Poner remedio a la infección de bots en las redes de los Proveedores de Servicios de Internet

Las BotNetsson actualmente una de las amenazas más populares en Internet. Entreotras razones, por la diversidad de tipos de acciones que puederealizar quien las controla (envío de spam, ataques DoS, etc.). Estasredes de ordenadores infectados se han convertido en un problema paralos proveedores de servicios de Internet que día a día tratan deencontrar una solución.

El documento creado por The Internet Engineering Task Force (http://www.ietf.org/),contiene diferentes recomendaciones sobre cómo los Proveedores deServicios de Internet pueden gestionar los problemas derivados de lainfección de una BotNet con sus clientes (generalmente suscriptores de ADSL).Dentro de los objetivos principales destaca en un primer paso, la laborde implementar una solución adecuada, del lado del proveedor, paraevitar la infección así como la notificación a los clientes en el casode detectar algún ordenador infectado. El siguiente paso es ofrecer alos clientes las herramientas o la información necesaria para llevar acabo la desinfección.

Para ampliar la información sobre el funcionamiento y las características de una BotNet, puede visitar la sección Amenazas donde se describen los detalles más significativos de una red de este tipo.

Es posible acceder al informe “ Poner remedio a la infección de bots en las redes de los Proveedores de Servicios de Internet“, desde la sección Estudios e Informesdonde periódicamente se publican documentos de distintas organizacionesque son considerados importantes dentro del campo de la seguridad.

Fuente: INTECO.es

www.segu-info.com.ar

3 pasos básicos para evitar caer en una botnet

Sonar el tambor para la cencientización en seguridad nunca pasa de moda. En tanto los CSOs intenten hacer que la gente se actualice en prácticas seguras (tanto en Internet como en la oficina), siempre habrá alguien que necesite recordatorio.

En Internet,  la batalla más grande de estos días es contra las redes zombies (botnets): redes de computadoras infectadas que los hackers usan -sin saberlo el dueño de la computadora- para crimenes en linea que incluyen enviar spam o lanzar ataques de denegación de servicio.

Desafortunadamente, las técnicas de sombrero negro (black hat) empleadas para  hacer caer a los usuarios en una web de red zombie, evolucionaron a un nivel que las hacen a menudo indetectables incluso para los productos de seguridad más sofisticados. Combine eso con la falta de conocimiento del usuario, y la amenaza de infección se vuelve muy alta. (Vea: Botnets: Porqué se está volviendo más dificil encontrarlas y luchar contra ellas).

“Lo frustrante es que ellos puede hacer que sus posibilidades de infectar sean mucho, mucho menores,” dijo Steve Santorelli, que ve como lo usurios caen presa de trampas fácilmente evitables cada día. Santorelli, director de alcance global de la firma de seguridad sin fines de lucro Team Cymru, pasa sus días monitoreando la actividad maliciosa online, particularmente las botnets.

Santorelli señala que si bien una estrategia sóla no lo abarca todo, con varias herramientas en la caja, la tasa de infección dentro de las organizaciones disminuye de forma significativa.

Consejo 1: Tenga las máquinas del trabajo Y de la casa actualizadas regularmente con los parches y el programa antivirus.
El usuario promedio no necesariamente tiene mucho conocimiento tecnológico, dice Santorelli. No se dan cuenta de la importancia de trabajar con la TI como para asegurarse que están al día con los parches y las actualizaciones de programas. El problema puede ser específicamente prevalente entre los trabajadores que están con acceso remoto exclusivamente.

De hecho, un estudio realizado el año pasado por la firma de seguridad Sophos encontró que la mayoría de los usuarios de computadoras ignoran las actualizaciones de seguridad y apagan sus firewalls. Sophos escaneó 583 computadoras durante 40 días y encontró que el 81 porciento de las máquinas fallaron en una o más verificaciones de seguridad. La mayoría de las máquinas, el 63 porciento, les faltaban parches para el sistema operativo, las aplicaciones de office y de programas tales como Windows Media Player y Adobe Flash. Más de la mitad, 51 porciento, había deshabilitado su firewall y otro 15 porciento tenía desactualizado el antivirus y el programa de anti-spyware.

Esos son los tipos que aman los criminales.

“Esta gente va tra las fruta que cuelga bajo y desafortunadamente hay un monton por allí,” dijo Santorelli. “Hay tantas máquinas sin el AV actualizado en elllas.”

