Ojo con estos virus, son los más buscados

¿A cuántos les ha pasado que quieren hacer una compra por Internet o pagar un recibo de servicio público, pero abandonan la idea por miedo a que le roben sus credenciales y contraseñas bancarias?

Este ha sido un asunto persistente, más ahora cuando las compras y los pagos en línea se han vuelto tan populares en el mundo. La mayoría de los usuarios se sienten inseguros y esto no es en vano.

Una encuesta realizada por la compañía Easy Solutions en el 2013, en la que entrevistó por teléfono a usuarios de banca en línea en toda Latinoamérica, reveló que el 53 por ciento de quienes no utilizan Internet para transacciones bancarias o pagos tienen como razón principal el miedo al fraude.

Esto va acompañado por las crecientes amenazas de los cibercriminales de robar las credenciales bancarias de los usuarios.

Las amenazas más destacadas

Estos son algunos de los virus más activos del momento, según Eset:

Troyano bancario en Google Chrome. Es capaz de afectar directamente al navegador web, robando las credenciales bancarias de los usuarios por medio de extensiones maliciosas.

‘Hesperbot’ en Android, BlackBerry y Symbian. Este troyano bancario utiliza técnicas de phising, es decir, correos en los que se hace pasar por una entidad bancaria legal y envía un enlace que direcciona a un sitio web falso. De esta forma logra instalar un componente móvil de códigos maliciosos en el dispositivo. Además, lanza mensajes que representan un costo adicional para el usuario.

Troyano bancario en Linux. Este código malicioso, más conocido como ‘Mano de ladrón’ (Hand of Thief), está siendo vendido en mercados ilegales por 2.000 dólares y ataca a los servidores web y dispositivos móviles (Android) que, erróneamente, piensan que no es necesario implementar ningún sistema de seguridad.

Cómo prevenirlos

Aprenda a reconocer el comportamiento sospechoso de una empresa o institución. Esto es lo que nunca haría un banco:

Mandar un SMS pidiendo detalles para confirmar si se trata del cliente correcto. Un banco podrá enviarle un mensaje de texto para confirmar si realizó una transacción, pero nunca le solicitará sus contraseñas o información personal por este medio.

Decir que en 24 horas se cerrará la cuenta a menos que se tome una acción. Desconfíe cuando un mensaje de texto contenga un plazo estimado para realizar alguna acción. Los cibercriminales necesitan ser rápidos, ya que sus sitios se pueden bloquear o cerrar al ser descubiertos, por eso buscan que el usuario actúe sin pensar. Los bancos, por lo general, no ponen plazos tan firmes.

Usar acortadores de enlaces en el correo electrónico. Los cibercriminales intentan engañar a los usuarios, enviando correos electrónicos como si fueran del banco, añadiendo a ellos los ‘acortadores de enlaces’. Se recomienda ir directamente al sitio web legítimo del banco desde el navegador, y no hacer ‘click’ en estos enlaces.

Mandar un servicio postal para retirar una tarjeta de crédito. Esta es otra forma de estafa: decir que un servicio postal pasará a retirar la tarjeta de crédito “defectuosa”, solicitando, además, el número de PIN como confirmación.

La forma legítima de reemplazar una tarjeta cuando el banco instruye al usuario para que la destruya, para luego enviarle una nueva por correo.

Llamar al teléfono fijo y pedir que el cliente vuelva a llamar para confirmar que es el banco. Los cibercriminales llaman avisando al cliente que han detectado transacciones fraudulentas en su cuenta. Para probar la supuesta legitimidad de la llamada, le piden que devuelva la llamada al banco, pero éstos, cortando la comunicación, la redireccionan para que, una vez ganada la confianza del usuario, éste les entregue detalles sobre sus tarjetas de créditos y contraseñas.

Mandar un email a una nueva dirección sin avisar. Si el banco se contacta con el usuario a una cuenta diferente a la brindada anteriormente, se debe tener en cuenta la posibilidad de que sea un intento de engaño. Lo recomendable es tener una cuenta de correo destinada solamente a las comunicaciones con la entidad, y no publicarla en ningún lado, de manera que sea altamente probable que los mails recibidos allí sean realmente del banco.

