Ambos navegadores web emplean Google Safe Browsing, una característica que advierte a los usuarios sobre sitios de phishing y otros con malware. Sin embargo evitar este filtro en su navegador es fácil de lograr, aparentemente. Todo lo que se necesita es que un cibercriminal cree una dirección TinyURL que oculte la URL original, maliciosa. Entonces, en lugar de recibir el mensaje de advertencia “¡Sitio atacante reportado!”, los navegantes web confiados serán enviados directamente a la página web peligrosa al hacer clic en el vínculo.
En las pruebas, la razón por la cual TinyURL pudo ser usado de esta manera fue porque las páginas que enmascaran no eran a nivel de dominio, sino subpáginas de dominios marcados como “seguros”. Esto en realidad señala una debilidad en la característica de Safe Browsing y no un verdadero riesgo de seguridad del servicio TinyURL en sí mismo. Debido a que Safe Browsing solo califica los sitios a nivel de dominio, las subpáginas infectadas siempre serán calificadas como “no-maliciosas” en la medida que el dominio esté categorizado como “seguro”.

TinyURL no es el único servicio del cual se está abusando de esta manera. Otros servicios que acortan las direcciones URL mencionados en el artículo incluyen a bit.ly, w3t.org and is.gd. Sin embargo, durante su investigación, la firma encontró que bit.ly era usado por los mismos cibercriminales. Tanto TinyURL como bit.ly fueron notificados y los enlaces maliciosos fueron eliminados.

Traducido para blog de Segu-info por Raúl Batista
Autor: Sarah Perez

Fuente: www.readwriteweb.com

Demos un vistazo a la campaña de imitación de Download.com – imitación es una forma de halago – y discutamos una campaña separada que promete entregar copias gratuitas de las generalmente gratuitos, WinRAR y WinZip, manejada por el filiado de adware Zango.

Luego de buscar WinRAR, el aviso falso aparece al tope de los resultados de la búsqueda, con el sitio actualmente falso Download.com ubicado en dreamcentury .cn/winrar.htm. Luego de la ejecución, el WinRAR falso sienta las bases para la segunda parte de la estafa, ya que los usuarios afectados serán redirigidos periódicamente a sitios de falsos software de seguridad, urgiéndolos a realizar una acción y desinfectarse.

WinRAR también es imitado por otra campaña AdWords activa actualmente, próxima a WinZip, con la segunda campaña operada por la filial Zango, un conocido proveedor de adware. La campaña de Zango naturalmente no esta enviando ninguna copia de WinRAR ni de WinZip, en lugar de eso esta impulsando una copia de su barra de herramientas que se aprovecha de prácticas fraudulentas.

Los participantes en la filial de la red de Zango y del software de seguridad falso, están generando ganancias basadas en el número de instalaciones, con el modelo de la filial de altas tasas de pagos como el incentivo principal por la introducción de nuevas tácticas. Y mientras los Adwords de Google parecen ser parte de su presupuesto de publicidad en este caso, los avisos patrocinados son solo parte de la (fraudulenta) combinación de marketing, con técnicas de optimización de motor de búsqueda engañosas, como la táctica de preferencia para conseguir tráfico.
Traducido para blog de Segu-info por Raúl Batista
Autor: Dancho Danchev
Fuente: blogs.zdnet.com/security/

Vea también
Campaña masiva de sitios e instaladores falsos en español

Bromas aparte, este gusano sin duda se ganó un lugar en la historia del malware, en la lista de los “grandes”: Slammer, Blaster, Sasser, CodeRed, Conficker.

En el blog de TrendLAbs, Robert McArdle escribe:

“¿Entonces porque es tan exitoso este gusano? Simple – políticas de seguridad pobres.”

Coincido con él, pero leyendo todo lo que se sabe él mismo comenta que no hay nada nuevo o sorprendente en como logró ser exitoso.

Y repasando una de las exitosas vías de propagación tenemos a la falta de actualización, la demora en aplicar parches al SO.

Veamos entonces la lista de algunos “grandes” y repasemos estos datos:

En 2001 CodeRed, aprovecha la vulnerabilidad del boletín MS01-033, un mes después del parche.
En 2002 Slammer, aprovecha la vulnerabilidad del boletín MS02-039, seis meses después del parche.
En 2003 Blaster, aprovecha la vulnerabilidad del boletin MS03-026, un mes después del parche.
En 2004 Sasser, aprovecha la vulnerabilidad del boletín MS04-011, 18 días después que salio el parche.
En 2005 Zotob, su primera versión comenzó a reproducirse apenas 4 días después de que Microsoft liberara la actualización MS05-039 necesario para corregir la vulnerabilidad explotada por el gusano, no dando tiempo a usuarios y administradores para actualizar sus sistemas.

Y ahora otra vez:

Conficker, aprovecha la vulnerabilidad del boletín MS08-067, un mes (variante A) y dos meses (variante B) después que salió el parche.

