. BitTorrent, por ejemplo, está estableciendo una tendencia al ofrecer descargas gratuitas de videos con avisos como una alternativa a las descargas pagadas.

6) El robo de identidad y la pérdida de datos seguirán siendo un tema público

La transmisión no autorizada de datos se está convirtiendo en más de un riesgo para las empresas, e incluye la pérdida de datos de clientes, información personal de empleados y propiedad intelectual. Esta información se puede filtrar no solamente mediante la Web, sino a través de dispositivos de almacenamiento portátil, impresoras y máquinas de fax. Más de 13.7 millones de registros han sido vulnerados en lo que va del año, de acuerdo con Attrition.org, en comparación con los 1,8 millones de registros durante el mismo período del año pasado.

7) Habrá un aumento de los bots

Ha sido particularmente difícil probar esta predicción. Una lectura superficial de las estadísticas indica que el uso de los bots ha disminuido en la práctica últimamente. Los bots son programas computacionales que otorgan a los criminales cibernéticos total control de los PCs. Los programas bots por lo general se instalan subrepticiamente en los PC sin el conocimiento de los usuarios.

8 ) Reaparecerá el malware parasitario

Sin duda, está reapareciendo el malware parasitario. Las infecciones parasitarias son virus que modifican los archivos actuales en un disco, inyectando código en el archivo donde residen. Philis y Fujacks siguen estando activos y Avert Labs ha clasificado más de 150 nuevas variantes de estas dos familias este año. Otras familias incluidas Sibil, Grum y Expiro también están activas.

9) Los rootkits aumentarán en las plataformas de 32 bits

Cerca de 200,000 computadoras han sido infectados con rootkits desde principios de 2007, de acuerdo con el mecanismo de seguimiento de virus de Avert Labs, un aumento del 10% con respecto al primer trimestre de 2006.

10) Las vulnerabilidades seguirán causando preocupaciones

Existen más vulnerabilidades que antes por las cuales preocuparse. Microsoft emitió 35 boletines de seguridad, 25 de los cuales fueron calificados como críticos y nueve como importantes, en los primeros seis meses de 2007. Durante el mismo periodo del año pasado, Microsoft emitió 32 boletines, de los cuales 19 fueron calificados como críticos y 10 considerados importantes

Fuente:
CNN Expansión

De www.hispasec.com

Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión .pdf, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.

Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.

Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.

Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero “dibujado” en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro
antispam.

Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir “ruido” en las imágenes para dificultar el reconocimiento
automático por este tipo de software.

Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.

Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena “reputación” (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.

Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.

He aquí un ejemplo:

http://blog.hispasec.com/laboratorio/images/noticias/spam-pdf.PNG

Que no cunda el pánico, el anterior mensaje lo saqué de mi carpeta de spam, el filtro funcionó. La guerra continúa.

Agencias: AP y Reuters

El teléfono de Apple podrá descargar y reproducir contenidos del popular sitio; se codificarán más de 10.000 videos en el formato H.264 para el móvil

Apple anunció que su esperado iPhone, un híbrido de teléfono celular y reproductor multimedia, podrá descargar y mostrar en su pantalla videos del popular sitio Youtube.

Aproximadamente 10.000 videos del sitio de propiedad de Google serán codificados al formato H.264 para poder ser utilizados en el dispositivo de Apple, que contará con un reproductor especial para este contenido.

El iPhone será el primer teléfono celular que use el formato H.264, aseguró la compañía informática en un comunicado.

Para navegar por Internet de forma inalámbrica, el iPhone recurrirá a una red celular de datos relativamente lenta, provista por la operadora AT&T., y es probable que las descargas de video le impongan cierto peso.

Sin embargo, el dispositivo también estará equipado con Wi-Fi, con el cual los aparatos podrán hacer descargas más rápidas en los llamados “hotspots”, zonas de acceso inalámbrico.

El iPhone, probablemente el artículo electrónico de consumo más esperado este año, integra las funciones de teléfono celular, reproductor digital de música y video y navegador de Internet en una pantalla sensible al tacto de 3,5 pulgadas.

Saldrá a la venta en Estados Unidos el viernes 29 de junio e inicialmente se ofrecerá en dos modelos: por 499 y 599 dólares, con capacidades de almacenamiento de 4 y 8 gigabytes.

Larga duración . Por otra parte, Apple anunció que el iPhone tendrá una batería que permitirá hablar durante ocho horas, ver videos durante siete, usar la red durante seis, escuchar música durante 24 y podrá dejarse en suspenso durante diez días antes de volverlo a cargar.

Los productos de sus competidores, como BlackBerry o Palm, permiten hablar durante unas cuatro horas, antes de que sea necesario cargar la batería.

De lanacion.com.ar

La compañía de Internet había denunciado al gigante informático de no posibilitar la libre competencia, al incluir, por defecto en el sistema operativo, una herramienta de búsquedas de escritorio

CHICAGO (Reuters) – Microsoft acordó modificar su sistema operativo Windows Vista en respuesta a una demanda que afirmaba que su función de búsqueda de escritorio ponía a Google y a otros rivales en desventaja, informaron la compañía y el Departamento de Justicia de Estados Unidos.

Según el acuerdo, Microsoft creará en Vista una opción para permitir a los usuarios seleccionar su programa de búsqueda de escritorio por defecto, una herramienta permite a los usuarios localizar archivos que estén almacenados en su disco rígido.

Asimismo, se colorarán enlaces directos desde el navegador Internet Explorer y el menú Inicio , para facilitar el acceso a la aplicación.

Los cambios serán introducidos en un futuro service pack del sistema operativo, el cual, según el gigante informático, podrían estar disponible en versión de prueba antes de finalizar el año.

“Estos remedios son un paso en la dirección correcta, pero deben mejorarse para dar a los clientes un mejor acceso a servidores de búsqueda alternativos”, dijo David Drummond, jefe legal de Google, en un comunicado.

Bajo el acuerdo, Microsoft también prometió proporcionar información técnica adicional a terceras partes con el objetivo de optimizar la presentación de su servicio de búsqueda en el escritorio en Vista.

El inicio . Las modificaciones que introducirá Microsoft llegan tras una demanda interpuesta por Google en el Departamento de Justicia en diciembre, en la que alegaba que una opción de Vista, que permitía a los usuarios buscar en el disco rígido de sus computadoras, no dejaba lugar a la competencia de otras aplicaciones de búsqueda.

Microsoft había dicho que la demanda de la compañía de Internet “no tenía base” y que estaba cumpliendo el acuerdo antimonopolio.

De Hispasec

A través del SANS hemos conocido una curiosa página que simula ser la web oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe. Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en realidad es, un adware.
La infección no es automática. La ingeniería social que utilizan es la siguiente. Han comprado un dominio (.net) que apunta a una empresa de hosting gratuito, donde finalmente se aloja la página. Se trata de una web de juegos ambientados en la Edad Media. En esta página, se simulan presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescape/flasherror.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here que lleva a:

hxxp://XXXXX.XXXXspace.com/runescape/shockwave/download.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe (Shockwave Player Download Center). Algunos “errores” que han cometido los atacantes a la hora de copiar la original es que muestra una versión anterior, pero solo una comparación con la web original actual puede hacer que el usuario se percate de esta diferencia.
Curiosamente, a través de JavaScript, han desactivado el uso del botón derecho en Internet Explorer. Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shockwave_Installer_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son capaces de detectarlo.
Un primer análisis esquemático del malware, demuestra que simula incluso con bastante buen hacer el proceso de instalación del Shockwave real.
Instala una dll falsa en C:\shockwave y en ese momento, se pone en contacto con adpopup.hopto.org para mostrar insistentemente publicidad no solicitada en el sistema.
Para prevenir el problema, aparte de las advertencias habituales, conviene fijarse bien el la URL de la dirección de descarga de este componente y utilizar servicios como VirusTotal.com. Si bien no ofrece garantías absolutas, puede hacer sospechar sobre el archivo. En este caso además, como dato curioso, advertir que Adobe Macromedia firma digitalmente sus archivos, con lo que se puede comprobar simplemente pulsando con el botón derecho sobre el instalador original, que está firmado y que la firma realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su origen y que desde que fue creado, el fichero no ha sido modificado. Si bien no todas las compañías firman sus archivos, es conveniente siempre comprobarlo antes de usarlos en el sistema y aprovechar las garantías que ofrecen las que se toman la molestia de hacerlo.

