Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr    
     
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Nueva amenaza: Trojan-SMS.AndroidOS.Stealer.a


  Victor Chebyshev       18 abril 2014 | 13:34  MSK

Comentar  

El escenario de los intentos de infección de dispositivos móviles mediante programas maliciosos está en constante cambio, y en este artículo me gustaría referirme a una nueva tendencia. En el transcurso de los últimos doce meses, Trojan-SMS.AndroidOS.Stealer.a, un troyano diseñado para dispositivos móviles, ha pasado a ocupar posiciones de primer orden por la cantidad de intentos de infección en los dispositivos de los usuarios de productos de Kaspersky Lab, y hasta la fecha no ha dejado el podio de las amenazas activas. Por ejemplo, en el primer trimestre de 2014, fue responsable de casi un cuarto de todos los ataques detectados.


Distribución geográfica


Este troyano SMS ha tenido una amplia propagación en Rusia, y también se han registrado intentos de ataques en Europa y Asia. Este troyano ha infectado equipos prácticamente en todo el mundo:



Hay otro factor, el archivo de configuración, que sugiere que este troyano apunta a usuarios en varios países del mundo. El troyano determina la región en la que se ha lanzado, y modifica el contenido del breve mensaje de texto y el número del destinatario según corresponda. Al momento de escribir este análisis, Trojan-SMS.AndroidOS.Stealer.a se encontraba activo en los siguientes países:



  • Bélgica

  • Francia

  • Lituania

  • Letonia

  • Rusia

  • Ucrania

  • Bielorrusia

  • Moldavia

  • Alemania

  • Armenia

  • Abjasia

  • Azerbaiyán

  • Kazajistán

  • Kirguistán

Funcionamiento


Trojan-SMS.AndroidOS.Stealer.a no es en absoluto un programa malicioso común. Se propaga camuflado como una aplicación legítima y utiliza varias funciones que son comunes entre los troyanos SMS.



  • Stealer puede recibir y procesar los siguientes comandos desde el servidor C&C:

    • server – cambia C&C

    • sms – envia un SMS con datos especificados en el archivo de configuración.

    • delete – elimina los mensajes entrantes que respondan a una máscara, con un intervalo determinado.

    • update – actualiza el troyano.

    • removeAllSmsFilters – elimina los filtros SMS.

    • sendInfo – envía información sobre el teléfono.

    • sendPackagesList – envía una lista de aplicaciones.

    • sendConfig – envía la configuración vigente.

    • uninstall – desinstala una determinada aplicación.

    • notification – muestra un mensaje en el área de notificaciones.

    • inbox_sms_remote_log – activa la intercepción de mensajes.


  • El troyano se controla por medio del protocolo HTTP. Se utilizan dos centros C&C distintos: uno le asigna tareas y el otro recibe los resultados.

  • Stealer utiliza BASE64 modificado y GZip para cifrar los datos.

El troyano incluye un archivo de configuración cifrado, que es un script JS. Según lo que el archivo contenga, el troyano puede ejecutar las siguientes acciones inmediatamente después de que se carga y ejecuta:



  • openUrl – abre una página web (URL).

  • getLat, getLng – obtiene las coordenadas geográficas del dispositivo móvil.

  • setInboxSmsFilter – activa la máscara de bloqueo de SMS.

  • disableInboxSmsFilter – desactiva la máscara de bloqueo SMS.

  • doPayment – envía mensajes SMS con un texto y un número especificados en el archivo de configuración.

  • installApp – instala una aplicación.

  • enableDebug – activa la depuración.

  • disableDebug – desactiva la depuración.

  • log – permite entradas en el registro del sistema, o logcat.

  • minimize – minimiza el troyano dándole la apariencia de la aplicación que usa para propagarse (en modo oculto).

  • exit – cierra la aplicación.

  • startHider – oculta la aplicación.

  • stopHider – restaura la aplicación.

  • enableAOS – activa el modo oculto para los mensajes de confirmación.

  • addShortcut – añade un acceso directo al troyano en el escritorio del sistema operativo.

  • isAirplaneModeOn – verifica si está activado el modo avión.

