InfoMalwares

Scam a 8 bancos online en 1

Publicado el 05. Nov, 2009 por el autor Israel Rangel y ha sido 59 veces visto.

Esto si me ha sorprendido verdaderamente bastante, nunca habia visto un sitio web que le hiciera scam a 8 bancas en línea desde una página web, que por cierto ésta redirige a las URLs scammers, dependiendo donde hagas clic. El sitio web es el siguiente:

hxxp://www.himalayatour.net/bbs/data/himalaya_travelphoto/1081410719/www.hmrc.gov.uk_online_index.htm_revenue_tax_refundher_royal_majesty/United/United/United/index.htm

El sitio web falso, hace scam a Lloyds TBS, Halifax, Abbey, Barclays, HSBC, cahoot, NatWset y Alliance Leicester. La imagen de la página principal de este sitio scam, es la siguiente:

Bueno como lo vine diciendo al principio del tema, es algo realmente impresionante, lo único que recomiendo es no entrar a tu banca desde sitios ajenos, trata de buscar las páginas oficiales ya sea desde algún buscador o preguntando en tu sucursal.

Continuar leyendo...

Nueva ransomware LoroBot encripta archivos, las demandas son de 100 dólares para el descifrado

Publicado el 04. Nov, 2009 por el autor Israel Rangel y ha sido 46 veces visto.

Los investigadores de CA han interceptado una variante ransomware nueva para cifrar extensiones de archivos populares ( zip, avi, pdf, rtf, txt, jpg, jpeg, waw, pp3, db, xls, xlsx, doc) y esta exige $100 para el software de descodificación.

Según el mensaje que sustituye al fondo del escritorio, los archivos son encriptados con 256-bit AES, y que existe la posibilidad de 0% que usted será capaz de descifrar manualmente los archivos sin la clave de cifrado. Sin embargo, este delincuente cibernético particular, parece ser un farol ya que la cifra ransomware de los datos son mediante el cifrado XOR. Naturalmente, con ello se permitió a los investigadores de CA liberar un descifrador libre para Win32/Gpcode.J. A pesar de que en comparación con campañas anteriores, ésta parece bastante primitivo, ransomware es claramente una tendencia, que ya ha comenzado a converger con los canales de distribución populares, tales como scareware, y utilizar eficientemente los procesos de pago, tales como el SMS omnipresente de micro-pago.

A lo largo de todo el año 2009, los cibercriminales han manifestado su interés a largo plazo en el desarrollo de las tácticas de extorsión alternativa con el fin de ganar lo más eficiente de micro-pago de los ingresos como sea posible. El caso más reciente de esta táctica una extorsión alternativas, fue la introducción de la variante de SMS ransomware que estaba mostrando persistentes anuncios en línea dentro de los navegadores de las víctimas de infectados, con frecuencia mostrando el contenido para adultos inquietante, mientras que requiere un código SMS para la tasa de eliminación. [...]

Continuar leyendo...

Scam a Paypal, problema de “seguridad”

Publicado el 03. Nov, 2009 por el autor Israel Rangel y ha sido 72 veces visto.

El día de hoy, recibo un correo muy al estilo spam según de paypal, que es de la siguiente manera:

Asunto: Case ID Number: PP-791-312-518‏
De: PayPal Case ID (Case-ID[arroba]paypaI.com)
Cuerpo:

Al pasar el cursor sobre el enlace que se encuentra en el mensaje spam, te redireccionará a cualquiera de las siguientes webs:

hxxp://freefroot.com/paypal/webscrm
hxxp://ftp.restaurantmanager.com/paypal/webscrm/

Obviamente son páginas falsas, al entrar, y si es que los sitios se encuentran aun disponibles, podremos ver que son realmente idénticas a las página oficial de paypal.com; totalmente scam.

Recomiendo ignorar este tipos de correos spam, borrarlos inmediatamente al verlo en nuestra bandeja de entrada.

Continuar leyendo...

Rogue: Active Security

Publicado el 02. Nov, 2009 por el autor Israel Rangel y ha sido 103 veces visto.

Activity Security es un software antivirus, diseñado para estafar a la gente. Si Activity Security está instalado en su PC, usted debe quitarlo inmediatamente ya que éste es un grave riesgo de seguridad para todos los usuarios.

Una vez que un equipo está infectado con Active Security, el usuario será inundado de pop-ups que indican que el PC está infectado. Estas advertencias de seguridad y pop-ups son falsos, están diseñados para asustar al usuario en la compra del software. Active Security también ejecutará una exploración del sistema cada vez que el PC se inicia. Después de cada exploración del sistema de Seguridad que informará de posibles numerosas infecciones falsas y requieren que el usuario compre el software antes de quitar las infecciones. Estas detecciones son completamente una estafa completa, el sistema de informes de análisis son ficticios, creados para asustar a la gente en el pensamiento de su PC está infectado con la esperanza de que se haga clic y comprar el software para limpiar sus máquinas. [...]

Continuar leyendo...

Mensajes falsos de Facebook propagan Botnes

Publicado el 01. Nov, 2009 por el autor Israel Rangel y ha sido 80 veces visto.

A partir del día lunes 26 de octubre se comenzó a propagar un malware por medio de correo electrónico, supuestamente de Facebook, el cual era una invitación para restablecer la contraseña de dicho servicio.

Algo importante que vale la pena destacar es la dirección de donde proviene dicho correo. Pues, viene de support@facebook.com. Como podemos ver, es fácil caer en el engaño, pues al parecer la dirección de la cual proviene es real. Pero, hay que tener en cuenta que sitios de redes sociales o correos gratuitos nunca piden renovar o cambiar su contraseña por correo electrónico. Así, que hay que tener mucho cuidado con esto.

El correo enviado, puede contener cualquiera de los siguientes archivos:

Facebook_Password_e9081.zip
FACEBOOK_PASSWORD_52132.ZIP
Facebook_Password_6dd19.zip
Facebook_Password_4cf91.zip
FACEBOOK_PASSWORD_50573-1.ZIP
Facebook_Password_c92dd.zip
FACEBOOK_PASSWORD_7A343.zip

El archivo .zip contiene dentro un archivo .exe el cual se conecta a dos servidores con el fin de descargar archivos maliciosos y hacerlo parte de la botnet Bredolab. Lo que indica que los atacantes tendrán completo control de nuestro ordenador con el fin de robar información del usuario y enviar correo spam. Uno de los servidores está en Holanda y el otro en Kazajistán.

Continuar leyendo...

Campañas agresivas de Blackhat SEO sobre Halloween

Publicado el 31. Oct, 2009 por el autor Israel Rangel y ha sido 16 veces visto.

Hoy en día, hemos identificado una nueva campaña blackhat SEO, que actualmente utiliza palabras clave relacionadas con Halloween. En el análisis a fondo, me di cuenta que las palabras clave más buscados fueron como el traje de la mujer gato, traje de vampiro, y los trajes de adultos. Además de los trajes, la campaña también apunta a BHSEO sobre recetas de alimentos relacionados con Halloween, direcciones de casas embrujadas, fiestas de Halloween, y la película Halloween.

Resultados de la búsqueda:

Los sitios falsos que propagan software rogue, son similares al siguiente: [...]

Continuar leyendo...

Boletines de Seguridad de Octubre

Publicado el 30. Oct, 2009 por el autor Israel Rangel y ha sido 22 veces visto.

Este mes Microsoft ha liberando 13 boletines, 8 de ellos categorizados con severidad máxima de Crítica y 5 como Importante.

MS09-050 (Crítica): Vulnerabilidades en Smbv2 podrían permitir la ejecución remota de código (975517). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-050.mspx
MS09-051 (Crítica): Vulnerabilidades en el módulo de tiempo de ejecución de Windows Media podrían permitir la ejecución remota de código (975682). Detalles en: http://www.microsoft.com/technet/security/bulletin/ms09-051.mspx
MS09-052 (Crítica): Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (974112). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-052.mspx
MS09-053 (Importante): Vulnerabilidades en el servicio FTP de Internet Information Services podrían permitir la ejecución remota de código (975254). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-053.mspx
MS09-054 (Crítica): Actualización de seguridad acumulativa para Internet Explorer (974455). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-054.mspx
MS09-055 (Crítica): Actualización de seguridad acumulativa de bits de interrupción de ActiveX (973525). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-055.mspx
MS09-056 (Importante): Vulnerabilidades en Windows CryptoAPI podrían permitir la suplantación de identidad (spoofing) (974571). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-056.mspx [...]

Continuar leyendo...

Sitio “bajo construcción” aloja malware

Publicado el 29. Oct, 2009 por el autor Israel Rangel y ha sido 30 veces visto.

El sitio web, supuestamente dice que esta “bajo construcción”, al observarlo se mira como una especia de portal publicitario:

El caso, es que este sitio web tiene alojado varios archivos infectados por malwares, a continuación podemos ver un subdirectorio llamado /images que aloja dos archivos, uno es un exe, el otro un php que redirige a la exe infectado.

Me pareció más inteligente que el nombre de archivo para el archivo EXE está en la forma de DSCXXXXX. Para aquellos que poseen una cámara de Sony (y posiblemente de otros productos de Sony), este es el nombre predeterminado para las imágenes que se guardan.

La fecha de tiempo indica que los archivos se han subido recientemente, a lo que creo que es un servidor hackeado.

Información acerca del archivo infectado: