Nuevo scam en Facebook promete “video impactante” pero solo es malware

Los usuarios de Facebook están expuestos a un nuevo engaño que los invita a hacer clic en un falso mensaje. Su contenido es un ‘video impactante’ que supuestamente los dejará boquiabiertos, según informa Hackread.

La publicación trata de atraer a las víctimas con el titular “[Shocking video] When you see what happens to this pregnant lady at the beach, your jaw will drop”, que podríamos traducir como “[Impactante video] Cuando vea lo que pasa con esta señora embarazada en la playa, su mandíbula caerá”. Pero al hacer clic, se lleva a los usuarios a una página falsa de Facebook que les pide compartir el contenido antes de verlo- ¡qué sorpresa!

Si el usuario aún no había caído en la cuenta de que está siendo engañado, el post luego lo redirige a otras páginas falsas que intentan robar su información personal.Además, también se les puede pedir que descarguen actualizaciones a su reproductor de video para ver el clip, que en realidad infecta al navegador con malware que puede mostrar más spam y comprometer la seguridad del equipo.

Como señaló Hoax Slayer, los datos capturados probablemente son vendidos a empresas de marketing, dando lugar a llamadas telefónicas no deseadas, correos electrónicos y cartas promocionales dirigidas a la víctima. Los criminales detrás de la estafa, por su parte, ganarán una comisión sobre cualquier dato capturado como resultado de la entrada.

Al igual que cualquier otro scam en Facebook de este tipo, las víctimas nunca llegan a ver el video, sin importar cuántas páginas intenten sortear. Irónicamente, en este caso, el video real está disponible para ver en YouTube (y libre de malware), aunque puede que se sientan decepcionados: es mucho menos impactante de lo anunciado.

Los scams son moneda corriente en las redes sociales y, según David Harley de ESET, se están volviendo mucho más difíciles de identificar incluso para el ojo entrenado. “Si bien a veces se puede identificar un correo falso a la distancia, algunos son técnicamente más sofisticados. Los bancos y empresas también hacen más fáciles las cosas para los scammers, usando lenguaje que ellos también usarían, y enlaces embebidos que no son claramente identificables con los del propio dominio de la institución. Esto hace más difícil para un lector sin experiencia o conocimiento especializado saber distinguirlos e identificar al legítimo”, explica.

Cuando se trata de detectar enlaces dudosos en las redes sociales, cómo darse cuenta de que una historia es falsa.

Autor Kyle Ellison, ESET

¿Tu ordenador forma parte de un botnet? ¡Compruébalo Mediante esta Herramienta!

Muchos todavía piensan que un malware es un software que afecta totalmente al buen funcionamiento de los ordenadores. Imaginarás que si tu ordenador funciona bien no está infectado, ¿verdad? Pues estás equivocado. El objetivo principal de los cibercriminales no es hacer un ciber-escándalo para divertirse, sino ganar dinero. En muchos casos, para lograr esto programan el software para que se comporte de manera contraria: el mejor es el menos visible para los usuarios.

Por ejemplo, este comportamiento ‘furtivo’ es típico de los botnets. Normalmente consisten en miles de ordenadores y, en el caso de los más grandes, cientos de miles. Los dueños de estos ordenadores no tienen la menor idea de que están infectados. Todo lo que pueden ver es que su ordenador funciona un poco más lento, lo cual no es algo extraordinario.

Los botnets están diseñados para obtener información personal como contraseñas, detalles de tarjetas de crédito, direcciones, números de teléfonos y otros datos personales. Éstos pueden utilizarse en crímenes, incluyendo el robo de identidad, varios tipos de fraude, correo no deseado y otras distribuciones peligrosas. Los botnets también pueden usarse para atacar a redes y páginas web.

Para desactivar un botnet se requiere mucho esfuerzo por parte de varios grupos. Un ejemplo reciente es el botnet Simda, el cual se cree que ha infectado a más de 770.000 ordenadores en más de 190 países. La mayoría de las infecciones ocurrieron en EE.UU., Reino Unido, Turquía, Canadá y Rusia.

Simda es un ‘botnet comercial’ dado que se utiliza para distribuir software y diferentes tipos de malware, incluyendo aquellos que son capaces de robar información financiera personal. Los desarrolladores de los programas malintencionados simplemente pagaban una cuota a los creadores de Simda por cada instalación realizada. En otras palabras, este botnet era una gran cadena de comercio para los ‘fabricantes’ de malware.

El botnet estuvo activo durante años. Para hacerlo más efectivo, los dueños de Simda trabajaban duro para desarrollar nuevas versiones, generarlas y distribuirlas varias veces al día. Hoy día, la colección de virus de Kaspersky Lab contiene más de 260.000 archivos ejecutables que pertenecen a diferentes versiones del malware Simda.

¿Tu ordenador forma parte del gran #Simda #botnet? ¡Compruébalo!

El jueves 9 de abril se desactivaron 14 servidores de comando y control simultáneamente en Holanda, EE.UU., Luxemburgo, Rusia y Polonia.

La lista de organizaciones involucradas en esta operación demuestra su complejidad: La INTERPOL, Microsoft, Kaspersky Lab, Trend Micro, Cyber Defense Institute (Instituto de Defensa Cibernética), la FBI, el Dutch National High-Tech Crime Unit (NHTCU o Unidad Nacional Contra el Crimen de Alta Tecnología), la Police Grand-Ducale Section Nouvelles Technologies de Luxemburgo y el Departamento ‘K’ del Ministerio de Interior de Rusia; todos ellos trabajaron conjuntamente para detener a los cibercriminales.

‘Los botnets son redes distribuidas geográficamente y normalmente supone un gran reto desactivarlos. Es por eso que la colaboración entre los sectores públicos y privados es crucial – cada participante hace una contribución importante al proyecto cooperativo’, dijo Vitaly Kamluk, jefe experto en seguridad de Kaspersky Lab, y que actualmente está trabajando conjuntamente con la INTERPOL. ‘En este caso, el papel de Kaspersky Lab fue proveer análisis técnico de los botnets, recolectar telemetría de Kaspersky Security Network y aconsejar sobre posibles estrategias para desactivarlos’.

Ya que la investigación aún sigue activa, es demasiado pronto para desvelar quién está detrás del botnet Simda. Lo que nos interesa como usuarios es que como resultado de esta operación, los servidores de comando y control que usaban los cibercriminales para comunicarse con las maquinas infectadas ya no están operativos. Aunque la operación del botnet Simda se ha suspendido, las personas con ordenadores infectados deberían deshacerse de este malware lo antes posible.

Utilizando la información recolectada de los servidores de comando y control de Simda, Kaspersky Lab ha creado una página especial donde puedes comprobar si la dirección IP de tu ordenador se encuentra en la lista de equipos infectados.

FUENTE OFICIAL : https://blog.kaspersky.es/

Malheur: el aprendizaje automático aplicado al análisis de malware

Cuando nos enfrentamos al análisis de códigos maliciosos tenemos múltiples herramientas y métodos para obtener información sobre el comportamiento de una muestra en particular. Pero cuando queremos determinar patrones de comportamiento entre varias muestras o encontrar semejanzas u otras características que puedan ser comunes, debemos pasar a utilizar algoritmos de machine learning que nos permitan este tipo de análisis.

El equipo de investigación en Computer Security de la universidad alemana de Göttingen desarrollaron Malheur, una herramienta bastante interesante desarrollada en lenguaje C que a partir de los resultados de análisis dinámicos de muestras de códigos maliciosos permite descubrir y clasificar el malware en diferentes clases utilizando algoritmos de aprendizaje automático. Como característica adicional, Malheur tiene algunas funciones para integrarse con entornos basados en Matlab.

Los análisis realizados con esta herramienta, se pueden complementar con opciones para visualizar los datos de otros algoritmos como sdhash, para encontrar similitudes entre códigos maliciosos.

Funcionamiento de la herramienta

Malheur a partir de los resultados de análisis dinámicos permite realizar un perfil del comportamiento de diferentes muestras de códigos maliciosos. La base para hacer este tipo de análisis son los patrones de comportamiento que tiene cada malware. Características como la creación o modificación de archivos del sistema, llaves de registro u otros comportamientos sobre un sistema operativo afectado permite encontrar patrones que pueden ser explotados con algoritmos de agrupamiento y clasificación.

Lo interesante del enfoque en el funcionamiento de esta herramienta, es que a partir del análisis del comportamiento de cada muestra se evita lidiar con problemas como la ofuscación de código o el empaquetamiento de la muestra. Obviamente hay que ser cuidadosos con aquellas muestras que tengan algún tipo de protección para no ejecutarse en un entorno controlado como puede ser una sandbox.

Una característica de Malheur es el análisis incremental para grandes conjuntos de datos. Con el uso de procesamiento por secciones los requisitos de tiempo de ejecución y de memoria se reducen significativamente.

Algoritmos utilizados por Malheur

En particular la herramienta utiliza dos conceptos de aprendizaje para el análisis. La implementación de algoritmo de clustering de acuerdo al comportamiento de la muestra, que permite la identificación de nuevas clases de malware de acuerdo a las acciones realizadas sobre el sistema y la implementación de algoritmos de clasificación.

Con el algoritmo de clustering a partir del comportamiento se pueden identificar grupos de muestras con un comportamiento similar. Estos algoritmos de agrupamiento permiten descubrir nuevas clases de malware y pueden ser utilizados para detectar familias de amenazas que puedan ser utilizadas para crear firmas por ejemplo.

También tiene la opción de utilizar algoritmo de clasificación, de tal forma que a partir de los resultados de clustering se pueden asignar nuevos comportamientos a grupos conocidos de códigos maliciosos. Con esto es posible llegar a detectar nuevas variantes y obtener información relevante para análisis más profundos.

Con el análisis realizado se logra la extracción de prototipos, que son un subconjunto de muestras que tengan características representativas para todo el conjunto de datos completo. Estos prototipos proporcionan una visión rápida de la conducta registrada y se puede utilizar para disparar algunos análisis que se hagan manualmente.