  • isPackageExists – verifica si la aplicación máscara se encuentra en el sistema.

  • sS – envía un mensaje SMS al prefijo y número especificados.

  • sDS – envía un mensaje SMS después de una demora.


Entonces, los atacantes pueden controlar el comportamiento del troyano modificando su archivo de configuración.


Curiosamente, los desarrolladores del troyano siguen utilizando esta técnica mediante la cual se distribuyen en forma conjunta el troyano Trojan-SMS.AndroidOS.Stealer.a y sus parámetros. La mayoría de los troyanos de este tipo se controlan exclusivamente vía online. Por otra parte, esta técnica permite que Stealer siga funcionando aunque no se tenga conexión a Internet.


Prevemos un notable incremento en la cantidad de intentos de infección por parte de Trojan-SMS.AndroidOS.Stealer.a. Es muy probable que los atacantes reduzcan el archivo de configuración al mínimo posible y lleguen a controlar el troyano vía online, sin interferir con su funcionamiento.

¿Te gustaría café con Zeus?


  María Vergélis       17 abril 2014 | 11:24  MSK

Comentar  

A los ciberdelincuentes les gusta utilizar cartas fraudulentas para engañar a los usuarios e inducirlos a abrir los adjuntos maliciosos. Este artículo es acerca de dos de estos engaños: un mensaje de un remitente conocido (banco, red social, proveedor de servicios u otra organización que pueda interesarle al destinatario) y un asunto intrigante o alarmante. Un ataque con mensajes fraudulentos supuestamente enviados por la cadena de café Starbucks combina ambas argucias.



El mensaje detectado dice que hace algunas horas un amigo hizo un pedido de regalo en Starbucks para el destinatario y que va a celebrar una ocasión especial en una cafetería de la famosa cadena. El amigo misterioso desea guardar el anonimato, para disfrutar la intriga que acaba de crear, pero ha estado enviando invitaciones con los detalles de un menú especial, que se encuentra en el adjunto. Al final, le desean al destinatario una estupenda velada.


Todos los mensajes se enviaron con alta importancia. Además, las direcciones, creadas en los servicios gratuitos de correo de Gmail y Yahoo, cambian de un mensaje a otro, y parecen ser combinaciones generadas aleatoriamente, como incubationg46@, mendaciousker0@, etc.


El adjunto es un archivo .exe y los ciberdelincuentes no se han tomado la molestia de camuflarlo como un archivo comprimido o con una doble extensión en el nombre de archivo. Al parecer, estaban convencidos de que el feliz destinatario abriría el adjunto sin sospechas de por medio. Kaspersky Lab detecta el archivo adjunto como Rootkit.Win32.Zbot.sapu, una modificación de uno de las familias más notables de spyware Zbot (ZeuS). Los ciberdelincuentes usan estas aplicaciones para robar información confidencial. Esta versión de Zbot es capaz de instalar un rootkit llamado Rootkit.Win32.Necurs o Rootkit.Win64.Necurs, cuyo objetivo es neutralizar las soluciones antivirus y otras soluciones de seguridad.


El papá omnipresente


  Maria Rubinstein       16 abril 2014 | 11:27  MSK

Comentar  

Hay sitios web que muestran textos diferentes dependiendo de dónde viva el usuario. Por ejemplo, las páginas de inicio de algunos portales te muestran las noticias y el clima de tu región de forma predeterminada, porque es más probable que te interese este tipo de información.


Los spammers y estafadores también lo hacen.


La siguiente carta ofrece un método fácil para ganar dinero en Internet:



El enlace adjunto dirige a los usuarios a times-financials.com, registrado en octubre de 2013 según la información de Whois:



El título dice: “Papá de la ciudad de Moscú gana 14.000 $ al mes”.


¿De Moscú? Hmmm.


Tratemos de abrir el mismo sitio con proxyvpn.se:



Esta vez, el papá es de Nueva York.


Si cambias el idioma en la dirección y escribes EN en vez de español, aparece el mismo sitio en inglés:


Y si escribes FR, lo verás en francés:



Pero, si pruebas desde un proxy alemán, el “papá” se desorientará y el título no mencionará ninguna ciudad:



El enlace a estas páginas es el mismo y dirige a yourbinarysystem.com, registrado en enero de 2014. El sitio promete a los usuarios riquezas infinitas, y otro enlace dirige a los usuarios a un tercer sitio con una típica estafa piramidal.


No hemos recibido ningún correo con enlaces hacia este “papá” en ningún otro idioma además del castellano. Pero estamos seguros de que los creadores de la estafa piramidal también están enviando correos en otros idiomas para atraer visitantes a su sitio. Si recibes un mensaje como este, por favor, ¡compártelo con nosotros!


Actualizaciones de Adobe, abril de 2014


  Roel       10 abril 2014 | 16:10  MSK

Comentar  

El martes de parches de Adobe en el mes de abril se centra en Flash. Esto significa que las vulnerabilidades “zero day” con las que VUPEN atacó a Adobe Reader en CanSecWest siguen abiertas.


CVE-2014-0506 y CVE-2014-0507 abordan el problema de ejecución remota de códigos y se usaron por separado en Pwn2Own de CanSecWest. (Parece que al principio se les había asignado los nombres CVE-2014-0511 y CVE-2014-0510).


El parche para CVE-2014-0508 soluciona el problema de filtrado de información, mientras que el de CVE-2014-0509 controla un problema de secuencias de comandos en sitios cruzados (XSS). No hemos visto ningún caso de explotación de estas vulnerabilidades en la red, pero aun así es importante instalar los últimos parches lo antes posible.


A principios del próximo mes, Flash 13 para Windows y Mac reemplazará a Flash 11.7 como la versión de apoyo extendida. Aquellos en el canal ESV podrían comenzar a hacer los cambios necesarios.


El fin del camino para Windows XP


  David       10 abril 2014 | 16:08  MSK

Comentar  

El soporte para Windows XP ha terminado: a partir de ahora no habrá más actualizaciones de seguridad, parches de último minuto, opciones de asistencia gratuitas o pagadas ni actualizaciones del contenido técnico en Internet.

¿Cuál es el problema? Después de todo, es un sistema operativo de 12 años de antigüedad.

No habría ningún problema si no hubiese mucha gente que todavía está utilizando Windows XP - nuestros datos indican que alrededor del 12% de nuestros clientes siguen ejecutándolo. Es mucha gente que queda vulnerable a ataques cuando los parches dejen de protegerla: cualquier vulnerabilidad que se descubra de ahora en adelante será una vulnerabilidad del día cero, lo que quiere decir que no habrá ninguna posibilidad de parcharla.

El problema se complicará cuando los vendedores de aplicaciones dejen de desarrollar actualizaciones para Windows XP: cada aplicación sin parches se convertirá en una nueva zona de ataques.

Podría parecer obvio que la solución más simple es actualizar el sistema operativo. Pero aunque Microsoft ha avisado con mucho tiempo de anticipación sobre sus planes de cancelar el soporte para XP, es fácil comprender por qué a algunas compañías les podría costar el cambio. Además del gasto económico que implica cambiar de sistema operativo, hay que invertir en nuevos equipos y hasta tratar de reemplazar aplicaciones que han sido desarrolladas de forma específica para las compañías, que en el momento funcionaban con XP. Por eso no es ninguna sorpresa que las grandes organizaciones estén pagando para seguir recibiendo las actualizaciones de XP.

Entonces, si no haces el cambio ahora, ¿puedes seguir protegido? ¿Tu antivirus te protegerá?

Sin duda te dará protección. Pero esto sólo funciona si con “anti-virus” nos referimos a un producto de seguridad completo que utilice tecnología proactiva para defenderte de ataques nuevos y desconocidos; en particular, con funcionalidades para evitar el uso de exploits. Un antivirus básico, que se enfoca en el análisis de las firmas de programas maliciosos, no es suficiente para protegerte en este caso. También recuerda que, con el paso del tiempo, los vendedores de seguridad implementarán nuevas tecnologías de protección que no serán compatibles con Windows XP.