Si su sistema de parches no está automatizado, sus usuarios necesitan estar concientes de los riesgos que están asumiendo al trabajar con tecnologías de seguridad sin emparchar y desactualizadas. Y mientras que las actualizaciones de seguridad no son la cura completa para las infecciones de malware, Santorelli dice que ciertamente sirven como un fuerte impedimento.

“Si uno camina por la calle como un ladrón y ve una casa con un Rottweiler, y señales visibles de una compañía de seguridad, probablemente no atacará esa casa,” señaló.

Consejo 2: Use la última versión de navegador
Quedarse alejado de sitios dudosos y apegarse a marcas conocidas por ofrecer una razonable seguridad online. Desafortunadamente, eso es menos y menos infalible.

“Solía ser que si navegaba por lugares como CNN, o el Weather Channel, uno no se iba a cruzar con una gran amenaza de malware,” dijo Santorelli. “Eso ya no es más así. Hemos visto recientemente un número de casos en donde la gente fue a sitios web legítimos y había allí una publicidad alojando alguna clase de código malicioso.”

Allí es donde la última tecnología de navegación segura puede ayudar, dice Santorelli. La última versión de los navegadores actuales señalarán a menudo el contenido potencialmente peligroso.

“Los navegadores son mucho más seguros ahora que tantos de los agijeros de seguridad que existían en ellos han sido emparchados. También hay mucho de anti-phishing y anti malware que contienen ahora. De modo que si uno quiere ir a un enlace que contiene malware, su AV puede no atraparlo. Pero su navegador dirá: “¿Está seguro?”

Las buena noticia es que la mayoría de los navegadores son gratuitos. Uno puede descargar la últma versión de Internet Explorer o de Firefax fácil y rápidamente. (Vea: IE o Firefox: ¿cuál es más seguro?)

“Sólo le tomará cinco minutos tener la última tecnología de navegadores,” dice Santorelli. “Es sólo otro recurso más, por así decirlo.”

Consejo 3: Sea un poco más cuidadoso cuando le llegue un enlace o un adjunto.
“No haga clic ciegamente en cosas, ni confíe en otra gente para proteger su computadora,” señaló Santorelli.
“Tiene que asumir algo de responsabilidad por su propia seguridad.”

La investigación de Team Cymru revela que el vector de ataque más común para instalar malware sigue siendo los vínculos en los correos, o las descargas silenciosas (drive-by download).

“Sabemos por nuestras recientes investigaciones que hay mucho éxito por obtner (los hackers) sólo mediante el envío de enlaces,” dijo.

Sólo porque recibe un correo de alguien que conoce y confía, no significa que sea seguro. Esto incluye a los amigos y la familia, cuyos sistemas o cuentas pudieron haber sido comprometidos, y también los sitios web conocidos que uno usa, como las redes sociales o los bancos. Vea Cinco estafas más de Facebook, Twitter para evitar como ejemplo de intentos actuales para explotar sitios sociales. Y grandes bancos, tales como el Bank of America, a menudo se ecuentra su nombre en correos de estafas de phishing donde los ladrones envían sus mensajes advirtiendo que la cuenta del cliente fue comprometida con un enlace que lleva a una pantalla falsa de ingreso a la cuenta que parece muy real.

Por supuesto, si uno debe o no hacer clic en cualquier enlace o adjunto también depende si se ha cumplido con los pasos 1 y 2 anteriores.

“Va a tener que considerarlo caso por caso,” dijo Santorelli “Y mi preocupación se elevará bastante si no he hecho que mi computadora esté actualizada con el antivirus y las tecnologías de navegación.”

Traducción: Raúl Batista – Segu-info
Autor: Joan Goodchild
Fuente: Networkworld

www.segu-info.com.ar

Cuando veas las barbas del router de tu vecino cortar…

Pues sí, tenemos que poner las denuestros routers a remojar. Aunque esto al usuario de a pie no le tienepor qué afectar, siempre y cuando se le respete el ancho de bandacontratado, hay para remojar. Me refiero al mediocre plataformado conque la mayoría de las operadores preparan los routers de banda anchapara el mercado residencial, tomando como referencia los últimos casos comentados por mis compañeros de Mexico.