Este tipo de técnicas resultan interesantes para entender cuál es la lógica detrás de la creación de este tipo de amenazas o determinar, por ejemplo, cuáles son las características de las campañas de propagación. Además con estas herramientas los investigadores tienen alternativas eficientes para adaptar los modelos de seguridad a las amenazas que cada vez son más cambiantes.

Cómo detectar direcciones web maliciosas (sin pincharlas)

Las infecciones causadas por enlaces o sitios web maliciosos son uno de los mayores problemas a los que se enfrenta la seguridad informática actualmente. Estas URLs acostumbran a ejecutar programas en el ordenador del usuario, en la mayor parte de los casos furtivamente. Por lo que a este le parece que el sitio funciona con total normalidad. Pero nada más lejos de la realidad.

El malware explota vulnerabilidades en los programas instalados de nuestro ordenador para, de esta forma, sustraer nuestra información, datos personales, desviarnos hacia contenidos indeseables, ilegales o spam, o llevar a cabo cualquier otra actividad con alguna finalidad fraudulenta.

Hacer click en algunos de estos links es más fácil de lo que parece. Sin embargo, existen algunas claves que nos pueden ayudar a no caer en la trampa.

Alterando letras o caracteres

Es una de las prácticas más habituales. Puede parecer que estamos entrando en una dirección web determinada, pero hacerlo en realidad en otra maliciosa. El error se produce porque no hemos leído detenidamente la URL.

Un ejemplo de esto lo tenemos en el dominio http://www.rnicrosoft.com en lugar del correcto http://www.microsoft.com. ¿Les ha resultado complicado distinguirlos? No se preocupen. Es normal. La r y la n juntas parecen una m. Y como este caso hay mil más. Algo de lo que se valen los ciberdelincuentes para crear dominios fraudulentos. Ahora supongan que les sucede con la dirección web de su banco.

No es el único efecto visual del que se aprovechan. En otras ocasiones directamente cambian el tipo de letra logrando que ni el ojo más experto se percate. «Estamos hablando de aquellos hackers que utilizan enlaces con caracteres Unicode pertenecientes a otros alfabetos como el cirílico, pero que pueden confundirse con el nuestro», ha explicado a Teknautas Josep Albors, director de Comunicación y Laboratorio de Eset España.

Veamos un ejemplo: http://www.exɑmple.com. Aparentemente no hay nada extraño en este enlace, ¿verdad?. Pero en realidad sí que lo hay. «Si nos fijamos con atención veremos que el carácter que nosotros identificamos como una a es en realidad una ɑ. Puede que para nosotros esto no suponga mucha diferencia, pero cuando hablamos de ordenadores que se comunican entre sí hay todo un mundo entre el carácter Unicode U+0061 (a) y el carácter U+0251 (ɑ)», ha concluido el experto en informática.

Direcciones abreviadas

Cada vez hay más direcciones abreviadas en internet. Sin embargo, esto conlleva muchos peligros. «No sabes dónde estás entrando. Puedes estar metiéndote en una página falsa que te lleve a otra maliciosa y no saberlo. Todos los peligros de los que hablamos cuando navegamos por la red están reunidos en una dirección abreviada. Es como entrar a ciegas. Pero la gente se fía», ha argumentado a este diario Fernando de la Cuadra, director de Educación de Eset España.

La clave en estos casos está en comprobar la procedencia en aquellos supuestos en los que sospechamos.

Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLsSegún Daniel Creus, informático de Kaspersky: «Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLs. Se aconseja tener en cuenta el contexto en el que nos llega. Si nos hace sospechar lo recomendable es comprobar que la dirección es segura acudiendo al proveedor». Por ejemplo, el servidor bit.ly ofrece la posibilidad de ver un preliminar de la dirección. Te dice hacia qué sitio apunta e incluso ofrece una captura de pantalla. Esto es una buena medida cautelar, aunque también es cierto que resulta algo incómodo.

En este último caso también se puede además copiar y pegar la URL en el navegador añadiendo un símbolo + al final. De esta forma se accede a la vista preliminar de bit.ly en lugar de ir al destino.

«Si el proveedor no ofrece este servicio se puede buscar en Google y escribir la URL que nos han enviado. Puede ser que haya sido denunciada por el resto de usuarios», ha añadido Creus.

Por otro lado existen complementos para navegadores que hacen la traducción a la URL larga. Un ejemplo lo tenemos en longURL.

Trampas imposibles de distinguir

Por último, también es habitual que los ciberdelincuentes se aprovechen de la característica de la escritura derecha-a-izquierda de la codificación Unicode para ocultar la verdadera extensión de un fichero malicioso. Es decir, que creen ficheros con una terminación determinada, pongamos por caso, fdp en hebreo, y que al convertirlo nuestro navegador lo transforme en pdf.

«Con esto consigues engañar al usuario y que se crea que está abriendo un documento pdf seguro, cuando en realidad está accediendo a un troyano», ha explicado Fernando de la Cuadra. No podemos detectar a simple vista este tipo de malware pero sí hacer uso de webs que analizan ficheros como por ejemplo VirusTotal o URL X-ray.

Fuente:http://www.elconfidencial.com/