Blog de Noticias CubaShell

Tsunami es una variante de un código malicioso para Linux detectado en 2002 cuyo principal objetivo es reclutar equipos Mac para formar parte de una botnet.

ESET, empresa dedicada a la detección proactiva de amenazas, ha reportado la aparición de una nueva versión del troyano Linux/Tsunami, adaptada para atacar sistemas operativos Mac OS. Se trata de una nueva variante de un código malicioso aparecido en 2002 para sistemas operativos Linux que convierte al equipo en integrante de una botnet utilizada para realizar ataques de DDoS (Denegación Distribuida de Servicios), detectada por ESET Cybersecurity para Mac como OSX/Tsunami.A.

Como su predecesor para Linux, Tsunami contiene una lista de servidores IRC (Internet Relay Chat) y canales a los que intenta conectarse. Cuando se acciona, los equipos infectados pueden atacar páginas webs por medio del envío de grandes cantidades de peticiones que sobrecargan los servidores e impiden su funcionamiento, lo que se conoce como un ataque de Denegación de Servicios Distribuido (DDoS).

“Como anticipamos en nuestro informe Tendencias 2011, el malware dinámico – categoría que integra Tsunami – sería una novedad que estaríamos viendo este año. Se trata de códigos maliciosos que comienzan por infectar el sistema para luego, a través de algún acceso remoto al equipo afectado, permitir al atacante utilizarlo para diversas tareas. Es decir, pasan a formar parte de una botnet, red de PCs zombie, que estará a disposición del cibercriminal para efectuar actividades maliciosas”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante.

Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Hace apenas unas horas se descubrió además una nueva variante de la amenaza que incluye dos nuevas características. Con la actualización, Tsunami tiene también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio. Además, dispone de información actualizada del servidor remoto al cual reporta.

“De acuerdo a nuestras investigaciones, probablemente se trate de un código malicioso experimental que se encuentra en proceso de evaluación por parte de los desarrolladores. Seguiremos la evolución del caso para mantener informados a los usuarios”, concluyó Bortnik.

Duqu causó gran interés entre las empresas de seguridad informática por tratarse de una amenaza vinculada directamente al temido gusano Stuxnet, diseñado el gobierno israelí para el sabotaje de sistemas industriales.

El troyano para Windows, Duqu, extrae información de los sistemas infectados, supuestamente para preparar ataques contra terceros. Aunque Duqu funciona de manera distinta al gusano Stuxnet, parte de su código fuente sería idéntica al de Stuxnet, lo que sugeriría la misma autoría.

Hasta ahora se había desconocido la forma en que el troyano logró infectar un número limitado de empresas, que incluye a fabricantes de sistemas industriales de control.

Agujero desconocido en Windows
Los mismos investigadores de la Universidad Técnica de Budapest, que inicialmente detectaron a Duqu, han revelado ahora la forma en que el troyano fue instalado subrepticiamente en los sistemas intervenidos.

El grupo de académicos, denominado CrySys, ha revelado el primer ejemplo concreto, señalando que el código fue oculto en un documento de Word, que aprovecha una vulnerabilidad hasta ahora desconocida en el kernel de Windows, según informa Symantec en un post de su blog oficial, publicado el 1 de noviembre.

Lo anterior implica que el ataque es iniciado enviando un archivo Word infectado a la potencial víctima. Cuando el documento es abierto se instalan los archivos binarios del troyano en el PC.

Symantec ha publicado la siguiente representación gráfica de la instalación del troyano:

Kaspersky Lab ha presentado el Informe de Spam del mes de septiembre de 2011, un mes en el que el aumento del phishing en Facebook y el spam sobre la crisis financiera son lo más destacado.

Los expertos analistas de Kaspersky Lab señalan que uno de los principales cambios en septiembre fue el ascenso del sitio de la red social Facebook del cuarto al segundo lugar en cuanto a organizaciones atacadas por los phishers. El número de ataques en este servicio aumentó en un 5,4%, alcanzando el 14,1% del total. En septiembre, los ataques contra eBay fueron un poco menos intensos (-0,9%) en comparación a agosto y se encuentra de nuevo en la tercera posición entre los blancos más populares del phishing. Paypal sigue encabezando el ranking acaparando el 34,9%.

El spam fraudulento: nuevas armas en el arsenal
En tiempos de crisis financiera, cuando el poder adquisitivo de la gente disminuye, los spammers suelen incrementar el número de extorsiones en su empeño por mantener su nivel de ingresos. Frente a un periodo de recesión económica, los expertos de Kaspersky Lab afirman que es probable que detectemos un crecimiento en los niveles de mensajes spam fraudulentos, con el objetivo de extorsionar o robar dinero a los usuarios, con o sin ayuda de programas maliciosos.

En septiembre se detectaron varios mensajes spam con la intención de aprovecharse de la preocupación existente entre la población sobre el declive de la economía. Los mensajes ofrecían dudosas fórmulas de enriquecimiento, promocionando servicios legales o de consultoría. Es normal que la inestabilidad financiera influya en los spammers: en estas épocas difíciles, el dinero fácil es siempre tentador, y los servicios legales pueden ser un buen gancho.

Según los analistas de Kaspersky Lab, el spam de septiembre relacionado con la recesión tuvo como protagonista las cartas nigerianas con amenazas de muerte o préstamos “anti-crisis”.

En teoría el mensaje procede de un asesino a sueldo que por 5.500 euros está dispuesto a salvar la vida de su víctima, e incluso a traicionar a quien lo contrató. Los expertos de Kaspersky Lab afirman que es habitual que estos mensajes incluyan recomendaciones o amenazas muy genéricas, como no salir de casa después de las 8 de la noche. Estas son las señales que delatan que el mensaje es fraudulento y en su mayoría, destinado a instalar archivos maliciosos en el ordenador del usuario.

Fuentes de spam en septiembre de 2011
Los expertos de Kaspersky Lab señalan que hubo pocos cambios en la lista de los Top-5 principales fuentes de spam referente al mes pasado: India ocupa la primera posición con el 14,4% de todo el spam distribuido, seguido de Brasil (10,1%), Indonesia (9%), Corea del Sur (7,3%) y Perú (4,9%). España ocupa la decimoquinta posición en la estadística de países-fuente de spam (1,8%), por lo que bajó dos posiciones en relación al mes pasado.

Por primera vez en mucho tiempo, Trojan-Spy.HTML.Fraud.gen perdió su liderazgo como el programa malicioso detectado con mayor frecuencia. Esta vez, el número uno de los maliciosos es Trojan.Win32.FraudST.at, un robot spam cuya especialidad es la propagación masiva de mensajes sobre medicamentos.

Tendencias temáticas del spam
Septiembre prolongó la tendencia del verano: el incremento del spam en inglés que en lugar de intentar vender algo, recopila datos del ordenador de un usuario desafortunado, para luego usarlos para realizar estafas. La segunda categoría más importante del spam en septiembre fue, una vez más, el spam financiero, lo que se entiende dados los tiempos de recesión.

Los expertos de Kaspersky Lab quieren concienciar a los usuarios sobre la necesidad de estar muy atentos y no confiar en mensajes procedentes de fuentes dudosas que mencionen temas candentes de actualidad. Los usuarios deben tener más cuidado cuando reciban cualquier mensaje que invite a descargar aplicaciones, activar vínculos o introducir contraseñas. Los timadores están enriqueciendo su arsenal de trucos, inventando métodos que pueden desorientar hasta a los usuarios más experimentados.

Para más información sobre las nuevas versiones de Kaspersky Anti-Virus 2012 y Kaspersky Internet Security 2012, visite: www.kaspersky.es

Imagen: Fuentes del spam en septiembre de 2011 (Ilustración de Kaspersky Lab)

Facebook enfrenta acusaciones en Alemania de vigilar las actividades de sus usuarios incluso cuando estos han desactivado sus cuentas en la red social.

Recientemente, en Alemania se consideraba un régimen especial para usuarios de ese país, con el fin de impedir que sus datos personales fuesen enviados a Estados Unidos. En ésta oportunidad, las autoridades alemanas de protección de datos han vuelto a dirigir su atención hacia Facebook por considerar que ha entregado información falsa sobre las galletas que instala en el PC de los usuarios del servicio.

Para cada usuario de Facebook, el sistema instala una serie de galletas, algunas de las cuales tiene una caducidad de dos años, incluso en aquellos casos que el usuario haya desactivado su cuenta. Esto implica, entre otras cosas, que Facebook puede reconocer al usuario si este visita un sitio web provisto del botón “Me gusta”, sin importar que éste no haya iniciado una sesión en Facebook.

La sede en Hamburgo de la citada autoridad de protección de datos probó el sistema creando una serie de usuarios de prueba, con el fin de comprobar si los contenidos cambiaban en Facebook al borrar las galletas en el PC.

La conclusión sería que Facebook ha optado por desinformar sobre el uso que hace de las galletas, al aducir supuestas razones de seguridad. En un informe, la agencia indica que Facebook crea perfiles de seguimiento de los usuarios, lo que infringe la ley alemana. Al respecto, se califica de insuficiente el planteamiento de Facebook, en el sentido que sería necesario, por razones de seguridad, poder reconocer a los usuarios incluso después que se han desconectado.

El informe completo elaborado por las autoridades alemanas puede ser descargado desde ésta página. Entre otras cosas, el informe concluye que las galletas de Facebook almacenan mucha más información sobre el usuario, que lo que sería necesario en función de las características de la red social y sus servicios asociados.

