Archivo

Posts Tagged ‘trojan’

Correo falso de LinkedIn

septiembre 29, 2010 1 comentario

Está llegando a las bandejas de entrada un correo que parece ser de LinkedIn pero no es tal.
Toda la información aquí

Abur

Anuncios

Malware a través de correo falso de Twitter/Facebook

junio 14, 2010 Deja un comentario

Llega un correo a tu cuenta que pregona ser de Twitter o Facebook con los asuntos:
Reset your Password o Reset your Twitter password

Dichos correos no tienen imágenes o logos de las mencionadas redes sociales pero presentan tu correo electrónico en color. Puede ser que por casualidad uses la cuenta de correo al que te llegó el mensaje para acceder a tu cuenta a alguna de las dos redes y te confunda pensando que es genuino.

En el de Facebook se lee en inglés que por medidas de seguridad tu contraseña ha sido reseteada y que se te está enviando una nueva en el correo adjunto.

En el de Twitter se lee algo más o menos similar y con el mismo archivo adjunto. El correo que llega es el que se muestra en la siguiente imagen.

El problema es que trae un archivo que podría parecer inofensivo, ya que éste es un HTML con un simple Java Script.

Lo que hace es que genera una dirección de Internet con una URL fraudulenta, misma que apunta a otro sitio que a través de un applet de Java intenta descargar un malware en tu computadora: Exploit.Java.CVE-2010.0886.a que, para no variar, afecta a la máquina virtual de Java de prácticamente todas las versiones de Windows.

Identificando el scam

1. Es un correo no solicitado. A menos que tengas la mala suerte de olvidar tu contraseña minutos antes de que te llegue el correo, éste correo te llega de la nada indicando que tu nueva contraseña ha llegado. WTF?

2. Si olvidaras tu contraseña, lo que sucede es que, después de indicar tu correo en el sitio de login de Twitter, te llega inmediatamente a tu bandeja de correo un mensaje donde te indica una liga donde podrás indicar tu nueva contraseña y no un archivo donde directamente viene tu contraseña.

Para Facebook sucede algo similar pero nunca te llega la contraseña en un archivo adjunto.

3. El correo además de no ser solicitado no viene de Twitter ni de Facebook, el encabezado indica un dominio en China, por lo cual no tiene nada que ver con las redes sociales de quién parece provenir.

Si ya abriste el correo y tu “antivirus” no te alertó acerca de una amenaza, es probable que ya estés infectado.

Solución:

Descarga de esta liga la última versión a la fecha de Kaspersky Antivirus 2010 y cuando te pregunte, usa la licencia de evaluación que te durará 30 días.

Ahora más que nunca es importante contar con un buen software antivirus y de vez en cuando, acudir a personas profesionales en tecnologías de información que puedan diagnosticar el estatus de tus equipos y no te encuentres vulnerable ante estos ataques.

Shortlink de esta entrada: http://tiny.cc/n705t

Spammers contaminan Twitter

noviembre 1, 2009 Deja un comentario

091101TwitterPissedComo dice San Mateo 7:13-14 “ancha es la puerta y espacioso el camino que lleva a la perdición y muchos son los que entran por él

Esto quiere decir que el camino fácil y que toman muchos no siempre es el mejor. Se puede hacer la analogía en situaciones en la que nos queremos ahorrar unos centavos y terminamos gastando pesos.

Twitter es un medio poderosísimo para informar y desinformar también. Un espacio virtual donde las noticias fluyen a la velocidad de la luz y en segundos se vuelve un fenómeno mundial.