Solicitar la desactivación de la solución de seguridad. Un banco no solicitará deshabilitar el software de seguridad para ingresar a su plataforma o realizar alguna transacción. En caso de que esto suceda, comuníquese inmediatamente con la entidad financiera para verificar el comportamiento sospechoso.

Usar un sitio web no seguro. Un sitio legítimo correspondiente a una entidad bancaria debe mostrar el candado en la barra de direcciones, que significa que es un sitio seguro.

Mandar un mensaje con una dirección en blanco. Revise que los mensajes de su banco a su cuenta de correo electrónico estén dirigidos a quien corresponde, tanto en el cuerpo como en el encabezado, y no a algo genérico como “Lista de clientes”.

“Tener en cuenta estas precauciones y estar alertas les permitirá a los usuarios saber cuándo pueden confiar en una solicitud y cuándo deben sospechar de lo que reciben por parte de su entidad bancaria”, declaró Camilo Gutiérrez, Especialista de Awareness & Research de ESET Latinoamérica. “Asimismo, resulta necesario tener un software de seguridad actualizado que garantice la protección de los datos”, concluyó.

Los hallazgos más importantes del estudio

Algunos datos del informe de seguridad:

– El 42 por ciento de los mayores de 20 años contactados no utilizan regularmente Internet para transacciones o compras.
– El 40 por ciento de los encuestados no recuerda ninguna campaña que su banco haya realizado acerca del fraude electrónico. El conocimiento sobre amenazas electrónicas como phishing y códigos maliciosos es todavía muy bajo.
– Uno de cada tres usuarios declara haber instalado algún software de protección en sus computadores, aparte del antivirus, lo cual muestra disposición de los usuarios a utilizar este tipo de soluciones.

Tomado de: ElTiempo.com

Descubren una vulnerabilidad de Android que permite convertir las aplicaciones en troyanos

La compañía de seguridad Bluebox ha alertado de una nueva vulnerabilidad de los sistemas Android que permite convertir aplicaciones legítimas en troyanos, pasando totalmente desapercibido por la tienda de aplicaciones, el teléfono o el usuario. Esta vulnerabilidad afecta a cualquier dispositivo Android lanzado al mercado en los últimos cuatro años. En función del tipo de aplicación, un hacker puede desde robar datos hasta crear una red de ‘bots’ móviles.

Según asegura Bluebox Security en su último informe, el riesgo para los usuarios y las empresas es grande, y se agrava si se tienen en cuenta las aplicaciones desarrolladas por los fabricantes de dispositivos como HTC, Samsung, Motorola o LG, o de terceros que trabajan en cooperación con el fabricante del dispositivo, ya que se otorgan privilegios elevados especiales dentro de Android, específicamente el acceso UID del sistema. Todas las aplicaciones Android contienen firmas criptográficas, que utiliza Android para determinar si la aplicación es legítima y verificar que la aplicación no ha sido alterada o modificada. Esta vulnerabilidad hace que sea posible cambiar el código de una aplicación sin afectar a la firma criptográfica de la aplicación, lo que permite que un autor malicioso engañe a Android creyendo que la aplicación no cambia. «Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de ‘firmware’ para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varían ampliamente dependiendo del fabricante y el modelo de que se trate», afirma la compañía de seguridad.

Tomado de: 20minutos.es

Los troyanos Zeus resurgen y acaparan el 26,2% de los programas maliciosos en el correo electrónico

Y las redes sociales siguen en el primer puesto en la estadística de las organizaciones más atacadas por los phishers.

Kaspersky Lab ha presentado su Informe de spam de mayo, un mes en el que el tráfico de spam en el correo se redujo en un 2,5% y alcanzó el 69,7%. La proporción de mensajes phishing en el tráfico de correo ha crecido levemente y ha constituido el 0,0024%. El 2,8% de todos los mensajes electrónicos contenía ficheros maliciosos, un 0,4% más que el mes anterior.

Los spammers organizaron en mayo el envío masivo de mensajes phishing supuestamente en nombre del servicio de atención al cliente de Microsoft. En un mensaje remitido desde una dirección a primera vista legítima (dominio Microsoft.com) se notificaba que la cuenta del usuario de ‘Microsoft Windows’ sería bloqueada debido a que no se habían hecho las actualizaciones supuestamente recomendadas en mensajes anteriores. Para evitar el bloqueo, el usuario debía seguir de inmediato el enlace incluido en el mensaje que redirigía a una página fraudulenta creada con el fin de robar información personal.

Al leer con atención el mensaje, se puede comprobar que el nombre del sistema operativo está escrito como Microsoft Window (sin la letra ‘s’ al final). Además, en el mensaje se usa como divisor el signo “=”, no hay enlaces al sitio oficial de la compañía ni los contactos del servicio de soporte, algo que no es típico en los mensajes legítimos.

Distribución geográfica de las fuentes de spam

Según los resultados de mayo, los tres primeros puestos de los países-fuente de spam siguen sin cambios. El primer puesto lo sigue ocupando China, cuya participación en el envío de spam es del 21,4%, un 2,5% menos que el mes anterior.

TOP 10 de programas maliciosos propagados por correo electrónico

En el primer puesto de la estadística de programas maliciosos enviados por correo sigue estando Trojan-Spy.HTML.Fraud.gen. Este programa es una página phishing con un formulario para introducir datos que los ciberdelincuentes envían directamente.

En los puestos 2 y 3 (como también en los 8 y 9) se han ubicado los programas de la familia ZeuS/Zbot. Hace tiempo que este famoso troyano no ocupaba puestos tan elevados en la estadística, que en los años 2009-2010 fue muy popular. El objetivo de los programas ZeuS/Zbot es robar diferentes tipos de información confidencial desde los equipos de los usuarios, entre ellos los datos de las tarjetas de crédito. La cantidad de troyanos de esta familia entre los programas maliciosos en el correo de mayo ha alcanzado el 26,2%.

La novedad del TOP-10 es Worm.Win32.Luder.anmw, un backdoor destinado al control remoto del equipo. También han entrado al TOP-10 un backdoor de la familia Android y un troyano-espía de la familia Tepfer, programas ya conocidos en los meses anteriores de este año.

Peculiaridades del spam malicioso

Los mensajes falsos enviados en nombre de tiendas online ha seguido siendo alta en mayo. En vísperas del verano hemos recibido un envío que finge ser una notificación oficial de la tienda online Amazon. Los ciberdelincuentes agradecían al destinatario un pedido inexistente y le comunicaban que para introducir cambios en el mismo y hacer un seguimiento de su estatus era necesario visitar el sitio web de la compañía o pulsar los enlaces enviados.

En efecto, los enlaces del mensaje conducían al sitio web de la tienda online, y no a páginas phishing o a ficheros maliciosos. Sin embargo, en el mismo mensaje se informaba de que la información adicional sobre el pedido estaba contenida en el adjunto y marcada en color azul, para que el usuario la viese sin esfuerzo. A diferencia de muchos mensajes similares, los spammers no trataban de intimidar al usuario con anular el pedido, para obligarlo a abrir el adjunto. Por el contrario, en el mensaje ponían información sobre cómo rechazar el pedido.

En el archivo adjunto Your Order Details with Amazon.zip había un fichero ejecutable Your Order Details with Amazon.PDF.exe, que Kaspersky Lab detecta como Backdoor.Win32.Androm.qp. Según los resultados de mayo, uno de los programas maliciosos de esta familia ocupó el séptimo puesto entre el malware más propagado por correo, y en abril un programa de esta familia estaba entre los tres primeros.

Al llegar al equipo de la víctima, Backdoor.Win32.Androm podía, por ejemplo, descargar otros ficheros maliciosos, enviar información desde el ordenador del usuario o convertirlo en parte de una red zombi.

En mayo los spammers han seguido enviando mensajes maliciosos falsos en nombre de conocidas compañías logísticas: en nuestras trampas han caído mensajes supuestamente enviados por representantes del servicio UPS. En ellos se notificaba que el mensajero del servicio no pudo entregar un paquete al destinatario porque la dirección era incorrecta y ahora era necesario reclamarlo en la oficina de la compañía, imprimiendo el documento adjunto al mensaje.