En el mejor de los casos, debes percibirlo como una pequeña extensión mientras terminas tu estrategia de migración. Los escritores de virus sin duda atacarán a Windows XP mientras siga teniendo un público tan grande, ya que un sistema operativo sin parches les ofrecerá una oportunidad mucho mayor de explotar las vulnerabilidades que encuentren. Cada equipo con Windows XP que esté en una red se convierte en un punto débil que puede explotarse en un ataque dirigido hacia la compañía. Si se lo compromete, es una puerta de entrada a la red.

No hay duda de que es complicado y costoso cambiar de sistema operativo, tanto para los individuos como para las compañías. Pero el riesgo de usar un sistema operativo que se volverá cada vez más inseguro es más importante que los inconvenientes que puede causar el cambio.


Cuidado: ¡Programas maliciosos preinstalados!


  Dong Yan        1 abril 2014 | 19:11  MSK

Comentar  

El principal canal de televisión de China, CCTV, tiene una reconocida tradición de conmemorar el Día mundial de los derechos del consumidor (15 de marzo) en su programa ‘Fiesta nocturna 315’. Para este acontecimiento anual se crean una canción y una coreografía sobre las violaciones a los derechos del consumidor. En la celebración correspondiente a este año se informó sobre canales de distribución de smartphones que preinstalan programas maliciosos en los dispositivos Android antes de venderlos a los desprevenidos clientes.

El programa televisivo mostró que el malware preinstalado lleva el nombre de DataService:

Y en otra noticia sobre este mismo tema encontramos el md5 de este programa malicioso.

Kaspersky Lab detecta este programa malicioso como Trojan.AndroidOS.Uupay.a. No se trata de un programa autónomo, pues funciona junto a aplicaciones corrientes para Android, lo que significa que la mayoría de los usuarios ignora que sus aparatos están infectados hasta que les llega una abultada cuenta telefónica. ¿Qué es lo que hace “DataService”? Como se informó, puede enviar una variedad de datos, como el IMEI, las direcciones MAC, el modelo del teléfono, la lista de aplicaciones instaladas, etc. También puede enviar muchos avisos publicitarios y descargar determinadas aplicaciones. Analicemos el código para verificar lo dicho.

Primero, de forma general, veamos AndroidManifest.xml descomprimido del APK del programa malicioso, que muestra información esencial sobre la aplicación. A primera vista, la aplicación obtiene una variedad de autorizaciones críticas, algunas de las cuales pueden costarle dinero al usuario, y penetra en sus datos confidenciales:

Algunas URLs llamaron nuestra atención:

Más adelante explicaremos cómo se usan.

Después de descompilar algunas variantes de este programa malicioso, descubrimos que todas contienen paquetes con nombres como com.google.hfapservice y com.uucun.android.

Aunque contiene “google” como parte de su nombre, ‘com.google.hfapservice’ no tiene nada que ver con Google, y se usa para descargar en segundo plano otras aplicaciones:

E instalarlas también en secreto:

Utiliza el servicio Push Service provisto por Airpush:

Y ejecuta un servicio para capturar y mostrar el aviso publicitario enviado:

Y descarga las aplicaciones enviadas:

También puede obtener varios detalles del smartphone, como el IMEI, las direcciones MAC, el modelo del teléfono, la lista de aplicaciones instaladas, etc.

Los paquetes con nombres como com.uucun.android también contienen códigos para mostrar, descargar e instalar avisos publicitarios u otras aplicaciones en este paquete:

Y recopilar información del teléfono:

Antes de enviar esto a los servidores:

Mediante el análisis dinámico hemos rastreado el tráfico de red de este programa malicioso y hemos encontrado que envía una petición a http://******mall1.plat96.com/ para obtener la lista de aplicaciones que necesita descargar:

http://******mall1.plat96.com/ parece ser algún tipo de mercado no oficial de Android.

Descargamos algunas APKs de la lista de descargas y todas contienen el mismo tipo de programa malicioso que DataService.

Ahora nos queda clara la principal función de DataService, pero la historia no termina aquí. ¿Cómo puede preinstalarse este malware en una cantidad tan grande de flamantes smartphones? En el programa televisivo de CCTV mencionado al principio, su presentador desveló el misterio. Este periodista descubrió que una compañía llamada Goohi, filial del grupo Datang Telecom Technology & Industry Group, ofrece un servicio de preinstalación de aplicaciones para Android a través de un producto llamado “artefacto mágico de Datang”. Hasta la fecha, Goohi cuenta con más de 4.600 miembros en su alianza de preinstalación. Esta alianza ha instalado más de 46 millones de aplicaciones y cada mes se preinstalan varias aplicaciones en más de un millón de smartphones.

¿Cómo es este “artefacto mágico”? Bueno, no es ninguna obra de arte:

Se afirman que este aparato puede instalar automáticamente en un smartphone Android y en cuestión de minutos cada aplicación que contiene. Este menú de aplicaciones viene con los precios incluidos, que varían entre $0,05 - 0,10 por instalación.

Al preinstalar las aplicaciones en la lista, los miembros de la alianza Goohi pueden recibir comisiones de esta compañía según la cantidad de instalaciones que realicen.

Por otra parte, se ha informado que las aplicaciones que Goohi preinstala roban la información confidencial de los usuarios. Goohi admitió este hecho, pero se defendió afirmando que sólo recopilaban datos estadísticos como IMEI, direcciones Mac, modelo del teléfono, lista de aplicaciones, pero nada relacionado con el número del teléfono, la lista de contactos, ni el registro de llamadas. Sin embargo, descubrimos que Trojan-Spy.AndroidOS.Agent.k, que recopila los datos confidenciales de los usuarios, puede tener algún vínculo con Goohi.

En el código descompuesto podemos ver que, en efecto, este troyano envía los registros de llamadas de los usuarios dos veces en 30 segundos:

Y se conecta a 61.160.242.35.

Podemos verificar que la dirección IP sí está vinculada a Goohi con sólo hacer un ping a www.goohi.cn.

Y veremos exactamente la misma dirección IP que encontramos en el programa malicioso.

Aunque el canal de televisión CCTV demostró que el programa malicioso DataService puede preinstalarse en smartphones y que el "artefacto mágico de Datang” puede usarse para este fin, no pudo demostrar un vínculo evidente entre ambos. Pero a partir del nombre “uucun” y de una noticia sobre uucun, podemos ver que posee canales de preinstalación que pueden hacer preinstalaciones en más de 100 millones de smartphones.

Esto sólo nos lleva a fijarnos en el canal de preinstalación del programa malicioso DataService.

Confianza. Confianza. Confianza.


  Roel       14 marzo 2014 | 12:20  MSK

Comentar  

La semana pasada estuve en TrustyCon, en el debate público de Jeffrey Carr sobre el enfrentamiento entre la privacidad y la seguridad nacional y en la conferencia de Georgetown sobre Compromiso Cibernético Internacional. Todas ellas se concentraban en el factor confianza. En la confianza en Internet. En especial durante los últimos nueve meses, la confianza se ha esfumado y los internautas navegan con recelo. ¿Qué podemos hacer al respecto?

Disfruté mucho las discusiones que generaron. El debate de Jeffrey Carr se destacó por haber escogido a representantes con diversas posturas; eso es algo que necesitamos ver más a menudo.

La mayor parte del debate actual se centra en las acciones de los gobiernos. Se habla muy poco sobre lo que hacen las compañías de recolección de datos, como las que ayudan a las agencias de publicidad dirigida. Las leyes europeas suelen ser más estrictas en este sentido. En especial con el surgimiento de la publicidad para teléfonos móviles, ya es hora de que Estados Unidos comience a tomar esta cuestión en serio.

Me alegró que se mencionaran las BCP 38 (y 84) en diferentes casos. Ambas BCPs tratan el problema de la falsificación de dirección fuente, que permite que se realicen ataques DDoS de reflexión en gran escala. Ambas BCPs tienen más de una década de antigüedad, pero su implementación en el mundo real sigue muy atrasada. Los ataques DDoS asimétricos han estado causando muchos problemas que necesitan solucionarse. Las BCPs no perjudican el funcionamiento o la privacidad, por lo que se les debería prestar más atención.

Lo que nos debería preocupar es que estas soluciones no invasivas pueden pasarse por alto para solucionar los problemas usando medidas más drásticas.