Perome temo que no se trata de un caso aislado. En España el problema esbastante acuciante, sobre todo en routers ADSL. Por ejemplo, leoatónito en Bandaanchaque ahora es posible hacer ataques DDoS sin necesidad de troyanizar losequipos de los usuarios. Ahora los zombies son también los routers ADSLque, incorrectamente configurados, contestan a las peticiones deresolución de DNS desde el lado WAN. No hablamos de beneficio económicodirecto, al menos de momento, pero con la gestión remota en manos delatacante, ¿qué les impide modificar el firmware y así meter un snifferque reporte a la botnet de forma periódica? No digo que esto sea mássencillo que el método clásico, pero la posibilidad existe.

Yaunque lo lea preocupado, no me extraña para nada. Tenemos un problemaque llevamos arrastrando desde los albores de las líneas ADSL, dondelas telcos no daban a basto con los pedidos, no tenían el know-how nila visión de futuro necesaria. Como es lógico el parque de usuarios haido creciendo año tras año, e increíblemente los plataformados de losequipos autoinstalables continúan siendo deficientes.

Cabe recordar el tipo de cosas que se dejan al aire en los routers ADSL cuando son entregados al cliente doméstico:

• Configuración de la red inalámbrica deficiente
• Usuarios por defecto
• Ausencia de una gestión remota eficiente
• Ausencia de actualizaciones automáticas del firmware de los routers

Yes que de momento parece que la mayor preocupación está en losordenadores, sin tener en cuenta que los routers actuales no dejan detener la arquitectura propia de un ordenador (CPU, ROM, RAM) ejecutandonormalmente un sistema GNU/Linux embebido. Las operadoras de cable hansabido organizarse mejor, partiendo de la base de que el usuario notiene por qué tocar el router, que es autoconfigurado mediante DHCPdesde la telco a la que está conectada.

Creo que este problemadebería preocupar mucho más a las operadoras que ofrecen servicios debanda ancha a sus usuarios por el par telefónico. Los usuarios puedentambién, por desconocimiento, degradar la configuración base de susrouters, pero creo que son casos mucho más aislados, y problemas comoel del DNS Amplificationdeberían simplemente de no existir, gracias a un correcto plataformadoy gestión remota de los routers. Por ejemplo, hoy en día se considerainepto al administrador que permite que la MTA de su compañía tenga elrelay abierto.

¿Será posible arreglar el problema remotamente, oel sistema estará herido de muerte y requerirá de un “reciclado” masivode routers al más puro estilo SECA/NAGRA? Me temo que la cosa vaencaminada por lo segundo, y claro, la solución tiene un costesensiblemente superior a la de expedir unos millones de tarjetasinteligentes con los “agujeros” cerrados. ¿Para qué poner memoriasflash en los routers? Si eso volvemos a las memorias ROM de máscara que salen más baratas y tienen un airecillo retro.

Autor: Álvaro Ramón
Fuente: S21sec labs

www.segu-info.com.ar

Expertos ganan una importante batalla contra la red Mega-D

Un grupo de expertos en seguridad ha logrado desactivar temporalmente la conocida red zombi Mega-D, que el año pasado llegó a ser la más grande del mundo, responsable de aprox. un tercio de todo el tráfico de spam.

Los expertos de la empresa de seguridad de California FireEye lanzaron un ataque coordinado a la red, también conocida como Ozdok, para evitar que los zombis contactaran a su servidor de administración y control para recibir órdenes y actualizaciones.

Los administradores de la red Mega-D se comunican con los ordenadores zombis mediante dichos servidores de administración y control. Es por eso que la empresa pudo poner en crisis la existencia de la red sólo con evitar que los zombis se comuniquen con estos servidores.

La red había registrado varios nombres de dominio para descargar las instrucciones para sus zombis. Cuando por alguna razón los ordenadores infectados no pueden recibir las actualizaciones por este medio, buscan servidores DNS para detectar sitios activos. En última instancia, los zombis reciben las órdenes desde un nombre de dominio que Mega-D genera al azar basándose en la fecha y hora.

Lo que hizo el grupo de expertos fue pedir a los servidores que albergaban equipos que funcionaban como centro de administración y control que bloquearan las direcciones IP maliciosas.

La empresa también se dedicó a predecir los nombres de dominio que Mega-D iba a generar y se adelantó a registrarlos para que no estén disponibles para los zombis de Mega-D.

Como resultado, más de 264.000 zombis huérfanos comenzaron a pedir instrucciones en sitios que ahora estaban bajo el dominio de FireEye. La empresa piensa aprovechar esto para pedir a los servidores de Internet que identifiquen a sus clientes y les adviertan que son parte de una red zombi.

