| |
Home / Bitácora / junio 2009
Bitácora del analista antivirus
¡Gana dinero con Twitter! |
| Maria | 30 junio 2009 | 17:42 MSK |
Comentar
|
Todos disfrutamos de los sitios de redes sociales y los phishers no son la excepción. Los estafadores virtuales han estado enviando notificaciones falsas de Twitter por bastante tiempo. Pero la que acabamos de recibir no tiene mucho en común con las anteriores. El mensaje (en inglés) dice lo siguiente: 
[Traducción: “Tu amigo te ha estado buscando en Twitter. Tienen algo que mostrarte. http://www.digilinks.mobi/twitter/”] Hay varias cosas sospechosas en este mensaje: la palabra ‘twitter’ aparece al final del enlace en vez de al principio, y la redacción deja mucho que desear. Además, ninguna de las direcciones del remitente tiene una relación directa con Twitter.
- From: "Donald" VanceShade@qoodly.com
- From: "Michael" KirbySchulte@filepages.net
- From: "Jeff" JeremiahSilver@savingssavingsandmoresavings.net
Al pulsar en el enlace (¡no se cómo la gente no se cansa de pulsar en enlaces!), el usuario ingresa a un sitio que muy gentilmente ofrece compartir un método para hacer dinero en Twitter. Todo lo que el usuario debe hacer es escribir sus datos personales. 
Después de que la víctima los escribe, le piden sus datos financieros:
Así que esta es la pregunta del millón: ¿de verdad será una buena idea escribir los datos de tu tarjeta de crédito en un sitio que dice tener el secreto para ganar dinero desde tu hogar y que, por cierto, encontraste pulsando en un mensaje spam? (no ofrezco premios para quienes tengan la respuesta porque todos la sabemos). Pero la historia no termina allí. Por pura curiosidad, escribí http://www.digilinks.mobi/facebook en mi buscador (en lugar de http://www.digilinks.mobi/Twister/) y apareció esto: 
Pero después me redirigieron a un sitio que me decía que había ganado una gran suma de dinero. ¡Son noticias maravillosas! ¿Por qué gastar tiempo ‘ganando’ dinero en Twitter cuando me gané la lotería? Todo lo que debo hacer es darles mis datos… 
Nos gustan las redes sociales por las rarezas que podemos encontrar en ellas. Y los phishers también las disfrutan, porque siempre hay alguien dispuesto a pulsar, pulsar y volver a pulsar en sus enlaces.
La verdad sobre Michael Jackson |
| Maria | 30 junio 2009 | 17:37 MSK |
Comentar
|
Como era de esperar, la muerte de Michael Jackson desató un frenesí de actividades con cada nuevo "hecho" que se daba a conocer, comentarios de los fans y rumores difundidos por los medios. Por supuesto, los piratas virtuales no tardaron en unirse al movimiento mundial. Un ejemplo de ello son los hackers que irrumpieron en la cuenta de Twitter de Britney Spears para hacer creer a sus fans que había sufrido una muerte prematura. Los spammers también saltaron al vagón de Michael Jackson. La imagen de abajo muestra parte de un mensaje spam en italiano que detectamos hoy:
[Traducción: “Todo el mundo quedó devastado al enterarse de la muerte de Michael Jackson. Su muerte está rodeada de misterios. El siguiente video muestra los últimos momentos de la vida de Michael Jackson y la dura verdad sobre su muerte. ¡Los menores de 16 años no deben ver este video!"] El enlace que se muestra en el mensaje parece dirigir a YouTube, y quienes pulsan en él ingresan a un sitio muy parecido. La página contiene incluso un contador de visitas en la parte inferior del sitio que registra las más de 5 millones visitas que ha recibido el sitio.
Pero si los usuarios intentan ver el video, en vez de ver hechos sorprendentes, el sitio les pregunta si quieren abrir o guardar un archivo. Por supuesto, no es ningún codec ni archivo de videos: es Net-Worm.Win32.Kolab.cxa, un gusano que nuestros productos desactivan. 
La ingeniería social de este ataque es bastante buena, aunque hay algunas señales que lo delatan. El enlace no es 100% igual a los que dirigen al sitio legítimo de YouTube, y los visitantes que ingresan más de una vez notarán que el contador de visitas no aumenta. Así que si quieren enterarse de las últimas noticias, recuerden: usen su sentido común, analicen los enlaces con detenimiento antes de pulsar en ellos y no olviden actualizar sus programas antivirus.
Y que descanses en paz, Michael.
Descuidos en los mensajes de actualización de Firefox |
|
El fin de semana pasado estuve ocupado configurando unos nuevos sistemas. Mientras lo hacía, encontré una vieja máquina y decidí encenderla. Al ingresar a Firefox, apareció en mi pantalla el siguiente mensaje: 
¿Qué hay de malo con esta imagen? Si se analiza con cuidado, bastante. El problema es que Firefox 2.0.0.13 está muy lejos de ser la última versión de Firefox. Peor aún, el mensaje falla en dos cosas: No sólo ya estamos en Firefox 3.x, sino que Firefox 2.0.0.13 tampoco es el último lanzamiento en la saga de versiones 2.x. Así que el anuncio da un mensaje errado tanto en cuestión de lanzamientos mayores como de menores. Ahora, cualquiera puede pensar que el mecanismo de actualizaciones automáticas se ocuparía de este problema, pero eso puede deshabilitarse por una gran cantidad de razones. De una u otra manera, el punto es que este es un descuido muy grande de parte de Mozilla. Por desgracia, el mostrar mensajes incorrectos de este tipo no es exactamente un problema nuevo para Mozilla y en mi opinión esta dejadez de ignorar problemas tan fáciles de solucionar no da una buen imagen. Como la página se abre desde el sitio de Mozilla, no debería ser tan trabajoso resolver la falla. Cuando revisé la situación en el grupo de actualizaciones 3.x de Firefox, los resultados fueron mejores.
Esto significa que los chicos de Mozilla han estado arreglando la página para que incluya las versiones 3.x, pero olvidaron hacerlo con las anteriores. Esperemos que Mozilla arregle este problema pronto para que su sitio comience a anunciar de forma correcta si una versión está actualizada o no, aún cuando la afectada sea una versión antigua. Después de todo, todos sabemos que existen millones de personas que tardan una infinidad en actualizar sus sistemas.
El gusano de Twitter que no es gusano |
|
El sábado se lanzó una alerta sobre un nuevo gusano de gusano Twitter. ¿Acaso es otro gusano XSS? Al pulsar en el enlace, los usuarios ven lo siguiente: 
Pero hay más: se establece en secreto una conexión a otro servidor que descarga un archivo PDF malicioso. Este PDF contiene varios exploits. Si se logra explotar la vulnerabilidad, se descarga un archivo. Según los informes, se esperaría que fuera un gusano, pero resulta ser otro instalador de programas fraudulentos. Esta vez promueve un programa llamado “System Security”. Durante el proceso de investigación no pude detectar ningún componente correspondiente a un gusano. Pero existe otra explicación para que la actividad que hemos visto se asemeje a la de un gusano. 
Hace alrededor de una semana se detectó un ataque phishing bastante grave que atacaba a Twitter. Sólo sería cuestión de tiempo hasta que viéramos el uso que se le daba a la información robada. Lo más probable es que los cibercriminales responsables de este ataque simplemente usaron los datos de acceso robados para ingresar a las cuentas comprometidas y enviar los mensajes que se vieron en este ataque. Yo creo que esto es mucho más probable que haber usado un gusano. Este ataque es muy importante. Parecería que al menos un grupo criminal está explorando la posibilidad de utilizar Twitter para distribuir programas por dinero. Si las tendencias que hemos visto en otras redes sociales sirven de indicador, es muy posible que veamos un aumento en ataques a Twitter.
| |
