De Hispasec

A través del SANS hemos conocido una curiosa página que simula ser la web oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe. Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en realidad es, un adware.
La infección no es automática. La ingeniería social que utilizan es la siguiente. Han comprado un dominio (.net) que apunta a una empresa de hosting gratuito, donde finalmente se aloja la página. Se trata de una web de juegos ambientados en la Edad Media. En esta página, se simulan presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescape/flasherror.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here que lleva a:

hxxp://XXXXX.XXXXspace.com/runescape/shockwave/download.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe (Shockwave Player Download Center). Algunos “errores” que han cometido los atacantes a la hora de copiar la original es que muestra una versión anterior, pero solo una comparación con la web original actual puede hacer que el usuario se percate de esta diferencia.
Curiosamente, a través de JavaScript, han desactivado el uso del botón derecho en Internet Explorer. Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shockwave_Installer_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son capaces de detectarlo.
Un primer análisis esquemático del malware, demuestra que simula incluso con bastante buen hacer el proceso de instalación del Shockwave real.
Instala una dll falsa en C:\shockwave y en ese momento, se pone en contacto con adpopup.hopto.org para mostrar insistentemente publicidad no solicitada en el sistema.
Para prevenir el problema, aparte de las advertencias habituales, conviene fijarse bien el la URL de la dirección de descarga de este componente y utilizar servicios como VirusTotal.com. Si bien no ofrece garantías absolutas, puede hacer sospechar sobre el archivo. En este caso además, como dato curioso, advertir que Adobe Macromedia firma digitalmente sus archivos, con lo que se puede comprobar simplemente pulsando con el botón derecho sobre el instalador original, que está firmado y que la firma realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su origen y que desde que fue creado, el fichero no ha sido modificado. Si bien no todas las compañías firman sus archivos, es conveniente siempre comprobarlo antes de usarlos en el sistema y aprovechar las garantías que ofrecen las que se toman la molestia de hacerlo.

SpamAssassin es un filtro anti spam que corre en servidores (se integra con Exim, Qmail, Sendmail, Postfix, etc) siendo una de las soluciones más efectivas a la hora de lidiar con el creciente número de correo basura que satura la Internet a diario.

Basa su control en la exploración de cada mail que se recibe y en un pormenorizado análisis de los encabezados del mail (headers) y del contenido mismo: lo compara con patrones establecidos en su propia configuración.

Cada vez que un patrón es localizado (ej: una determinada palabra en el mail: “casino online”) se le asigna una puntuación (ej: 1.5 puntos) lo que, a su vez, incrementa un contador total del puntaje del mail (ej: 8.5 puntos). La puntuación que se asigna también depende la la configuración del sistema.

Al terminar con la exploración del mail, compara la puntuación obtenida con un valor conocido como “umbral”: si el valor obtenido es menor que el umbral el mail no es considerado spam y, si es igual o mayor, si lo es.

Puede darse el caso que un mail genuino sea tomado como spam debido a que o bien el umbral está en un valor muy bajo o que el mail contiene patrones que, mayormente, estarían en un spam. Estos mails son conocidos como “falsos positivos”. Un ejemplo simple es una droguería que reciba una lista de precios de un laboratorio y, entre los ítems, hayan medicamentos difundidos muy comunmente por medio del spam (ej: viagra).

Activar SpamAssassin en una cuenta de Hosting con cPanel como panel de control es una tarea muy sencilla. De debería proceder como sigue:

1 ) Vaya a su CPANEL e ingrese en la opción “Correo”

2 ) Ingrese en “Spam Assassin”

3 ) Clic en “Activar Spam Assassin”

4 ) Clic en “Volver Atrás”

5 ) Clic en “Configure al asesino del Spam (requerido reescribir temas)”

6 ) En el campo “required_score” ponga el valor 5 (IMPORTANTE: valores más altos pueden dejar pasar el spam a su cuenta y valores inferiores pueden generar muchos falsos positivos).

7 ) En el campo “rewrite_header subject” ponga la siguiente leyenda: ***SPAM*** : _HITS_-_REQD_–

8 ) Clic en “Guardar”

Luego, en su programa de correo local, configure una regla que filtre TODO mensaje que tenga, al inicio del asunto, el siguiente texto: ***SPAM*** : Puede eliminarlo, moverlo a una carpeta o hacer lo que UD. desee.

Con ésto logrará disminuir, en buena forma, el spam en su bandeja de entrada.

Es posible que quiera que TODO correo que haya sido marcado como SPAM sea eliminado, aunque con ello acepte el riesgo de perder mails que, sin ser spam (falsos positivos), hayan sido identificados de esa forma.