SpamAssassin es un filtro anti spam que corre en servidores (se integra con Exim, Qmail, Sendmail, Postfix, etc) siendo una de las soluciones más efectivas a la hora de lidiar con el creciente número de correo basura que satura la Internet a diario.

Basa su control en la exploración de cada mail que se recibe y en un pormenorizado análisis de los encabezados del mail (headers) y del contenido mismo: lo compara con patrones establecidos en su propia configuración.

Cada vez que un patrón es localizado (ej: una determinada palabra en el mail: “casino online”) se le asigna una puntuación (ej: 1.5 puntos) lo que, a su vez, incrementa un contador total del puntaje del mail (ej: 8.5 puntos). La puntuación que se asigna también depende la la configuración del sistema.

Al terminar con la exploración del mail, compara la puntuación obtenida con un valor conocido como “umbral”: si el valor obtenido es menor que el umbral el mail no es considerado spam y, si es igual o mayor, si lo es.

Puede darse el caso que un mail genuino sea tomado como spam debido a que o bien el umbral está en un valor muy bajo o que el mail contiene patrones que, mayormente, estarían en un spam. Estos mails son conocidos como “falsos positivos”. Un ejemplo simple es una droguería que reciba una lista de precios de un laboratorio y, entre los ítems, hayan medicamentos difundidos muy comunmente por medio del spam (ej: viagra).

Activar SpamAssassin en una cuenta de Hosting con cPanel como panel de control es una tarea muy sencilla. De debería proceder como sigue:

1 ) Vaya a su CPANEL e ingrese en la opción “Correo”

2 ) Ingrese en “Spam Assassin”

3 ) Clic en “Activar Spam Assassin”

4 ) Clic en “Volver Atrás”

5 ) Clic en “Configure al asesino del Spam (requerido reescribir temas)”

6 ) En el campo “required_score” ponga el valor 5 (IMPORTANTE: valores más altos pueden dejar pasar el spam a su cuenta y valores inferiores pueden generar muchos falsos positivos).

7 ) En el campo “rewrite_header subject” ponga la siguiente leyenda: ***SPAM*** : _HITS_-_REQD_–

8 ) Clic en “Guardar”

Luego, en su programa de correo local, configure una regla que filtre TODO mensaje que tenga, al inicio del asunto, el siguiente texto: ***SPAM*** : Puede eliminarlo, moverlo a una carpeta o hacer lo que UD. desee.

Con ésto logrará disminuir, en buena forma, el spam en su bandeja de entrada.

Es posible que quiera que TODO correo que haya sido marcado como SPAM sea eliminado, aunque con ello acepte el riesgo de perder mails que, sin ser spam (falsos positivos), hayan sido identificados de esa forma.

En tal caso y, desde la misma ventana donde activó el SpamAssassin, haga clic en donde dice “To simply have the server DELETE and NOT deliver emails that are tagged as spam by SpamAssassin, click here now.” (en la parte resaltada en azul).

Con ésto se agrega un filtro que descarta todo mail que, en el asunto, tenga la leyenda “***SPAM***”

Esperamos que disminuyan los mails del tipo spam con la puesta en marcha de la mencionada medida y que, si lo considera, comparta su experiencia, mejoras y alternativas al uso.

Saludos,

Julio Alfredo Botto
www.sectorhosting.com

Fuente: EFE

Madrid, 17 jun (EFECOM).- El “spam” (correo no deseado) con imágenes creció un 500 por ciento en 2006 y a finales de ese año suponía ya el 50 por ciento de todo este tipo de correo, dentro de los nuevos modos de “ciberdelincuencia” que están surgiendo en la red, según un informe de la multinacional de seguridad McAfee.