Aunque sería muy caro y complicado seguir bloqueando la red para siempre y FireEye admite que no sabe por cuánto tiempo más seguirá adelantándose a registrar dominios, “esto demuestra claramente que es difícil pero no imposible derrotar a algunas de las peores redes zombi del mundo”, dijo Atiq Mushtaq, de FireEye.

Fuente:
Ars Technica
PC World
The Register

Autor: Gabriela Villarreal
Fuente: Viruslist

www.segu-info.com.ar

La estructura de Gumblar

Hemos estado analizando lainfraestructura del programa nocivo Gumblar y encontramos algunos datoscuriosos sobre la forma en la que opera. Nos pareció que era importantecompartir nuestros descubrimientos con los dueños de sitios web paraalertarlos sobre las amenazas que presenta este programa.

Losanálisis de algunos sitios infectados mostraron que la única forma deinyectar la infección de Gumblar es usando acceso FTP, porque estossitios web no tienen programación del lado del servidor. Esto secomprobó después con un análisis de los archivos de registro FTP.

Lainyección de código malicioso en páginas HTML (que es una simpleinserción de una pestaña <script> en cada archivo HTML) serealiza descargando todos los archivos del servidor que puedan tenerHTML, cambiándolos y volviéndolos a subir. Llamamos a los sitios webque se modifican de esta manera “desviadores”, porque lo que hacen esdesviar a los navegadores hacia el sitio web infectado.

Elscript inyectado dirige a otro sitio web que contiene exploits y guardaun registro de todos los clientes atacados. Estos sitios web debenadmitir php, porque el funcionamiento está basado en php. Llamamos aestos sitios “infecciosos”, porque contienen los exploits y el archivoejecutable malicioso para Windows. El ejecutable malicioso para Windowsse libera cuando el ataque se lanza con éxito. El ejecutable esperahasta que el usuario ingrese sus credenciales FTP.

Hemospodido encontrar de dónde proviene el código de servidor de los sitiosdesviadores e infecciosos. Y encontramos una pieza más de lainfraestructura: un grupo de sitios web comprometidos que llamamos“inyectores”. Estos sitios contienen una puerta trasera php genéricaque permite al dueño ejecutar cualquier código php en el servidor web.

Todoslos sitios web que participan en este ataque parecen ser legítimos peroestán comprometidos y no están relacionados con el grupo Gumblar. Todoel grupo de sitios infectados se divide en al menos 3 subgrupos condiferentes propósitos que no se relacionan entre sí:

Los inyectores no actúan por supropia cuenta. Parece que este grupo se está utilizando para controlarlas tareas de inyección. Esto significa que hay otro grupo deordenadores que emite los códigos e instrucciones para infectar lossitios web en los servidores comprometidos. Nos referimos a estosequipos como “despachadores”. Todavía no hemos recopilado muchainformación sobre ellos y no sabemos si también están comprometidos.

Así que la estructura de Gumblar es como esta:

¿Porqué Gumblar está tan expandido? La respuesta es simple: Es un sistemaque se maneja de forma completamente automática. Es una nuevageneración de redes zombi que se construyen a sí mismas. Este sistemaestá atacando de forma activa a los visitantes de sitios web, y cuandolos infecta con el ejecutable de Windows, obtiene las credenciales FTPde los equipos de las víctimas. Después utiliza las cuentas FTP parainfectar cada sitio web de los nuevos servidores. Así es como elsistema aumenta el número de páginas infectadas y sigue atacando a cadavez más ordenadores. Todo el proceso es automático, y el dueño sólotiene que ajustar el sistema y actualizar el ejecutable del troyano queroba contraseñas y los exploits que se utilizan para atacar elnavegador.

El sistema trabaja de forma constante atacandonuevos equipos, obteniendo nuevas cuentas FTP e infectando nuevosservidores. La siguiente ilustración explica las tareas de losservidores comprometidos:

Autor:Vitaly Kamluk
Fuente: Viruslist

www.segu-info.com.ar

Cinco recomendaciones para evitar las botnet

El IEEE, la organización de profesionales en ingeniería y técnicos más grande del mundo, agrupó a diversos expertos en seguridad para compartir su experiencia en protección de la información.

Al recuperar sus consejos, han sido sustraídas cinco recomendaciones para que los individuos protejan su información personal del software malicioso, las botnet, el spyware, adware, virus y gusanos, que infectan en línea a los usuarios menos precavidos, permitiendo al atacante que, una vez instalados, informen sus hábitos y comportamiento en línea y envía información personal a otros sin autorización, entre otras cosas.

1. Cuando recibas un correo con un archivo adjunto poco usual o sospechoso de alguien conocido o desconocido, desconfía. Es mejor, aunque suene paranoico, contactar a quien supuestamente lo envió para comprobar que tanto el correo como el adjunto es genuino, de acuerdo con Matthew Bishop, miembro del IEEE y autor de libros como ‘Seguridad en Cómputo: Arte y Ciencia’.
2. Si el sitio donde entregarás información personal o financiera no es seguro, no encripta los datos y no protege las contraseñas de sus usuarios, no lo uses. Hay que ser más precavido y fijarnos dónde dejamos datos personales y evitar enviarlos en respuesta a una solicitud que nos llegó por correo, recomendó Steven Furnell, miembro senior del IEEE y cabeza del Centro para la investigación en seguridad, las somunicaciones y las redes de la Universidad de Plymouth en Reino Unido.
3. Es importante pensar en cómo reaccionar al comprobar que la información personal ha sido comprometida. No hay que esperar a sufrir algo así para investigar qué procedimiento seguir en caso de que nuestros datos sensibles hayan sido robados, dónde reportarlo y es necesario verificar cuidadosamente el estado de cuenta de la tarjeta bancaria de débito o crédito para descartarlo, dijo Ulf Lindqvist, miembro del IEEE y cabeza de SRI Internacional, instancia que da soporte al Centro de Ciberseguridad del Departamento de Seguridad Interior de EU.
4. Cuando has proporcionado información a una red social, una vez que está en línea ya no desaparece. Así que cuando sea el momento de subir información es mejor no subir algo que uno prefiera no querer ver nunca en línea o que facilite algún modo de extorsión.
5. Asegúrese de que su computadora está actualizada con los últimos parches de seguridad, tanto para el sistema operativo como para las aplicaciones de software como antivirus, navegador Web y programas de productividad como Office.

Nadie estará totalmente seguro y protegido en contra de un fraude o de robo de identidad, pero adoptar algunas sencillas medidas para reducir el riesgo de quienes realizan diversas actividades en línea podría ayudar mucho.

Fuente: Netmedia.info

www.segu-info.com.ar

El 42,6% de los clics fraudulentos en la publicidad online son realizados desde botnets

Las redes de ordenadores hackeados o zombies (botnets) están siendo utilizadas más que nunca antes para aumentar de forma automatizada los clics no válidos sobre la publicidad online, una estafa conocida como fraude de clics que engaña a motores de búsqueda, editores y redes de publicidad sin beneficio económico.

Durante el tercer trimestre del año, el 42,6% de los clics fraudulentos fueron realizados desde ordenadores comprometidos dentro de alguna botnet, según la compañía Click Forensics, especializada en el desarrollo de herramientas de detección y filtrado de este tipo de clics.

Desde que Click Forensics empezó a elaborar informes sobre la evolución de este problema, hace cuatro años, nunca había detectado un porcentaje tan elevado. En el mismo período de hace un año, las botnets eran las autoras de sólo el 27,5% del fraude en clics publicitarios.

Las botnets constituyen una potente herramienta para los hackers, ya que les permiten difundir rápidamente spam, robar datos y lanzar ataques de denegación de servicio contra sitios web. Además, los ciberdelincuentes se esfuerzan continuamente por encontrar formas de aprovecharlas con nuevos fines.

Click Forensics no ha calculado el coste del fraude en clics para anunciantes y editores, pero asegura que representa un problema importante. Basándose en el análisis del tráfico sobre 300 redes de publicidad, la compañía calcula que en el último trimestre del total de clics realizado sobre anuncios online, alrededor del 14,1% fueron fraudulentos.

Fuente: IDG

www.segu-info.com.ar

Las botnets buscan negocios más rentables

Dos noticias con un mismo tema, “The evolution of clickfraud: massive chinese Operation DormRing1 uncovered“ y “Botnet caught red handed stealing from Google“ permiten hacerse una idea de la evolución de las actividades fraudulentas en la web. Inicialmente dedicadas al envío de mensajes de spam, las botnets parecen estar especializándose en negocios más rentables, fundamentalmente alquiler para ataques DDoS y para click fraud.

Los métodos son claros: crear redes que distribuyen los clics desde infinidad de direcciones IP diferentes sobre páginas creadas con publicidad pay-per-click de distintas redes o sobre páginas legítimas con publicidad de un competidor, o bien generar páginas falsas con resultados de búsquedas en las que se insertan anuncios manipulados. En cualquiera de los dos casos, los perdedores son los anunciantes, que ven como una parte de su presupuesto se desperdicia en clics de calidad nula completamente infructuosos, que jamás acaban desencadenando una venta.

Algunas redes de este tipo, como ClickBot, descubierta en el año 2006, estaban integradas en el momento de su desmantelamiento por más de cien mil máquinas, cada una de las cuales generaba un clic en un anuncio cada quince minutos. El problema tiene ya suficiente incidencia como para que existan ya empresas dedicadas a intentar reconocer pautas e indicios que permitan cualificar el tráfico que recibe la publicidad. Las tipologías son variadas: los llamados click fraud farmers utilizan redes en muchas ocasiones no automatizadas, procedentes de países con bajos niveles de renta, y que habitualmente simulan pautas legítimas de navegación que no se limitan al simple clic, sino que recorren algunas páginas de la web. Los esquemas piramidales desarrollan redes también con intervención humana, que ofrecen a los participantes pagos de un centavo por cada página en la que hagan clic y permanezcan unos treinta segundos, y cantidades proporcionales en función de los clics que generen las personas que cada uno ha introducido en la red. Un tercer esquema más sofisticado es el del lavado de dinero, en el que un intermediario se registra como participante en una red, genera páginas con contenido generalmente copiado de otros sitios en las que sitúan anuncios, y utilizan botnets para simular clics en ellos. En el escalón más elevado de la escala evolutiva tenemos los kits automatizados, que posibilitan el escalado del proceso: las páginas son creadas y rellenadas automáticamente, y las secuencias de clics se generan en pautas aleatorias para simular un tráfico normal, haciendo muy difícil la detección.

Para reconocer y caracterizar el click fraud, los anunciantes tienen que monitorizar de manera muy cuidadosa los cambios en las estadísticas de rendimiento de las campañas, chequear listas de direcciones IP para asignarlas con secuencias de conversión nulas, bloquear las fuentes de tráfico que ofrezcan prestaciones de conversión llamativamente bajas, geolocalizar el tráfico entrante conforme al mercado esperado, y tener especial cuidado con los términos con valor elevado, que suelen ser objetivos más habituales. El desarrollo de este tipo de esquemas supone un reto importante para las redes de publicidad y para los anunciantes, y nos da una idea del nivel de evolución de la economía de la atención, para igualarse con la convencional también, como no, en su nivel de actividad fraudulenta.

Fuente: Enrique Dans

www.segu-info.com.ar

El troyano URLZone desarrolla técnicas "anti-mulas"

En el mundo del malware, las mulas son laspersonas que se dedican a realizar el trabajo sucio: mover el dinerodesde la cuenta bancaria víctima hacia la suya, y de ahí a través detraspaso de dinero en efectivo, el dinero viaja a los verdaderosatacantes (cerebros de la operación) mientras ellos se quedan con unpequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado unmétodo para evitar que los investigadores atrapen a estas mulas, ypasar así todavía más desapercibidos: Usan cuentas de mulas realesdurante su comportamiento “habitual”, pero, si notan que están siendomonitorizados, engañan automáticamente a los investigadores realizandotransacciones legítimas a cuentas de conocidos de las víctimas que,lógicamente, en realidad no son mulas.

El llamado URLZone estásiendo muy especial, por lo innovador de algunas técnicas con las quese protege. Hace algunos días nos llamaba la atención que el troyanofuese capaz de recordar el balance anterior de su víctima, y falsearloen la cuenta una vez ha sido robado. Así, el usuario no percibe queestá siendo víctima de fraude. No puede detectar la falta de dinero ensu cuenta a menos que analice un extracto por algún otro medio que nosea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZonees una evolución de la familia de los Silentbankers que, comocaracterística principal, realiza las transacciones de formaautomática. Habitualmente las contraseñas robadas va a parar a manos delos atacantes y las transacciones ilegítimas son realizadas “a mano”desde otro ordenador. Con URLZone, las transacciones a muleros se hacende forma automática desde el ordenador de la víctima sin que este losepa, lo que complica por ejemplo el demostrar jurídicamente que no hasido la víctima la que ha realizado la transacción.