Internet es una criatura grande y compleja. Su apertura es crucial para mantener la innovación del mundo. Recobrar la confianza será un proceso largo y complicado. No tendremos soluciones rápidas. No vale la pena tomar atajos.


Un “regalo” para los apreciados clientes de Apple


  Tatyana Shcherbakova       12 marzo 2014 | 10:42  MSK

Comentar  

En enero detectamos una oleada de correos fraudulentos que se enviaban en nombre de Apple. Los mensajes ofrecían una tarjeta de descuento de 150 euros para cualquier AppStore europea por sólo 9 euros. Los remitentes recalcaban que la oferta sólo era válida para un selecto grupo de clientes apreciados por la empresa.

Para solicitar el descuento, los fanáticos de Apple debían abrir una página HTML y llenar todos los campos, incluyendo la información sobre su tarjeta bancaria con el código de seguridad de tres dígitos que se encuentra al reverso.

A cambio, los estafadores prometían enviar la tarjeta de descuento por correo electrónico dentro de 24 horas. Pero sin duda éste es otro truco para engañar a los usuarios. Los estafadores hasta incluían el logotipo de Apple y subscripciones automáticas en el mensaje para confundir aún más a sus víctimas.

 

Los estafadores no sólo trataban de conseguir la información de acceso a las cuentas personales de sus víctimas, también querían sus datos bancarios y estaban dispuestos a hacer cualquier promesa para conseguirlos. Seguro que a los usuarios más ingenuos les cuesta reconocer el fraude, pero las solicitudes de información bancaria confidencial o de datos que permiten a terceras personas ingresar a tus cuentas personales son un indicador claro de que un estafador te está acechando.


Los servicios ocultos de Tor – un refugio para los cibercriminales


  11 marzo 2014 | 17:40  MSK

Comentar  

Los últimos meses he estado vigilando de cerca los llamados recursos Darknet, en especial la red Tor. De inmediato se hizo evidente que su elemento cibercriminal está creciendo. Aunque la infraestructura de Tor y los recursos cibercriminales no tienen la misma magnitud que el Internet convencional, encontramos alrededor de 900 servicios ocultos activos en este momento. También tiene unos 5.500 nodos en total y 1.000 de salida, pero la posibilidad de crear un foro, mercado o servidor C&C escondido y anónimo está atrayendo a cada vez más criminales a la red Tor.

Malware

Los cibercriminales han comenzado a usar Tor para alojar infraestructuras maliciosas. Hemos encontrado ejemplares de Zeus para Tor, después detectamos a ChewBacca y, por último, analizamos el primer troyano Tor para Android. Un vistazo rápido a los recursos de redes Tor revela que muchos se dedican al malware: servidores C&C, paneles de administrador, etc.

Alojar servidores C&C en Tor hace que sean más difíciles de identificar, agregar a listas negras o eliminar.

 
Panel de la red zombi Cythosia

Aunque crear un módulo de comunicación Tor dentro de un ejemplar de malware implica trabajo adicional para los escritores de virus, habrá un aumento de nuevo malware para Tor y del apoyo a los programas maliciosos que ya funcion en él.

 
C&C de Net SocksBot integrado en la red zombi Tor

Los foros y mercados clandestinos son muy conocidos en la red. Algunos son públicos, otros son privados y para unirte necesitas la aprobación del foro, ser una personalidad respetada en la escena del cibercrimen o tener una invitación de un miembro existente. Pero ha surgido algo nuevo: los mercados clandestinos de Tor. Todo comenzó con el famoso mercado Silk Road y evolucionó hasta la creación de decenas de mercados especializados: vendían drogas, armas y, por supuesto, malware.

 
Redes zombi a la venta

Procesos de registro simples, clasificaciones de los negociantes, servicios garantizados y una interfaz fácil de usar son características comunes de un mercado clandestino de Tor. Algunas de las tiendas hasta exigen que los vendedores depositen una cantidad de dinero como garantía para poder comenzar a negociar. Eso ayuda a comprobar que el negociante y sus servicios son verdaderos y no una estafa o de mala calidad.