Se trata de un “spam” más colorido, a menudo “granuloso” y que contiene menos texto, lo que contrarresta los sistemas normales de filtrado de correo-basura.

El informe de McAfee hace hincapié en que a pesar de que aparentemente son inofensivos, detrás hay técnicas inteligentes de ingeniería social que en ocasiones llegan a manipular el mercado bursátil.

En este sentido, el estudio señala que una de las estratagemas más frecuentes, denominada “pump and dump” consiste en que los remitentes del “spam” adquieren acciones baratas y envían su mensaje de correo sobre la citada empresa con una gráfica de las acciones con la esperanza de que los más ingenuos compren y hagan subir las acciones.

Cuando la cotización sube, los remitentes del correo no deseado venden sus acciones con rendimientos que suelen alcanzar entre un 5 y un 6 por ciento en cuestión de días, mientras que los ingenuos pierden alrededor del 7 por ciento de lo invertido, según un estudio realizado por las universidades de Oxford y Purdue, que cita McAfee.

Precisamente este tipo de campañas ha hecho que el regulador estadounidense de la Bolsa, la SEC, suspendiera durante diez días la contratación de valores de 35 empresas que habían sido afectadas por una campaña de correo no deseado por imágenes.

Además, la SEC persigue a los que se benefician de estas acciones y ha congelado tres millones de dólares de una red de “ciberdelincuentes” de Europa Oriental involucrada en un caso de manipulación bursátil.

Pero además, el “spam” por imágenes perjudica al que lo recibe debido a su tamaño, tres o cuatro veces superior al de un correo no deseado normal, ocupa más espacio en el servidor y reduce la productividad de los sistemas.

El problema de estos correos maliciosos, dice el informe de McAfee, es que son muy difíciles de detectar ya que cambian constantemente.

Los “ciberdelincuentes”, explica el documento, protegen sus correos con lo que se denomina “ruido de fondo” que consiste en manchas y puntos aleatorios que hacen que cada correo sea único, lo que facilita que burle los sistemas de filtrado de mensajes.

McAfee explica que para luchar contra estos mensajes, lo más efectivo es el sistema que bloquea de forma dinámica en la red todas las direcciones IP que provienen de redes de “ciberdelincuencia” conocidas e incluso de los llamados “equipos zombis individuales (dispositivos de usuarios que sin saberlo son utilizados por delincuentes para mandar “spam”), sin analizar los mensajes.

De esta forma cuando McAfee identifica una dirección IP como red de lanzamiento de “spam” bloquea todos los mensajes que provienen de ella hasta que la analiza en profundidad y la rehabilita si se ha tratado de un falso positivo.

Junto a esta técnica los expertos en seguridad utilizan el análisis de las imágenes integradas en los mensajes para detectar técnicas de ocultación, ofrecen firma digital a empresas en los casos en los que su imagen está siendo utilizada y estudian nuevas regalas de análisis de correo deseado, para luchar contra una plaga que se prevé seguirá creciendo este año. EFECOM aigb/ltm

de www.hispasec.com

El día 7 de junio, se descubría una grave vulnerabilidad en unos ActiveX de Yahoo! Messenger que permitía la ejecución de código arbitrairo a través de la web. El código necesario para aprovechar el problema se hizo público, y obligó a Yahoo! a publicar, apenas unas horas después, una nueva versión de su producto. Ofrecemos una prueba de concepto para que cualquiera pueda comprobar a qué se está expuesto con esta vulnerabilidad.

Las dos vulnerabilidades se encontraban en las utilidades Webcam Image Upload y View de Yahoo! Estos Controles Active X son instalados por defecto como parte de Yahoo! Messenger y son accesibles a través de Internet Explorer. Esto permite crear páginas especialmente manipuladas que ejecuten código en el sistema con los privilegios del usuario que lance la aplicación. El problema concreto reside en Yahoo! Webcam Upload (ywcupl.dll) y Yahoo! Webcam Viewer (ywcvwr.dll) y en sus respectivas propiedades “server”. Se puede provocar un desbordamiento de pila que conllevaría una ejecución de código. Las versiones vulnerables de estas librerías son la 2.0.1.4 (y anteriores) para ambas.

