La aplicación de robo de contraseñas, que se hace pasar por un plugin de Firefox, filtra las credenciales de registro enviadas.

BitDefender hace público el descubrimiento de un nuevo tipo de aplicación en activo de robo de contraseñas que se hace pasar por un plugin de Mozilla Firefox. El malware, Trojan.PWS.ChromeInject.A, se descarga en la carpeta de Pluging de Mozilla Firefox y se ejecuta cada vez que el usuario abre dicho navegador.

Trojan.PWS.ChromeInject.A actúa filtrando los datos enviados por el usuario en más de 100 sitios web de compra o banca online. Entre las webs afectadas se encuentran: bankofamerica.com, chase.com, halifax-online.co.uk, wachovia.com, paypal.com y e-gold.com.

Aquellos usuarios infectados con el Trojan.PWS.ChromeInject.A envían sus credenciales de acceso a una dirección web similar. Tanto el dominio como el servidor de hosting están localizados en Rusia, lo que da indicios del punto de origen de la amenaza.

Fuente: http://www.diarioti.com/gate/n.php?id=20660

Sinowal.FY está diseñado para cifrar los datos del computador, y exigir un pago al usuario.

PandaLabs descubrió un nuevo ejemplar de malware secuestrador o ransomware: Sinowal.FY. Este código malicioso cifra los archivos del usuario para que no pueda acceder a su contenido, y exige un pago a cambio de proporcionarle una herramienta con la que descifrar esos archivos y la clave de cifrado.
Cuando Sinowal.FY se instala en el sistema, procede a cifrar todos los documentos del disco duro. Además, crea un archivo llamado “read_me.txt” que contiene las demandas del secuestrador. Concretamente, incluye un texto en el que exige un rescate de US$300 a cambio de la liberación de los archivos.

“Este troyano pertenece a la familia Synowal, que tradicionalmente se ha dedicado al robo de contraseñas y datos bancarios. En el caso de esta variante, no se contenta sólo con esto, sino que, además, acude al chantaje cifrando la información del usuario de forma que no se pueda acceder a ella. Es un ejemplo de cómo los creadores de malware intentan sacar más beneficio con un único ejemplar de malware”, comenta Luis Corrons, Director Técnico de PandaLabs.

Además, para acelerar el pago del rescate, el texto pone una fecha límite para realizar el pago, o de lo contrario, amenaza con que todos los datos se perderían, aunque esto en realidad, no es cierto, ya que el contenido cifrado permanece en el PC.

Este tipo de secuestro no es nuevo. La familia de troyanos PGPCoder ya es veterana en el mundo del ransomware, perfeccionando sus técnicas de cifrado cada vez más para que resulte más difícil su descifrado. Otro malware, Ransom.A, amenazaba con borrar un archivo cada 30 minutos, aunque fijaba como rescate una suma bastante más inferior, US$10,99. El caso más curioso fue el de Arhiveus.A, que no pedía al usuario dinero, sino que comprara algún producto de cierta farmacia on line.

Lo más importante para contener infecciones de este tipo es contar con una buena solución preventiva que impida el acceso de este u otros códigos maliciosos en el computador. Además, los usuarios que deseen comprobar si algún código malicioso ha atacado su equipo pueden utilizar, de manera completamente gratuita, las soluciones online TotalScan o NanoScan beta, que se encuentran disponibles en la dirección http://www.infectedornot.com.

Fuente: http://www.identidadrobada.com/site/nota.php?idNota=2109

Panda Security ha detectado un falso correo que simulando ser una promoción de Navidad procedente de McDonald´s es en realidad un cebo para distribuir el gusano P2PShared.U.

El asunto del correo es:”Mcdonalds wishes you Merry Christmas!” (McDonald´s te desea Feliz Navidad). En el cuerpo del mensaje puede leerse lo siguiente:

“McDonald’s is proud to present our latest discount menu.
Simply print the coupon from this Email and head to your local McDonald’s for FREE giveaways and AWESOME savings.”

(McDonald´s se enorgullece de presentar nuestro último menú descuento.
Simplemente imprime el cupón de este email y ve a tu local McDonald´s para conseguir regalos gratis y ahorrar dinero).

Para dar más validez a los mensajes, la dirección desde la que se envía tiene el dominio “mcdonalds.com”. Además, el mail cuenta con un menú desplegable que da la opción de elegir el país en el que se va a disfrutar de la supuesta promoción, algo muy adecuado si se quiere hacer creer que el mail procede de una multinacional como McDonald´s.

Existe otra variante de correo electrónico utilizada por este código malicioso para distribuirse. En este segundo caso, el asunto es “You have recieved a Hallmark E-Card from your friend” (Has recibido una E-tarjeta Hallmark de tu amigo).

En el cuerpo del mensaje, de nuevo, se incita al usuario a descargarse y ejecutar el archivo adjunto en el email, con la excusa, esta vez, de que así podrá ver la tarjeta que le han enviado.

En ambos casos, si el usuario hace caso al email y descarga el supuesto cupón, e intenta abrirlo, en realidad, estará ejecutando una copia del gusano P2PShared.U que se instalará en su ordenador.

“Se trata de correos que hacen uso de la ingeniería social de formas muy distintas. Un primer cebo, presente en ambos emails, es el asunto, relacionado con la Navidad, algo muy presente en esta época y que ayuda a que los usuarios presten más atención al email. Pero, además, hay un segundo caso de ingeniería social y es la crisis. Aprovechando la crisis económica, los ciberdelincuentes invitan a descargarse un cupón con el que podrán conseguir regalos y ahorrar dinero en sus menús, un reclamo muy efectivo”, explica Luis Corrons, director técnico de PandaLabs.

Una vez en el ordenador, este gusano enviará nuevos mails a otros usuarios con el mismo asunto y la misma apariencia.

Además, se copiará en la carpeta de archivos compartidos de varios programas P2P (programas como el eMule, LimeWire, morpheus, etc.) con nombres atractivos y de distinto tipo desde software de seguridad, programas de edición de imagen, cracks de programas, etc. De esta manera, cuando un usuario crea estar descargando alguno de estos programas a través de una de estas redes, en realidad, se estará descargando una copia del gusano.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=2114

Un solo equipo contamina una LAN completa

Investigadores han identificado un nuevo troyano que puede interferir con una amplia gama de dispositivos en una red local, con un exploit que les envía para falsear sitios web aún si se tratan de máquinas aseguradas, completamente emparchadas o que corran sistemas operativos no Windows.

El malware es una nueva variante del DNSChanger, un troyano ampliamente conocido por cambiar los ajustes de sistema DNS de equipos tipo PC y Mac. Según los investigadores de los Avert Labs de McAfee, la versión actualizada del troyano permite que una sola máquina infectada contamine los ajustes de DNS de, potencialmente, cientos de otros dispositivos corriendo en la misma red de área local saboteando el protocolo DHCP, que asigna direcciones IP dinámicamente.

“Sistemas que no están infectados con el malware pueden incluso tener la carga de comunicarse con servidores DNS falsos que se les envió,” escribe Craig Schmugar de McAfee sobre esta nueva variante. “Consigue esto sin explotar ninguna vulnerabilidad de seguridad.”

El escenario funciona aproximadamente así:

• Jill conecta una PC infectada con la nueva variante de DNSChanger a un acceso WiFi en un ciber-café o a las red de su trabajo..
• Steve se conecta a la misma red usando un equipo Linux completamente emparchado, el cual solicita una dirección IP.
• La PC de Jill injecta un comando de ofrecimiento DHCP para indicarle a la computadora de Steve que rutee todas las consultas DNS a través de un servidor DNS con una trampa.
• El equipo Linux de Steve ya no es más confiable en que visite sitios web autoritativos. Aunque la barra de direcciones en su navegador puede mostrar que está accediendo a bankofamerica.com, el estará de hecho en un sitio web impostor.

La única manera en que un usuario podría saber que está frente a este ataque es verificando manualmente que servidor DNS está usando su computadora. (por ejemplo escribiendo el comando “ipconfig /all” en la línea de comandos en Windows). Hay varias contramedidas que podría usar un usuario, dice Schmugar, la más sencilla es estableciendo un valor fijo para el servidor DNS en las configuraciones de red de su máquina.

(En Windows, se puede hacer esto yendo a Inicio, Panel de Control, Conexiones de Red, propiedades de Conexión de Área Local, Propiedades, ir hasta protocolo TCP/IP, propiedades y escribir el servidor primario y secundario para su servicio DNS. Nosotros tenemos debilidad por OpenDNS, cuyos valores son 208.67.222.222 y 208.67.220.220)

En una entrevista, Schugar dijo que el ataque DHCP no explota una vulnerabilidad ni en la maquina cliente ni en el hardware de la red, permitiendo que funcione en una amplia gama de routers hogareños y de empresa. Involucra el driver ndisprot.sys que se instala en la computadora infectada. Una vez allí, monitorea el tráfico de pedidos DHCP y responde con ofrecimientos falsos que contienen la dirección IP de un servidor DNS pirata.

Ya se ha visto al DNSChanger explotando debilidades de los routers cambiando la configuración DNS, pero la habilidad de envenenar las conexiones DHCP de otras máquinas parece ser nueva, dijo Eric Sites, vicepresidente de Sunbelt Software. Por el momento, la nueva variante no parece estar circulando masivamente, pero la perspectiva de una troyano que puede envenenar las conexiones DHCP de otras maquinas sugiere que vale la pena vigilarlo. ®

Traducido para el blog de Segu-info por Raúl Batista.
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/05/new_dnschanger_hijacks/
www.avertlabs.com
isc.sans.org
www.symantec.com