En tal caso y, desde la misma ventana donde activó el SpamAssassin, haga clic en donde dice “To simply have the server DELETE and NOT deliver emails that are tagged as spam by SpamAssassin, click here now.” (en la parte resaltada en azul).

Con ésto se agrega un filtro que descarta todo mail que, en el asunto, tenga la leyenda “***SPAM***”

Esperamos que disminuyan los mails del tipo spam con la puesta en marcha de la mencionada medida y que, si lo considera, comparta su experiencia, mejoras y alternativas al uso.

Saludos,

Julio Alfredo Botto
www.sectorhosting.com

Fuente: EFE

Madrid, 17 jun (EFECOM).- El “spam” (correo no deseado) con imágenes creció un 500 por ciento en 2006 y a finales de ese año suponía ya el 50 por ciento de todo este tipo de correo, dentro de los nuevos modos de “ciberdelincuencia” que están surgiendo en la red, según un informe de la multinacional de seguridad McAfee.

Se trata de un “spam” más colorido, a menudo “granuloso” y que contiene menos texto, lo que contrarresta los sistemas normales de filtrado de correo-basura.

El informe de McAfee hace hincapié en que a pesar de que aparentemente son inofensivos, detrás hay técnicas inteligentes de ingeniería social que en ocasiones llegan a manipular el mercado bursátil.

En este sentido, el estudio señala que una de las estratagemas más frecuentes, denominada “pump and dump” consiste en que los remitentes del “spam” adquieren acciones baratas y envían su mensaje de correo sobre la citada empresa con una gráfica de las acciones con la esperanza de que los más ingenuos compren y hagan subir las acciones.

Cuando la cotización sube, los remitentes del correo no deseado venden sus acciones con rendimientos que suelen alcanzar entre un 5 y un 6 por ciento en cuestión de días, mientras que los ingenuos pierden alrededor del 7 por ciento de lo invertido, según un estudio realizado por las universidades de Oxford y Purdue, que cita McAfee.

Precisamente este tipo de campañas ha hecho que el regulador estadounidense de la Bolsa, la SEC, suspendiera durante diez días la contratación de valores de 35 empresas que habían sido afectadas por una campaña de correo no deseado por imágenes.

Además, la SEC persigue a los que se benefician de estas acciones y ha congelado tres millones de dólares de una red de “ciberdelincuentes” de Europa Oriental involucrada en un caso de manipulación bursátil.

Pero además, el “spam” por imágenes perjudica al que lo recibe debido a su tamaño, tres o cuatro veces superior al de un correo no deseado normal, ocupa más espacio en el servidor y reduce la productividad de los sistemas.

El problema de estos correos maliciosos, dice el informe de McAfee, es que son muy difíciles de detectar ya que cambian constantemente.

Los “ciberdelincuentes”, explica el documento, protegen sus correos con lo que se denomina “ruido de fondo” que consiste en manchas y puntos aleatorios que hacen que cada correo sea único, lo que facilita que burle los sistemas de filtrado de mensajes.

McAfee explica que para luchar contra estos mensajes, lo más efectivo es el sistema que bloquea de forma dinámica en la red todas las direcciones IP que provienen de redes de “ciberdelincuencia” conocidas e incluso de los llamados “equipos zombis individuales (dispositivos de usuarios que sin saberlo son utilizados por delincuentes para mandar “spam”), sin analizar los mensajes.

De esta forma cuando McAfee identifica una dirección IP como red de lanzamiento de “spam” bloquea todos los mensajes que provienen de ella hasta que la analiza en profundidad y la rehabilita si se ha tratado de un falso positivo.

Junto a esta técnica los expertos en seguridad utilizan el análisis de las imágenes integradas en los mensajes para detectar técnicas de ocultación, ofrecen firma digital a empresas en los casos en los que su imagen está siendo utilizada y estudian nuevas regalas de análisis de correo deseado, para luchar contra una plaga que se prevé seguirá creciendo este año. EFECOM aigb/ltm

de www.hispasec.com

El día 7 de junio, se descubría una grave vulnerabilidad en unos ActiveX de Yahoo! Messenger que permitía la ejecución de código arbitrairo a través de la web. El código necesario para aprovechar el problema se hizo público, y obligó a Yahoo! a publicar, apenas unas horas después, una nueva versión de su producto. Ofrecemos una prueba de concepto para que cualquiera pueda comprobar a qué se está expuesto con esta vulnerabilidad.