Entonces ¿qué hemos aprendido desde el 2001? A juzgar por los casi 9 millones de máquinas infectadas por Conficker (según F-Secure) parece que nada o muy poco.

Pero ¿cuál es la justificación para no aplicar un parche cuando sale? ¿Porque “rompe” algo?

Bien, es cierto. Cada vez que introducimos un cambio en un sistema, es probable que, aún habiendo planificado y hecho todo conscientemente, haya un problema. Esto es conocido, lo asumimos y nos preparamos. Gestión de cambios.

Nadie deja de actualizar las versiones de sus programas de ventas, de stock, de sistemas de producción, su procesador de palabras, o su ERP por temor a que algo falle. Sencillamente paga el precio de hacer el proceso de forma controlada y segura. Seguro no significa sin fallas, significas estar preparado por si algo falla. Con resguardos.

Entonces con los parches del SO (y otras piezas de software), ¿porqué nos demoramos si sabemos a ciencia cierta que muy probablemente algo malo nos va a pasar.?

¿No es preferible programar el día, prepararse para “romper” algo, antes que sufrir la interrupción del funcionamiento de la organización, sin aviso previo, a causa de un gusano de los “grandes” en medio de un día de trabajo, o peor, un viernes por la tarde?

Estoy seguro que muchas organizaciones han aprendido la lección hace tiempo. Pero me sorprende escuchar nombres de bancos (supuestamente sometidos a fuertes regulaciones), y corporaciones (con gruesos presupuestos de TI) sufriendo este tipo de problemas.

No hago ningún pronóstico, sólo espero que estas líneas contribuyan a mantenernos más despiertos. La seguridad es un proceso continuo, no un producto que se instala y queda funcionando.

Raúl

Redacción de Segu-info

Pueden monitorearlo (como lo hace F-Secure) registrando en forma adelantada dominios a los que el gusano se conectará y así puede poner un servidor para observar datos que el gusano envía como la dirección IP y una variable que según dicen, indica cuantas máquinas infectó la PC que se conecta al sitio.

Por las direcciones IP, Symantec estableció los países más afectados:

“La información de la dirección IP nos muestra que China y Argentina son por lejos las áreas más infectadas. Tanto Asia como Sudamérica con las principales áreas de infección. En total hemos observado más de tres millones de direcciones IP únicas infectadas con el w32.Downadup.A.”

Además mismo el informe plantea un punto de vista distinto a la manera de evaluar la cantidad de maquinas infectadas, que en base a estimaciones de F-Secure se ha difundido, aunque si aludir directamente a esa empresa competidora en su rubro:

“El valor de q= es más interesante para nosotros con el propósito de identificar infecciones agresivas y potencialmente de largo plazo. Las primeras nos permiten identificar redes internas grandes y vulnerables. Las segundas nos permiten especular (aunque tentativamente) sobre los posibles puntos de inicio de una infección. Originalmente creíamos que este campo podría ser valiosos para calcular el total de infecciones, sin embargo creemos que esto es inexacto…”

Redacción de Segu-info

Conficker, una nueva familia de gusanos informáticos, ha infectado miles de computadores en todo el mundo. PandaLabs ha localizado tres variantes de este código malicioso (Conficker.A, B y C). Las primeras infecciones de este gusano se produjeron a finales de noviembre, aunque ha sido después de las vacaciones navideñas cuando se ha producido un importante aumento en su actividad.

Este gusano está aprovechando una vulnerabilidad de Microsoft Windows, concretamente la denominada MS08-067, para propagarse. Esta vulnerabilidad, además de permitir al gusano entrar en el equipo, permite al atacante realizar diversas acciones en el computador infectado pudiendo, incluso, llegar a tomar el control del mismo. Este gusano también se propaga a través de dispositivos USB como llaves de memoria o reproductores MP3.

Para aumentar su peligrosidad, este gusano se actualiza cada día descargando nuevas versiones de sí mismo en los equipos infectados desde páginas web cuya URL cambia continuamente, lo que hace más difícil bloquearlo. Así mismo, algunas variantes están diseñadas para descargar otros ejemplares de malware en los computadores afectados. Esto parece indicar que el gusano se está preparando para llevar a cabo un importante ataque en los computadores e infectarlos con nuevos ejemplares de malware.

“Lo más probable es que los ciberdelincuentes busquen descargar en los equipos, una vez tengan infectados un gran número de ellos, códigos maliciosos que les permitan obtener algún tipo de beneficio económico como, por ejemplo, troyanos diseñados para robar contraseñas bancarias o falsos antivirus que se promocionen en los computadores mediante pop-ups haciendo casi imposible el uso de la máquina hasta que el usuario los compre”, explica Luis Corrons, director técnico de PandaLabs.

Fuente: http://www.diarioti.com/gate/n.php?id=20942