Se ha recibido un correo electrónico el cual según proviene desde irs.gov, que cuando un usuario ingresaba al enlace www.irs.gov.onybmsm.com.XX/fraud.applications/application/statement.php se le invitaba al usuario a descargar una aplicación para prevenir fraudes electrónicos.

Al ejecutar el archivo malicioso, se crea un proceso llamado svchost.exe el cual se conecta a un sitio remoto de IP 109.95.114.xx.

El archivo se autoreplica en %System%\sdra64.exe además se crean los archivos %System%\lowsec\local.ds, %System%\lowsec\user.ds y %System%\lowsec\user.ds.lll. Continuar leyendo »

En medio de toda la atención de los ataques a la operación “Aurora”, ahora estamos viendo nuevos ataques dirigidos que están utilizando este evento tan atractivo como para conseguir los objetivos para abrir un archivo adjunto malicioso!

Aquí está el e-mail que vimos (el correo pego así como si viniera de gwu.edu):

From: david████@gwu.edu
Date: Wed, 20 Jan 2010 09:26:24
To: (email addresses of the targets)
Subject: Chinese cyberattack

Colleagues,

Attached is a short piece I just wrote for the Far Eastern Economic Review about Chinese cyberattack.
I hope you find it interesting.

If you have any good idea / comments, are warmly welcome to feedback.

Best,

David
Attachment: Chinese cyberattack.pdf

El archivo adjunto chinese cyberattack.pdf es un archivo PDF que se aprovecha de la CVE-2009-4324 de la vulnerabilidad en Adobe Reader (esta es la que fue parcheado la semana pasada).

La explotación de la vulnerabilidad ejecuta un backdoor llamado Acrobat.exe que es detectado como W32/PoisonIvy.NQ. El PDF es detectado como Trojan.Script.256073.

En estos días se ha recibido un correo spam ha sophos especialmente para los usuarios desprevenidos de sus iPhone.

Los mensajes tienen el tema “IMPORTANT: Your iPhone Warranty Extension for 1 Year!”, Pretende ser enviado de “iphonewarranty@apple.com”, y se muestra de la siguiente manera:

Quizás digamos, no podemos dejar pasar esta súper oferta, pues lamentablemente es redirigido a la página siguiente:

Todo lo que tienes que hacer es introducir el número de serie de su teléfono y número de IMEI, así como su tipo y capacidad, y estará todo listo. Y si no sabes cómo conseguir cualquiera de estos números? No te preocupes, hay un enlace para ayudar a encontrarlos… que tiene un vínculo para que apunte a una página de Apple real de apoyo. De hecho todos los enlaces de esta página le indicará el sitio web de Apple real, esto es en parte para disipar la sospecha, sino simplemente porque es más fácil para los autores de copiar un área del sitio real de ser selectivo o creativa.

Introducción de las credenciales le lleva a esta página: Continuar leyendo »

Es “123456“, basada en el análisis de los 32 millones de contraseñas violadas, obtenidos a partir de la violación del mes pasado en el servidor de RockYou.com, de la cual los investigadores de Imperva fueron capaces de analizar las prácticas inseguras utilizado por millones de usuarios al elegir sus contraseñas.

¿Qué conclusión resulto del análisis? Contraseñas cortas, falta de mezcla de caracteres numéricos, y palabras triviales de diccionarios, que con una decente fuerza bruta de contraseñas pueden ser encontradas en cuestión de minutos.

Las principales conclusiones son:

• En tan sólo 110 intentos, un hacker que normalmente tendrá acceso a una nueva cuenta en cada segundo, y apenas en 17 minutos podrá entrar a 1000 cuentas.
• Alrededor del 30% de los usuarios eligieron contraseñas, cuya longitud es igual o inferior a seis caracteres
• Por otra parte, casi el 60% de los usuarios eligieron sus contraseñas de un conjunto limitado de caracteres alfanuméricos
• Casi el 50% de los usuarios utilizan los nombres, palabras de jerga, palabras de diccionario o contraseñas triviales (dígitos consecutivos, teclas adyacentes, y así sucesivamente). La contraseña más común entre los propietarios de la cuenta Rockyou.com es “123456″.

El resto de las contraseñas son evaluados por popularidad: