Los estafadores están con esto de nuevo – aprovechándose de las publicidades patrocinadas de Google para conseguir tráfico con el propósito de redirigirlo hacia copias de software legítimo infectadas con malware. win.rar GmbH está advirtiendo a sus usuarios de una campaña en curso de AdWords fraudulento que “empuja” una copia de WinRAR infectada con malware, la popular aplicación de archivado. Comenzado con el hecho básico que, ambos, usuarios legítimos como maliciosos pueden comprar su visibilidad, la copia falsa de WinRAR es sólo la punta del iceberg.

Demos un vistazo a la campaña de imitación de Download.com – imitación es una forma de halago – y discutamos una campaña separada que promete entregar copias gratuitas de las generalmente gratuitos, WinRAR y WinZip, manejada por el filiado de adware Zango.

Luego de buscar WinRAR, el aviso falso aparece al tope de los resultados de la búsqueda, con el sitio actualmente falso Download.com ubicado en dreamcentury .cn/winrar.htm. Luego de la ejecución, el WinRAR falso sienta las bases para la segunda parte de la estafa, ya que los usuarios afectados serán redirigidos periódicamente a sitios de falsos software de seguridad, urgiéndolos a realizar una acción y desinfectarse.

WinRAR también es imitado por otra campaña AdWords activa actualmente, próxima a WinZip, con la segunda campaña operada por la filial Zango, un conocido proveedor de adware. La campaña de Zango naturalmente no esta enviando ninguna copia de WinRAR ni de WinZip, en lugar de eso esta impulsando una copia de su barra de herramientas que se aprovecha de prácticas fraudulentas.

Los participantes en la filial de la red de Zango y del software de seguridad falso, están generando ganancias basadas en el número de instalaciones, con el modelo de la filial de altas tasas de pagos como el incentivo principal por la introducción de nuevas tácticas. Y mientras los Adwords de Google parecen ser parte de su presupuesto de publicidad en este caso, los avisos patrocinados son solo parte de la (fraudulenta) combinación de marketing, con técnicas de optimización de motor de búsqueda engañosas, como la táctica de preferencia para conseguir tráfico.
Traducido para blog de Segu-info por Raúl Batista
Autor: Dancho Danchev
Fuente: blogs.zdnet.com/security/

Vea también
Campaña masiva de sitios e instaladores falsos en español

Aunque no lo he sufrido de cerca, creo interesante sacar conclusiones y plantearse algunas preguntas con respecto a estos casos que tanto ruido y daño causan: el invitado de hoy, “Conficker” o si prefieren “Downadup”, en dos sabores: A suave o sabor B picante.

Bromas aparte, este gusano sin duda se ganó un lugar en la historia del malware, en la lista de los “grandes”: Slammer, Blaster, Sasser, CodeRed, Conficker.

En el blog de TrendLAbs, Robert McArdle escribe:

“¿Entonces porque es tan exitoso este gusano? Simple – políticas de seguridad pobres.”

Coincido con él, pero leyendo todo lo que se sabe él mismo comenta que no hay nada nuevo o sorprendente en como logró ser exitoso.

Y repasando una de las exitosas vías de propagación tenemos a la falta de actualización, la demora en aplicar parches al SO.

Veamos entonces la lista de algunos “grandes” y repasemos estos datos:

En 2001 CodeRed, aprovecha la vulnerabilidad del boletín MS01-033, un mes después del parche.
En 2002 Slammer, aprovecha la vulnerabilidad del boletín MS02-039, seis meses después del parche.
En 2003 Blaster, aprovecha la vulnerabilidad del boletin MS03-026, un mes después del parche.
En 2004 Sasser, aprovecha la vulnerabilidad del boletín MS04-011, 18 días después que salio el parche.
En 2005 Zotob, su primera versión comenzó a reproducirse apenas 4 días después de que Microsoft liberara la actualización MS05-039 necesario para corregir la vulnerabilidad explotada por el gusano, no dando tiempo a usuarios y administradores para actualizar sus sistemas.

Y ahora otra vez:

Conficker, aprovecha la vulnerabilidad del boletín MS08-067, un mes (variante A) y dos meses (variante B) después que salió el parche.

Entonces ¿qué hemos aprendido desde el 2001? A juzgar por los casi 9 millones de máquinas infectadas por Conficker (según F-Secure) parece que nada o muy poco.

Pero ¿cuál es la justificación para no aplicar un parche cuando sale? ¿Porque “rompe” algo?

Bien, es cierto. Cada vez que introducimos un cambio en un sistema, es probable que, aún habiendo planificado y hecho todo conscientemente, haya un problema. Esto es conocido, lo asumimos y nos preparamos. Gestión de cambios.