En lugar del documento prometido, en el archivo adjunto UPS_Label_23052013.zip estaba el fichero UPS_Label_23052013.exe, que Kaspersky Lab detecta como Trojan-PSW.Win32.Tepfer.kxdh. En abril, uno de los programas de esta familia ocupó el cuarto puesto entre los programas maliciosos ms difundidos en el correo y en mayo, el décimo. Este troyano roba las contraseñas FTP y de los programas de correo de los clientes, como también las contraseñas y logins introducidos en el navegador de Internet.

Phishing

En mayo la proporción de mensajes phishing en el tráfico de correo ha crecido levemente y constituido el 0,0024%. Según los resultados de mayo, las redes sociales siguen ocupando el primer puesto en la estadística de las organizaciones más atacadas por los phishers. Su índice ha crecido en un 0,5% y alcanzado el 35,93%.

Los sistemas de búsqueda financieros (14,95%) y las organizaciones de pagos (14,93%) han intercambiado puestos y ahora ocupan el segundo y tercer lugar respectivamente.

El cuarto puesto lo siguen ocupando las compañías TI (9,93%) y en el quinto puesto están las tiendas online (8,68%). Los proveedores de telefonía y de Internet (8,39%) han bajado un puesto y ahora ocupan el sexto.

Tomado de: DiarioTi.com

Alertan de un nuevo troyano que modifica Windows y navega por sitios web peligrosos

El Instituto Nacional de Tecnologías de la Comunicación ha catalogado el troyano para la plataforma Windows Zbot.CQZ que modifica el registro del sistema, se conecta con sitios maliciosos remotos y convierte al sistema comprometido en un equipo ‘zombie’ de una botnet.

Este troyano suele llegar al equipo descargado a través de alguna aplicación P2P o manual por el usuario, o tal vez incluso inadvertidamente mientras el usuario navega por sitios web maliciosos.

Se copia en el sistema con el nombre TapiSysprep.exe, que no es un fichero legítimo por lo que, si se encuentra, «se debe borrar automáticamente», advierte el Inteco en un comunicado de prensa difundido esta semana.

Durante el proceso de instalación, el troyano modifica el registro de Windows para asegurarse de que está conectado a Internet y que se ejecuta cada vez que arranca Windows. Una vez infectado el equipo, el atacante remoto podrá tomar control total sobre la máquina infectada.

Para evitar ser infectado, el Inteco recomienda evitar visitar páginas de «origen dudoso», que abran muchas ventanas emergentes, con direcciones «extrañas» o con aspecto poco fiable. Además, es aconsejable mantener actualizado el navegador y el sistema operativo con los últimos parches publicados y tener instalado un antivirus actualizado en sus sistemas.

Tomado de: 20minutos.es

OSX Flashback, el troyano para Mac más distribuido del mundo

Cientos de miles de sistemas infectados que forman ya parte de una gran red de bots, convierten a OSX/Flashback en la amenaza más distribuida de la historia, y eso teniendo en cuenta que lleva solo un año en funcionamiento.

El troyano está en el punto de mira de numerosas compañías de seguridad, entre ellas ESET, que ha realizado un completo análisis técnicos para explicar el funcionamiento de esta peligrosa amenaza.

En este sentido, Pierre-Marc Bureau, investigador senior de malware de ESET, explica que se fijaron en este troyano debido a sus novedosas técnicas para espiar a los usuarios cuando están navegando, los múltiples métodos para conectar con sus centros de control (C&C) de manera redundante y, por supuesto, su espectacular escalada de infecciones.

«Tuvimos un pico de infecciones que comenzó a hacerse notar en marzo de 2012, cuando esta amenaza se empezó a propagar gracias a una vulnerabilidad del intérprete de Java que incluye el sistema operativo de Apple», destaca Bureau.

Finalmente, una actualización de Java provista por Apple, terminó con la propagación del virus. «A principios de mayo de 2012, el último servidor de control y comandos (C&C) desde el que se gestionaba la red de ordenadores infectados desapareció. Desde entonces, podemos decir que esta red de botnets está efectivamente muerta» zanja el investigador.

Tomado de: PC Actual