 
Redes zombi a la venta

 
Spyeye a la venta

Fraude financiero

Las tiendas de tarjetas de crédito robadas han sentado raíces en la Darknet. La información personal robada está a la venta con una amplia variedad de modos de búsqueda, como por país, banco, etc. Las tiendas virtuales de tarjetas de crédito de Tor, que han ganado mala reputación por su mala calidad o por ser falsas, pueden tener una segunda oportunidad en la Darknet.

 
Tienda virtual que vende datos robados de tarjetas de crédito

Las ofertas no se limitan a las tarjetas de crédito: los equipos y herramientas para los ladrones también están a la venta.

 
Tiendas con otros productos para robar tarjetas

Money Laundering

Bitcoins play an important role in underground financial operations. Almost everything on the Tor network is bought and sold using bitcoins. Although iIt’s almost impossible to make a connection between a bitcoin wallet and real person, it is possible to: track bitcoin transactions as all of them are transparent and public, to build up a scheme of what’s going on, and find out the most valuable transactions made via bitcoin exchange services. That’s why money laundering services exist on Tor. Cybercriminals can create an account, deposit bitcoins and they will be broken up into various quantities, transferred through dozens of different wallets to make any investigation highly complicated.

 
Servicio de lavado de dinero

Conclusiones

Cada vez más cibercriminales se ven atraídos hacia la Darknet a causa de la creciente cantidad de servicios ocultos de Tor y la facilidad para utilizarlos.
Los escritores de malware están usando Tor cada vez más para realizar varias tareas asociadas con los programas maliciosos.

El fraude financiero y el lavado de dinero son aspectos importantes de la red Tor.

RootedCON V


  Vicente Diaz       10 marzo 2014 | 13:23  MSK

Comentar  

Hace cinco años, un grupo de entusiastas de la seguridad informática decidió juntarse para organizar una conferencia de seguridad para una audiencia de habla hispana.

La semana pasada, RootedCon celebró su quinto cumpleaños con la presencia de más de 1.000 personas. Ya está establecida como la conferencia de seguridad más importante de España.

Las charlas cubrieron muchos de los temas más candentes, como la inteligencia cibernética, el análisis criptográfico, la seguridad ofensiva y la ciberdefensa, entre otros. Gracias a los organizadores, pudimos presenciar un panel sobre armas cibernéticas a cargo de algunas de las autoridades más respetables de España, incluyendo representantes de CNPIC, CCN y el nuevo grupo Comando de Ciberdefensa Español.

Estos paneles a veces dejan la impresión de que los expositores están muy bien entrenados para desenvolverse en discusiones políticas y evitan los temas controvertidos y las preguntas difíciles, por lo que la audiencia debe aprender a leer entre líneas.

Pero éste no fue el caso. Cuando se hizo una pregunta específica pidiendo una definición de "arma cibernética", recibimos una respuesta más amplia de lo que esperábamos: "cualquier programa desarrollado con un propósito malicioso”. Cuando se preguntó sobre la postura del Comando de Ciberdefensa en este asunto, la respuesta fue “somos nosotros quienes deberíamos armarnos para disuadir a nuestros enemigos”. Por último, cuando se preguntó sobre el desarrollo de dichas armas, la respuesta fue “bueno…”, seguida de risas y de “digamos que estamos concentrándonos en el lado defensivo”.

Una de las charlas más interesantes fue la del fiscal del estado Jorge Bermúdez, que explicó algunas de las dificultades para procesar crímenes cibernéticos que cambian con gran rapidez, con leyes que tienen décadas de antigüedad, y cómo las autoridades las están “explotando” para poner a los cibercriminales tras las rejas. Fue una charla muy educativa e inspiradora, que nos ayudó a comprender cómo podemos ayudarles en su labor.

Por último, queremos mencionar que una de las palabras más repetidas durante la conferencia fue Careto. Hasta apareció en una de las presentaciones:

Bueno… no es una buena foto, pero seguro que puedes distinguir la infografía de Careto.

Todos los videos de las presentaciones (a excepción de dos) se pondrán a disposición del público las próximas semanas en rootedcon.es.

Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com