Las dos vulnerabilidades se encontraban en las utilidades Webcam Image Upload y View de Yahoo! Estos Controles Active X son instalados por defecto como parte de Yahoo! Messenger y son accesibles a través de Internet Explorer. Esto permite crear páginas especialmente manipuladas que ejecuten código en el sistema con los privilegios del usuario que lance la aplicación. El problema concreto reside en Yahoo! Webcam Upload (ywcupl.dll) y Yahoo! Webcam Viewer (ywcvwr.dll) y en sus respectivas propiedades “server”. Se puede provocar un desbordamiento de pila que conllevaría una ejecución de código. Las versiones vulnerables de estas librerías son la 2.0.1.4 (y anteriores) para ambas.

Lo que hace realmente peligrosa esta vulnerabilidad, es que el problema es aprovechable a través de Internet Explorer, capaz de acceder a esas DLL a través de ActiveX. Yahoo! actuó rápidamente y pocas horas después de hacerse público el anuncio lanzó su versión 8.1.0.401, que solucionaba el problema sustituyendo a la 8.1.0.249.

En Hispasec hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga al directorio raíz (C:) del usuario con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado. Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como “joke”, o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Yahoo! Messenger sin parchear e Internet Explorer, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie):

http://blog.hispasec.com/laboratorio/recursos/yahooi/exploit.html

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar Yahoo! Messenger desde http://messenger.yahoo.com/download.php

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como “joke” (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. La vulnerabilidad a día de hoy sigue siendo aprovechada y no todos los antivirus son capaces de detectar la página del exploit como potencialmente peligrosa. En muchas ocasiones, los usuarios no actualizan el software que no forme parte del sistema operativo. Esta es una excelente excusa para que se siga la misma política con el sistema operativo que con los programas que se ejecutan en él.

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:

http://www.hispasec.com/laboratorio/video_yahoo.htm

Desde Hispasec, como siempre, recomendamos desactivar los ActiveX en la zona de Internet del navegador Internet Explorer, y ejecutar éste con los mínimos privilegios.

de www.hispasec.com

MySpace se ha convertido desde hace algunas semanas, en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.¿Por qué robar credenciales de MySpace que en principio no aportan beneficio económico directo? Lanzamos algunas teorías.

Desde el Laboratorio Hispasec hemos detectado en los últimos días un súbito y descomunal aumento de ataques phishing perpetrados contra MySpace, la red social de moda que aloja millones de páginas de usuarios. Un usuario de MySpace se da de alta y puede construir su propia página donde alojar su perfil. Otros usuarios lo enlazarán como amigos creando una densa red de contactos. Las avalancha de URL

fraudulentas detectadas, donde se alojan las páginas falsas de MySpace, mantienen un estilo inconfundible que las delata como creaciones de la banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de MySpace creadas cada día por estos profesionales del phishing.

Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.

La primera es obvia, muchos usuarios utilizan la misma contraseña para varios servicios. También, el obtener contraseñas de perfiles “privados” les permite acceso a información “sensible” de usuarios (fecha y lugar de nacimiento, por ejemplo) para realizar ataques más específicos y selectivos en el futuro.

Otras teorías son más interesantes. En la página del perfil del usuario al que se le ha robado la contraseña, es trivial introducir código CSS en algunos campos. Al ser interpretado en el navegador, cuando alguien que visite la página haga click en un campo, será redirigido a alguna web donde intentará ser infectado por malware o engañado de alguna forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado un script para limpiar este tipo de enlaces fraudulentos. Pero parece que se han olvidado de limpiar ciertos campos, y todavía es posible inyectarlos en algunos otros.

Otra teoría que revaloriza las credenciales de MySpace, es el uso de las páginas de perfiles robados para de alguna forma, hacer aparecer ventanas emergentes a quien las visite. Se han observado en los últimos días en muchos perfiles un popup muy conseguido que simula ser la ventana de administración de actualizaciones de Windows. Si el usuarioacepta la supuesta “actualización”, se descargará un programa. Una vez ejecutado en el equipo, simulará un icono en la barra de tareas e intentará descargar ficheros que un falso escaneo antispyware de la máquina intentará solucionar. Una forma rebuscada (descargando ficherossupuestamente infectados) de que el usuario instale el spyware.

MySpace, se convierte así en un vector de ataque muy utilizado como objetivo de phishers para realizar posteriormente estafas más sofisticadas o directas. A medida que la banca actúe, contratando servicios antiphishing o antitroyanos y se dificulte la labor de los que intentan robar sus credenciales, es “natural” que la industria del malware migre hacia otras páginas en principio menos “protegidas”, que todavía no han implementado medidas suficientes para paliar de forma eficaz el robo de contraseñas.

¡Bienvenidos al blog de SectorHosting!

Pretendemos crear un espacio de transparencia donde clientes y amigos puedan compartir experiencias y visiones sobre nuestra empresa o aspectos relacionados a Internet y el negocio que ofrecemos.

¡Los esperamos!

El equipo de SectorHosting.