Anteriormente, la misma autoridad obligó a Google a instaurar un sistema especial para su servicio Street View en Alemania.

En agosto se informaba además sobre la utilización de galletas que no pueden ser borradas.

No siempre es suficiente borrar las galletas o configurar el navegador en modo de navegación anónima.

Las grandes empresas de Internet como Amazon, Hulu y Spotify utilizan tecnología de Kissmetrics para registrar las actividades de los usuarios.

Según un estudio publicado el 29 de julio por la Universidad de California, en Berkeley, EEUU, no siempre es suficiente borrar las galletas o configurar el navegador en modo de navegación anónima. Los investigadores analizaron distintos métodos de monitorizar las actividades de los usuarios de Internet. Los métodos estudiados tienen como común denominador que funcionan incluso si el usuario ha optado por evitar sistemas de supervisión y análisis.

El informe se concentra especialmente en una empresa de nombre Kissmetrics, que utiliza scripts avanzados para monitorizar el desplazamiento de los usuarios por Internet. Kissmetrics combina una serie de métodos conocidos, como por ejemplo las denominadas galletas en Flash, que dificultan sobremanera al usuario encontrar la configuración adecuada en el navegador, que le permitan evitar tal vigilancia.

Para seguir a los usuarios, Kissmetrics utiliza un código único, que es almacenado en un lugar distinto a las galletas corrientes.

Los autores del informe indican que empresas como Amazon, Hulu y Spotify utilizan los servicios de Kissmetrics para vigilar a sus usuarios.

Después de que la investigación fuera referida por la publicación Wired, al menos una de las empresas señaladas, el servicio de streaming de TV Hulu, revocó el contrato con Kissmetrics. Hulu asegura a sus usuarios que no volverá a utilizar la controvertida tecnología.

Según la información de Wired, varios otros gigantes de Internet figuran en la lista de clientes de Kissmetrics. En una entrevista con el fundador de Kissmetrics, Hitten Shah, éste desmiente categóricamente que su empresa haya infringido la ley. Sin embargo, debido a la publicidad que ha recibido el caso, Kissmetrics ha publicado en su sitio información sobre el funcionamiento del sistema, y una página donde el usuario puede elegir no ser monitorizado por Kissmetrics.

Esta información es registrada en el PC del usuario mediante, claro está, una galleta.

Microsoft ha anunciado la adquisición de Skype por un monto de 8.500 millones de dólares (unos 5.560 millones de euros), con el objetivo de reforzar su negocio con los smartphones.

El monto de la operación es notablemente más alto de lo que calculaba Skype. Los servicios que ofrecen ambas compañías quedarán así estrechamente ligados: por ejemplo, Skype entrará a formar parte de Xbox, la consola de juegos de Microsoft, y quedará vinculado al programa de mensajería Outlook.

Los afortunados vendedores son fundamentalmente el fondo de capital-riesgo (‘private equity’) Silver Lake y otros socios minoritarios entre los que están los fondos Adreseen e Index Ventures, además del plan de pensiones de los empleados públicos de Canadá. Ese grupo de inversores controla el 70% de Skype.

El resto está en manos de la casa de subastas online eBay que, con esta operación, ha logrado sacar algún beneficio de su inversión en Skype tras casi cinco años sin lograr rentabilizar los 2.100 millones que gastó en 2006 para comprar esa empresa.

Skype permite a sus usuarios hablar por teléfono gratis a través de internet, también con videoconferencia. Los beneficios de la compañía provienen de las llamadas baratas a la red telefónica convencional. Se trata de un servicio que tiene más de 660 millones de usuarios registrados.

Microsoft no era la primera compañía que se interesaba por Skype. Quizá por ello el precio final de la operación es el resultado de una disputa varios grandes del sector. Recientemente se había informado que Skype mantuvo conversaciones con Google y Facebook.

Fuente: elmundo

Un grupo de hackers que planeó un ataque contra los servidores de Sony el fin de semana pasado no pudo ejecutar su plan.

Luego de que se filtrara que Sony iba a recibir un tercer ataque de parte de los hackers al parecer se armó con todo lo que pudo para proteger sus servidores restantes de este grupo que iba a realizar el golpe maestro que acabaría con la vida de Sony para siempre.

Al parecer Sony vio los artículos publicados en las diferentes páginas y su último servidor fue inmediatamente sacado de línea. Así que el plan de los hackers quedó en el aire. El jueves se informó que un grupo de hackers estaban planeando otro ataque a Sony PlayStation Network, esta vez en un sitio web de la empresa no especificada, con el objetivo de publicar cualquier información que pudiera encontrar en línea.

Nadie ha tomado el crédito de estos ataques, el grupo Anonymous, que ha sido vinculado con el ataque por parte de Sony y otros, ha negado su implicación en los acontecimientos recientes.