Una banda rusa de ciberdelincuentes que infectaba equipos con software del tipo ransomware fue detenida, este tipo de malware bloquea componentes del sistema a cambio de una "recompensa".

Se estima que sólo en abril más de 3 mil personas fueron víctimas de estos atacantes, una vez que el usuario estaba infectado se bloqueaba el acceso a su sistema a cambio de una código de activación que se obtenía por SMS, cada mensaje tenía un costo aproximado de 10 dólares.


Hay muchas variantes de estos programas, generalmente se bloquea el escritorio, el Administrador de tareas y el acceso al modo seguro, cuando el sistema se carga lo único que aparece es una ventana que solicita el envío del mensaje.

Algunos ejemplares también muestran fotografías pornográficas para que las víctimas, con tal de eliminar eso de sus pantallas, envíen el SMS. A veces también solicitan el envío de varios mensajes.

En caso de resultar infectado puedes intentar eliminar el malware con un análisis externo, ya sea desde otro sistema o un CD de rescate.

Ver también:
Malware: "envianos un mensaje de texto o te quedas sin internet".
Falso antivirus que secuestra archivos ejecutables a cambio de su activación.

El investigador Jorge Mieres ha comentado en su blog una nueva variante de ataque que busca propagar falsos antivirus, hasta ahora la página típica que intentaba engañar a los usuarios simulaba el entorno de Windows con supuestos escaneos del sistema [ejemplo en video].

Siempre se detectaban amenazas y se ofrecía un programa para eliminarlas, si el usuario accedía a la descarga se infectaba con un falso antivirus.

La variante consiste en reproducir un video real relacionado con el robo de datos, mientras se realiza un supuesto escaneo de seguridad:


Al finalizar el video, el usuario es redireccionado hacia una página que muestra resultados falsos que parecen ser provistos por motores de antivirus -estilo VirusTotal- y se ofrecen descargas que instalan los programas para infectar el equipo y engañar a las víctimas con la compra de licencias.

Más información y capturas en MalwareIntelligence.

Ver también:
Los falsos antivirus ahora vienen en varios idiomas.
Estados Unidos es el país más afectado por los falsos antivirus.
Los antivirus reales no dan a basto en la lucha contra los antivirus falsos.

Cada vez falta menos para la ekoparty, uno de los eventos de seguridad informática más esperados del año. En esta edición 2010 fui invitado como blogger oficial, así que estaré comentando todo lo que pueda desde adentro, además de las últimas novedades.


Para los que no conozcan nada sobre la ekoparty, son 2 días de conferencias de primer nivel con invitados de diversos países (verdaderos hackers), además durante esa misma semana se ofrecen cursos técnicos o trainings que son dictados por los mismos especialistas.

Uno de estos cursos trata sobre la ingeniería inversa y el análisis del malware, será presentado por la gente de ESET, concretamente por el investigador francés Joan Calvet. Tiene un costo de 472 dólares y será dictado en inglés, este precio también incluye la entrada a las conferencias de la ekoparty y el resto de las actividades.

Gana una entrada con el desafío de ESET:

ESET organizó un desafío que tiene como premio una entrada gratuita al curso, toda la información para participar la puedes encontrar aquí, ganará el que alcance el puntaje más alto.

Detalles del training: Modern Malware Reverse Engineering

En estos días estaré publicando muchas más novedades, cualquier duda o pregunta sobre el evento puedes hacerla en el blog o comunicarte directamente con la gente de la ekoparty.

Se han detectado twitts falsos que alertan sobre una supuesta actualización de TweetDeck, un reconocido programa que permite usar Twitter desde el escritorio.

Al hacer clic en los enlaces se inicia la descarga de un troyano llamado "tweetdeck-08302010-update.exe":


Desde Sophos y un boletín oficial de TweetDeck mencionan que algunas cuentas de Twitter fueron robadas para propagar los enlaces, esta práctica es bastante habitual y efectiva ya que los usuarios tendemos a confiar en los twitts de nuestros amigos (ver RTs falsos).

Estuve buscando twitts relacionados y los que me encontré provenían de cuentas spam, como la que se puede ver en la captura. Este tipo de cuentas aparecen todos los días, los atacantes las crean automáticamente para enviar mensajes spam con palabras claves que se suelen buscar en search.twitter.com.

Hay que tener cuidado con los enlaces que se siguen en Twitter, lo ideal es observar siempre su destino final antes de acceder directamente a las páginas. También hay que tener cuidado con las aplicaciones que se instalan, sobre todo a la hora de introducir user y pass para darles acceso a la cuenta.

Por último mencionar que no es la primera vez que los atacantes utilizan TweetDeck para infectar y robar información, hace algunos días se detectó una aplicación falsa para Android que simulaba ser la oficial.

Flash Player es una aplicación de Adobe que permite visualizar contenidos multimedia e interactivos, como por ejemplo los videos de YouTube. Es gratuita y se puede descargar desde acá.

Los ciberdelincuentes suelen usar este complemento como carnada para infectar, por ejemplo montan sitios con videos falsos que despliegan una advertencia indicando que Flash debe ser actualizado, si el usuario cae en la trampa en realidad estará descargando un troyano.

Otros estafadores, como en el siguiente ejemplo, venden el programa para ganar dinero y posiblemente también infectar:


El programa tendría un costo de $2.49 por mes, siendo la compra mínima por un año. Como se puede ver en la URL, la página forma parte de un sistema de afiliados, de hecho es el mismo que comentaba ayer para los falsos antivirus... el correo con el cual se promociona tiene el siguiente formato:


Recuerda que Flash Player es gratuito y en caso de necesitar descargarlo siempre debes hacerlo desde la página de Adobe, los links oficiales para descargar y verificar tu versión instalada son los siguientes:

Descarga: get.adobe.com/es/flashplayer/
Verificar versión: www.adobe.com/es/software/flash/about/

Ver también:
Página falsa de Flash Player imita el diseño de Adobe, cuidado!

El negocio de los falsos antivirus tiene dos caras, por un lado se busca infectar equipos y por otro que las víctimas engañadas compren la licencia del programa.

Existe todo un mercado organizado detrás de esto, cualquiera se puede registrar en un sistema de afiliados y comenzar a promocionar falsos antivirus. En la siguiente captura se puede apreciar parte del catálogo ofrecido por uno de estos sistemas, las comisiones por venta son del 75%:


Estos programas fraudulentos se pueden promocionar de cualquier forma, aunque en teoría el spam y otros métodos ilegales no están permitidos, dada la naturaleza de los productos en realidad es un "vale todo" con tal de lograr que un usuario compre el programa y lo instale.

En la siguiente captura se puede apreciar un correo que promociona uno de estos falsos antivirus, al parecer se trata de una nueva versión del Antivirus 2010, incluso ofrecen un código promocional:


Al hacer clic se accede a la siguiente página donde se ofrece por todos lados la descarga del programa, previa compra con tarjeta de crédito:



Hay que destacar el buen diseño del sitio, algo necesario para convencer a las víctimas, si se observa la primer captura se podrá ver que esta página aparece en el catálogo de afiliados.

Hay tener precaución a la hora de descargar y comprar programas de seguridad, muchos parecen reales pero en realidad no sirven para nada. Lo mejor ante la duda es buscar información sobre los productos y opiniones de otros usuarios.

En el foro de ayuda también puedes plantear tus dudas, por allí alguien siempre te intentará dar una mano.

Con el social media de moda, contestar una encuesta sobre las redes sociales puede llegar a ser interesante, incluso divertido si se prometen algunos regalos:


La captura, tomada por el equipo de Symantec, corresponde a una página que se está propagando mediante correos spam, los usuarios deben contestar preguntas simples, ingresar su correo y seleccionar un regalo. Luego se solicita la información de envío, nombre, dirección, teléfono, fecha de nacimiento... incluso se hacen algunas preguntas sobre gustos e intereses:


A simple vista parece un completo engaño, diseñado simplemente para recopilar información personal y luego bombardear a los usuarios con spam.

Buscando información descubrí que esto se basa en un sistema de afiliados que paga cada vez que se completa una acción. La información que recopilan es compartida y utilizada para promocionar productos, incluso enviar mensajes de texto y hacer llamadas publicitarias con mensajes pregrabados.

La siguiente es una campaña de ejemplo:


Como se puede ver al parecer me gané una tarjeta con 250 dólares en compras, luego me pedían un correo y mis datos personales, como en las capturas anteriores.

Leyendo los términos descubrí el gato encerrado del asunto, para recibir el regalo tenía que completar una serie de pasos que pueden ser más encuestas (varias más) e incluso la compra de algún producto:



Finalmente esta oferta no estaba disponible en mi área, se quedaron con todos los datos, me quedé sin tarjeta y me redireccionaron a otra compaña:


Más capturas de campañas:


Hay que tener cuidado con estas cosas y no dejarse llevar por la emoción del momento, recuerda que nunca se debe proporcionar información personal en una página desconocida y mucho menos si se promociona mediante correos no solicitados.