Como lamayoría de las empresas que estudiamos malware, RSA FraudActionResearch Lab ejecuta en un entorno lo más real posible un troyano, yestudia su comportamiento. Observaron que en su laboratorio, como eshabitual, el troyano realiza transacciones de forma automática. Pero, yaquí está lo relevante, comprobaron que las cuentas a las que se hacíantransferencias eran cuentas de personas reales, conocidas o no, perosiempre a las que el usuario víctima ya habían realizado transaccionespreviamente. Esto quiere decir que, cuando el troyano se sabe”monitorizado”, no usa las cuentas de muleros sino que almacena en unabase de datos (probablemente junto con el balance anterior de lavíctima) cuentas habitualmente utilizadas por el usuario para realizartransferencias “falsas” cuando le vigilan.

Cuando URLZone detectaque no está en su botnet “legítima”, o sea, la red de sistemasinfectados que reciben órdenes de uno o varios sistemas centrales,modifica su comportamiento para eludir a los investigadores. Si esinstalado en un laboratorio, y la red central no “conoce” a esesistema, simulará un comportamiento extraño, en el que toda persona quehaya recibido dinero de la cuenta de la víctima, parecerá que es elmulero de turno. De paso, ocultan así las cuentas de los mulerosreales, y perseguir el dinero se convierte en una tarea todavía máscompleja.

Todo esto se controla desde el servidor central. Tieneun protocolo especial de comunicación con las víctimas y si, porcualquier razón, sospecha que uno de los sistemas infectados no es unavíctima real, sino que ha sido infectado en un sistema de laboratorio,en vez de desconectar o no hacer nada (así actúan la mayoría detroyanos hoy día), busca en su base de datos de conocimiento de lavíctima y simula transacciones que no harán más que confundir a losinvestigadores, bancos, víctimas y sobre todo, a las personas querecibirán dinero sin haberlo pedido y serán acusados de mulasocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.

Más Información:

The Arms Race between Black Hats and White Hats Steps Up with URLZone Trojan
http://rsa.com/blog/blog_entry.aspx?id=1530

Autor: Sergio de los Santps
Fuente: Hispasec

www.segu-info.com.ar

¿La computadora se está conectando a sitios web sin tu conocimiento?

Interesante este paso a paso que encontré por la web Digital Inspiration, en donde se indica un pequeño procedimiento para verificar si el sistema está realizando consultas a sitios web sin el consentimiento del usuario. Teniendo en cuenta la cantidad de redes botnets, spyware y otro tipo de amenazas similares existentes, es un lindo consejo para tener en cuenta si se desea comprobar que está pasando en la computadora “sin que uno lo note”.

El procedimiento para verificar qué conexiones se están realizando a Internet es el siguiente:

1. Acceder a la consola de comandos (tipear cmd en Inicio – Ejecutar)

2. En la consola, tipear “netstat -b 5 > archivo.txt” y presionar enter. Dejar trabajar durante dos minutos (aproximadamente) el comando y finalmente presionar Ctrl+C para detener la tarea.

3. Acceder al archivo creado recientemente (tipear “archivo.txt” en la linea de comandos) para abrir el log de información en el bloc de notas (o el editor de textos por defecto del sistema). Se observará un archivo similar a este:

El archivo posee un log con todos los procesos que han solicitado conectividad a Internet durante los dos minutos de monitoreo. También mostrará cuáles fueron los procesos conectados y a qué sitios web. Además, no muestra solo las conexiones de los navegadores, sino también de otros programas como mensajería instantánea, gestores de descargas, correo electrónico u otros.

Para buscar actividad sospechosa, se debe analizar el archivo en búsqueda de nombres de procesos o direcciones web desconocidas por el usuario. Si se encuentra una, se puede ir al administrador de tareas (o Process Explorer) y buscar el mismo y eliminarlo, si realmente no es un proceso legítimo.

Vale mencionar dos consejos para terminar:

1. Este no es el mejor procedimiento para identificar actividad maliciosa en la computadora, pero vale la pena tenerlo a mano para hacer algún chequeo casero de ser necesario.
2. Lo recomendable, sería cerrar la mayor cantidad de programas que se conecten a Internet y sean conocidos por el usuario (si son todos mejor). De esta forma, será más sencillo analizar el archivo resultante.

Sebastián de la Redacción de Segu-Info

www.segu-info.com.ar