Nadie deja de actualizar las versiones de sus programas de ventas, de stock, de sistemas de producción, su procesador de palabras, o su ERP por temor a que algo falle. Sencillamente paga el precio de hacer el proceso de forma controlada y segura. Seguro no significa sin fallas, significas estar preparado por si algo falla. Con resguardos.

Entonces con los parches del SO (y otras piezas de software), ¿porqué nos demoramos si sabemos a ciencia cierta que muy probablemente algo malo nos va a pasar.?

¿No es preferible programar el día, prepararse para “romper” algo, antes que sufrir la interrupción del funcionamiento de la organización, sin aviso previo, a causa de un gusano de los “grandes” en medio de un día de trabajo, o peor, un viernes por la tarde?

Estoy seguro que muchas organizaciones han aprendido la lección hace tiempo. Pero me sorprende escuchar nombres de bancos (supuestamente sometidos a fuertes regulaciones), y corporaciones (con gruesos presupuestos de TI) sufriendo este tipo de problemas.

No hago ningún pronóstico, sólo espero que estas líneas contribuyan a mantenernos más despiertos. La seguridad es un proceso continuo, no un producto que se instala y queda funcionando.

Raúl

Redacción de Segu-info

Según un informe de Symantec, el Downadup.A y B (Conficker) es uno de los gusanos más prolíficos de los últimos años.

Pueden monitorearlo (como lo hace F-Secure) registrando en forma adelantada dominios a los que el gusano se conectará y así puede poner un servidor para observar datos que el gusano envía como la dirección IP y una variable que según dicen, indica cuantas máquinas infectó la PC que se conecta al sitio.

Por las direcciones IP, Symantec estableció los países más afectados:

“La información de la dirección IP nos muestra que China y Argentina son por lejos las áreas más infectadas. Tanto Asia como Sudamérica con las principales áreas de infección. En total hemos observado más de tres millones de direcciones IP únicas infectadas con el w32.Downadup.A.”

Además mismo el informe plantea un punto de vista distinto a la manera de evaluar la cantidad de maquinas infectadas, que en base a estimaciones de F-Secure se ha difundido, aunque si aludir directamente a esa empresa competidora en su rubro:

“El valor de q= es más interesante para nosotros con el propósito de identificar infecciones agresivas y potencialmente de largo plazo. Las primeras nos permiten identificar redes internas grandes y vulnerables. Las segundas nos permiten especular (aunque tentativamente) sobre los posibles puntos de inicio de una infección. Originalmente creíamos que este campo podría ser valiosos para calcular el total de infecciones, sin embargo creemos que esto es inexacto…”

Redacción de Segu-info

Se trata de un tipo de gusano muy similar a los utilizados hace años y que causaron grandes epidemias como “I love you”, “Melissa”, etc. Al igual que aquellos, este gusano busca infectar el mayor número de computadores posible y tan sólo cambia que aquellos gusanos infectaban los disquetes para propagarse y este, más actual, infecta dispositivos USB.

Conficker, una nueva familia de gusanos informáticos, ha infectado miles de computadores en todo el mundo. PandaLabs ha localizado tres variantes de este código malicioso (Conficker.A, B y C). Las primeras infecciones de este gusano se produjeron a finales de noviembre, aunque ha sido después de las vacaciones navideñas cuando se ha producido un importante aumento en su actividad.

Este gusano está aprovechando una vulnerabilidad de Microsoft Windows, concretamente la denominada MS08-067, para propagarse. Esta vulnerabilidad, además de permitir al gusano entrar en el equipo, permite al atacante realizar diversas acciones en el computador infectado pudiendo, incluso, llegar a tomar el control del mismo. Este gusano también se propaga a través de dispositivos USB como llaves de memoria o reproductores MP3.

Para aumentar su peligrosidad, este gusano se actualiza cada día descargando nuevas versiones de sí mismo en los equipos infectados desde páginas web cuya URL cambia continuamente, lo que hace más difícil bloquearlo. Así mismo, algunas variantes están diseñadas para descargar otros ejemplares de malware en los computadores afectados. Esto parece indicar que el gusano se está preparando para llevar a cabo un importante ataque en los computadores e infectarlos con nuevos ejemplares de malware.

“Lo más probable es que los ciberdelincuentes busquen descargar en los equipos, una vez tengan infectados un gran número de ellos, códigos maliciosos que les permitan obtener algún tipo de beneficio económico como, por ejemplo, troyanos diseñados para robar contraseñas bancarias o falsos antivirus que se promocionen en los computadores mediante pop-ups haciendo casi imposible el uso de la máquina hasta que el usuario los compre”, explica Luis Corrons, director técnico de PandaLabs.

Fuente: http://www.diarioti.com/gate/n.php?id=20942