Por otro lado, hay gente cuyo ego insaciable se nutre de estos medios para poder presumir la cantidad de seguidores – followers – que tienen. La mayoría de estos seguidores son lemmings como ellos que tan pronto alguien los sigue, ellos hacen lo propio siguiéndolos de vuelta. Y al rato andan como esos locutores que luego escucho en el radio que andan presumiendo: “mira León ya tengo 5,000 fologüers en Twitter pero me falta para llegar a la cantidad que tiene la Fernanda

Como diría el Anticristo – que genera videos de crítica a diversas entidades terrestres y extraterrestres – “me cago en esos gilipollas. Joder” Yo cuento al momento con 34 seguidores entre gente conocida, revistas de tecnología y una que otra persona con la que he tenido a bien conversar en alguna red social. Puedo pensar que genuinamente quieren saber acerca de lo que escribo y me pasa.

Para aquellos que quieren tener rápido el mayor número de seguidores entre spammers, pederastas,091101TFollow piratas, demegogos políticos, etc. existen sitios para ello (no los voy a mencionar aquí para no hacerles propaganda también) En estos sitios lo único que tienes que hacer es colocar tu usuario y contraseña de Twitter para que le des el control de tus Tweets:

  • Automáticamente, con tu cuenta, siguen a cualquier incauto que se inscriba también a su sitio. De acuerdo con lo que escribí anteriormente, no faltará el sope que inmediatamente te siga una vez que “tú” lo hayas seguido a él.
  • De tu cuenta saldrán indiscriminadamente Tweets haciendo promoción a su sitio. No importa que parezcas el peor spammer del planeta – porque al inscribirte ya lo eres –
  • De tu cuenta saldrán, no sólo spam del sitio éste, sino que también de todo tipo pudiendo ser pornografía, sitios de otros spammers o peor aún, sitios malintencionados que te piden descargar archivos troyanos o del estilo.

Además del daño evidente que provoca esto se suma:

  • Puedes ser reportado como spammer
  • Tus amistades, la gente que conoces personalmente, caerá redondita pensando que los links que mandas son genuinos y podría haber un efecto dominó y ellos también salir perjudicados.
  • Si llega a salir links a sitios malintencionados, te vas a ganar el odio y el desprecio de tus amistades porque ellos podrían ser víctimas de un ataque de malware sólo por seguir uno de estos links.

Chiquillos y chiquillas: si quieren seguidores a lo güey, hagan su tarea y póngase a agregar a todos los usuarios que puedan a manita. Es más seguro y el resultado será casi el mismo. Ahí por lo menos tienes el mérito de que lo hiciste con el poder de tu dedo.O simplemente deja de ser esa patética forma de vida que se la pasa pegada al Twitter haciendo RT de otros usuarios, ya sea haciéndoles la barba para que no te borren o para que por lo menos parezcas interesante con los Tweets de otro.

Si no has leído qué es Twitter, aquí puedes encontrarlo.

R@U

Shortlink de esta entrada: http://wp.me/pc17m-co

Facebook Account Update – Correo Falso

octubre 28, 2009 6 comentarios

Desde hace unas semanas está llegando un correo en inglés alegando ser de Facebook.

091028FBFraud01

El texto se traduce así:

“Querido usuario de Facebook, en un esfuerzo de hacer tu experiencia en línea más segura y disfrutable, Facebook estará implementando un sistema de firmado que afectará a todos los usuarios de Facebook. Estos cambios ofrecen nuevas características y un aumento en la seguridad de tu cuenta.

Antes de que uses el nuevo sistema, necesitamos que actualices tu cuenta. Haz clic aquí para actualizar tu cuenta en línea.

Bla bla bla”

Donde haces clic te lleva a una URL que empieza con http://www.facebook.com.xxx…. lo que sigues después de las xxx es un dominio que no tiene nada que ver con Facebook.

Pistas de que es un correo falso

– El correo evidentemente no llega de Facebook aunque el remitente eso indica “Facebook [update+yhlemnuad@facebookmail.com]” (1) Qué dominio es ese de facebookmail.com, pero quién no está metido en estos rollos, le puede parecer correcto.

– Sin embargo, revisando el encabezado del correo – generalmente oculto – se aprecia que de donde llega el correo es de un dominio en rusia slamdunk.ru (2) pocos tenemos activo el visualizar el encabezado completo del correo, pero para quién lo tenga, tiene el segundo elemento de sospecha: ¿porqué llega de Rusia y no de Estados Unidos?

– Si navegas por el famoso e infame Internet Explorer en cualquiera de sus sabores podrás, como ha sido costumbre, entrar sin problemas al sitio fraudulento. Éste se presenta prácticamente igual a la ventana de login del Facebook real.

091028FBFraud02

En el campo de e-mail, coloca tu correo en automático. Tal vez te llegó a hotmail y tu cuenta de Facebook la diste de alta en Gmail, (3) otro punto para sospechar.

Cada link distinto al botón login, te lleva al sitio real de Facebook.

– Un medio punto a favor de Internet Explorer 8 es, que resalta la parte del dominio que sale de lo común

091028FBFraud03

Por lo menos ahí también podría hacerte sospechar. (4) Todas las direcciones de facebook, incluyendo las aplicaciones tienen una “/” después del “.com”

Si pones cualquier contraseña, evidentemente se va a almacenar y se la va a mandar algún bastardo en rusia o en otro lugar. Pero sí pones tus datos correctos para firmarte en facebook, seguramente tu cuenta se usará para mandar spam. 😦

091028FBFraud04

– Al final te presenta esta página donde te reiteran la “jalada” de la seguridad y te piden que descargues la súper herramienta “updatetool.exe” (5) Si todo el sistema de Facebook se basa en Web, permitiéndote acceder desde dispositivos múltiples, ¿porqué tienes que bajar este programa? ¿Qué pasa cuando trate de entrar por mi teléfono? Raro ¿’no?

Si no cuentas con antivirus seguro lo ejecutas y tendrías en tu computadora un HEUR:Trojan.Win32.Generic 😦

Nuevamente, la mejor forma de protegernos contra fraudes es informarnos.

Gracias por leer esta entrada 🙂

R@U

Short link para esta entrada: http://wp.me/pc17m-bt

Actualización 5 de Noviembre 2009

Estos correos están llegando con diversos Asuntos y Remitentes:

De: Your Facebook Support
Asunto: Facebook Password Reset Confirmation. Customer Message.

Éste llega con un archivo zip adjunto “Facebook_details_0d7df.zip” adentro del zip se encuentra el ejecutable “Facebook_details_0d7df.exe” el cual tiene el troyano.

Cómo identificar postales electrónicas maliciosas

diciembre 27, 2008 1 comentario

122708ecardsEn estas fechas navideñas es común que recibamos tarjetas o postales en nuestro correo electrónico. Hace unos 3 o 4 años era algo completamente común e inofensivo. Ahora, poco a poco los programas maliciosos (malware – malicious software) han ido invadiendo casi todos los servicios electrónicos, incluyendo las tarjetas postales.

Las tarjetas/postales electrónicas son creadas con la tecnología de los sitios Web: Un código HTML, contenedores, un reproductor Java o Flash, etc. En éste código te puedes encontrar:

– Trampas que ejecuten código malicioso con sólo visualizar el correo. Los scripts en el código se han usado en correos de noticias falsas para realizar fraudes por pharming.

– Te direccionan a un sitio en el que te piden descargar un “conector” (plug-in) para poder reproducirlo, mismo que típicamente es un troyano.

– Y más ahora que nunca, te pueden llevar a un sitio phishing donde buscan engañarte para que introduzcas información personal y contraseñas.

Sally Babcock, General Manager y Senior Vice President de American Greetings Interactive menciona en su blog de Tips que los ataques de Phishing usando tarjetas electrónicas son similares a todos los otros tipos de ataques en los que explotan la falta de atención o ignorancia de los usuarios.

¿Cómo identificar las postales que no son genuinas?