Lo que hace realmente peligrosa esta vulnerabilidad, es que el problema es aprovechable a través de Internet Explorer, capaz de acceder a esas DLL a través de ActiveX. Yahoo! actuó rápidamente y pocas horas después de hacerse público el anuncio lanzó su versión 8.1.0.401, que solucionaba el problema sustituyendo a la 8.1.0.249.

En Hispasec hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga al directorio raíz (C:) del usuario con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado. Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como “joke”, o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Yahoo! Messenger sin parchear e Internet Explorer, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie):

http://blog.hispasec.com/laboratorio/recursos/yahooi/exploit.html

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar Yahoo! Messenger desde http://messenger.yahoo.com/download.php

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como “joke” (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. La vulnerabilidad a día de hoy sigue siendo aprovechada y no todos los antivirus son capaces de detectar la página del exploit como potencialmente peligrosa. En muchas ocasiones, los usuarios no actualizan el software que no forme parte del sistema operativo. Esta es una excelente excusa para que se siga la misma política con el sistema operativo que con los programas que se ejecutan en él.

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:

http://www.hispasec.com/laboratorio/video_yahoo.htm

Desde Hispasec, como siempre, recomendamos desactivar los ActiveX en la zona de Internet del navegador Internet Explorer, y ejecutar éste con los mínimos privilegios.

de www.hispasec.com

MySpace se ha convertido desde hace algunas semanas, en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.¿Por qué robar credenciales de MySpace que en principio no aportan beneficio económico directo? Lanzamos algunas teorías.

Desde el Laboratorio Hispasec hemos detectado en los últimos días un súbito y descomunal aumento de ataques phishing perpetrados contra MySpace, la red social de moda que aloja millones de páginas de usuarios. Un usuario de MySpace se da de alta y puede construir su propia página donde alojar su perfil. Otros usuarios lo enlazarán como amigos creando una densa red de contactos. Las avalancha de URL

fraudulentas detectadas, donde se alojan las páginas falsas de MySpace, mantienen un estilo inconfundible que las delata como creaciones de la banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de MySpace creadas cada día por estos profesionales del phishing.

Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.

La primera es obvia, muchos usuarios utilizan la misma contraseña para varios servicios. También, el obtener contraseñas de perfiles “privados” les permite acceso a información “sensible” de usuarios (fecha y lugar de nacimiento, por ejemplo) para realizar ataques más específicos y selectivos en el futuro.

Otras teorías son más interesantes. En la página del perfil del usuario al que se le ha robado la contraseña, es trivial introducir código CSS en algunos campos. Al ser interpretado en el navegador, cuando alguien que visite la página haga click en un campo, será redirigido a alguna web donde intentará ser infectado por malware o engañado de alguna forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado un script para limpiar este tipo de enlaces fraudulentos. Pero parece que se han olvidado de limpiar ciertos campos, y todavía es posible inyectarlos en algunos otros.

Otra teoría que revaloriza las credenciales de MySpace, es el uso de las páginas de perfiles robados para de alguna forma, hacer aparecer ventanas emergentes a quien las visite. Se han observado en los últimos días en muchos perfiles un popup muy conseguido que simula ser la ventana de administración de actualizaciones de Windows. Si el usuarioacepta la supuesta “actualización”, se descargará un programa. Una vez ejecutado en el equipo, simulará un icono en la barra de tareas e intentará descargar ficheros que un falso escaneo antispyware de la máquina intentará solucionar. Una forma rebuscada (descargando ficherossupuestamente infectados) de que el usuario instale el spyware.

MySpace, se convierte así en un vector de ataque muy utilizado como objetivo de phishers para realizar posteriormente estafas más sofisticadas o directas. A medida que la banca actúe, contratando servicios antiphishing o antitroyanos y se dificulte la labor de los que intentan robar sus credenciales, es “natural” que la industria del malware migre hacia otras páginas en principio menos “protegidas”, que todavía no han implementado medidas suficientes para paliar de forma eficaz el robo de contraseñas.