  • Borra las tarjetas/postales en las que no existe remitente o donde el remitente eres tú. Cuando te envían una postal, siempre aparece el correo del emisor y su nombre. Cuando aparece tu nombre o tu dirección de correo en el remitente, es un software malicioso el que está generando y enviando los correos desde una computadora infectada y donde tú estás como contacto.
  • Identifica al remitente y la fuente de la tarjeta/postal. Si el equipo de un amigo se encuentra infectado con algún virus cuyo fin es infectar a través de tarjetas/postales electrónicas , es probable que aparezcas en su lista de contactos y te llegue un mensaje como si él te lo hubiera enviado. Entonces necesitas verificar el correo de tu amigo, su nombre y que la fuente tenga sentido. Es decir, si y tu amigo viven en México y te llega una postal de Argentina… ¿no es  un tanto sospechoso?
  • Verifica  los vínculos donde puedes visualizar la tarjeta. Si abres tu correo usando Outlook, Thunderbird o los clientes de correo de Opera o Firefox, en la barra de estatus se muestra la dirección a donde te lleva un vínculo al poser el puntero sobre él. Si el vínculo dice algo como
    http://www.tarjetaschidas.com/349KJLds73ikjuda/feliz_navidad.php
    y en la barra de estatus se visualiza otra dirección distinta a ésta, seguro es falsa la tarjeta/postal.
  • Nunca tengas tu antivirus desactivado ya que él te puede avisar ya sea, al entrar a un sitio falso o al descargar algún archivo infectado.

La mejor protección contra cualquier amenaza informática es el conocimiento 🙂 y por supuesto el imprescindible apoyo de un buen antivirus y un firewall. Si estás usando OS Mac o Linux, estás aún más protegido.

Felices fiestas

    CNN Top 10 / Alerts – Correo falso

    agosto 4, 2008 5 comentarios

    Hoy me llegaron dos correos con imágenes exactamente iguales que parecían ser los correos que envía CNN denominados “The daily top 10”.

    La primera parte que está sombreada en azul apunta al mismo sitio en cada correo. Es decir, cualquier liga a la que se le dé clic lleva al mismo lugar.

    Sin embargo, cada correo apunta a distintos dominios.

    La segunda parte apunta al sitio real de CNN en Estados Unidos a su respectiva liga:

    – Privacy guidelines

    – Contact us

    – Manage settings

    Al sitio que llevan las ligas falsas. Muestran una página con fondo negro y un logo mal colocado de CNN donde supuestamente se reproduciría un video.

    Pero inmediatamente aparece una ventana que emula una ventana que podría desplegar el reproductor de Flash solicitando se actualice la versión para poder reproducir el video.

    Esa actualización de Flash no es tal sino un troyano:

    Trojan-Downloader.JS.Psyme.ake

    Si uno no acepta la descarga vuelve a aparecer una ventana, esta vez de JavaScript con el mensaje:

    “You need to download proper Codec to play this movie. Click ‘OK’ to start download.”

    Presionas cancelar y luego aparece el mensaje

    “Please install proper Codec.”

    Regresando al mensaje original que finalmente obliga o a cerrar la ventana o a cerrar el navegador ya que no deja hacer nada más.

    Otro mensaje que llegó el día de hoy es también de CNN pero es sólo un mail alert. En él sólo la liga que es de la historia completa “Full Story” es la que lleva al sitio falso que busca descargar el Troyano (Trojan-Downloader.Win32.Exchanger.la) y esta vez está en Rusia.

    Aquí ya se empeñaron un poquito más en poner el fondo blanco para que el logo se viera mejor y una cantidad considerable de links y rellenos maquillados para hacerlo parecer más real. Lo que parece sin lugar a dudas más real es la Pop-up que indica que la versión de Flash es incorrecta.

    En el caso del navegador que uso: Opera, la ventana de JavaScript tiene una opción donde uno puede desactivar la ejecución de los Scripts para casos como éste donde el sitio es fraudulento o cuando está mal programado.

    Nuevamente, Kaspersky Internet Security 2009, frenó el ataque en su módulo “Web Traffic” e indicó  oportunamente la presencia del Troyano.

    Aquí lo puedes descargar

    Saludos

    A %d blogueros les gusta esto: