Monthly Archives: May 2008

Consejos de seguridad con movil-celular

Posted on by
Reply

# Desactive el bluetooth o infrarrojos mientras no los vaya a utilizar.

# Configure el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes.

# No acepte conexiones de dispositivos que no conozca para evitar transferencias de contenidos no deseados.

# Instale un antivirus y manténgalo actualizado para protegerse frente al código malicioso.

# Ignore / borre SMS o MMS de origen desconocido que inducen a descargas o accesos a sitios potencialmente peligrosos.

# Active el acceso mediante PIN (al bluetooth y al móvil) para que sólo quién conozca este código pueda acceder a las funcionalidades del dispositivo.

# Bloquee la tarjeta SIM en caso de pérdida para evitar que terceros carguen gastos a su cuenta.

# No descargue software de sitios poco fiables o sospechosos para impedir la entrada por esta vía de códigos potencialmente maliciosos.

# Lea los acuerdos de usuario del Sw que instala por si se advierte de la instalación de componentes no deseados (software espía).

Fuente: http://www.jbex.net/consejos-de-seguridad-con-movil-celular.html

El spam, Google, los videos y el malware

Posted on by
Reply

Con IS de VirusAttack lo venimos diciendo desde hace tiempo pero parece que la gente de Google está bastante ocupada ultimamente como para prestarle atención a los latinoamericanos.
El resumen es que los buscadores pueden ser utilizados para descargar malware e infectar usuarios.

Hoy he vuelto a recibir un spam bastante curioso utilizando esta técnica pero lo más llamativo de la ultima semana en este contexto es que ya no se dirige al usuario a un archivo ejecutable (exe, como, tif, etc) sino a un script en PHP que hace parecer más inocente la URL.

Esta misma técnica fue utilizada ayer por el phishing de la empresa Claro y hoy en este correo:
Como puede verse se utiliza a Google para redireccionar al usuario a una URL con un script en PHP que no hace sospechar a los usuarios.

El script mencionado muestra al usuario una página con un supuesto video que en realidad sólo es parte del engaño:
Lo cierto es que ese PHP termina descargando automáticamente un archivo ejecutable a través de la etiqueta META de HTML de la siguiente forma:
Lo que permite esta sencilla técnica, cada vez más normal ultimamente, es que funcione en cualquier navegador y el archivo se descargue sin inconvenientes y sin intervención del usuario.

Eurocopa 2008 en la mira de los cibercriminales

Posted on by
Reply

Los eventos internacionales atraen en masa a los ciberdelincuentes, ya que suelen reportarles grandes ganancias.

Las selecciones nacionales ya están en la fase de preparación y los hinchas llevan tiempo esperando el comienzo de la Eurocopa. No obstante, sin ser detectados por el público, los cibercriminales hace ya tiempo que terminaron su particular “pretemporada” y ya están listos para el evento. Su objetivo son los PCs y los archivos de los aficionados.

Particularmente peligrosos resultan los correos basura personalizados que ofrecen entradas para los partidos, videos exclusivos o calendarios de las jornadas de la Eurocopa 2008, y de hecho los primeros ataques a las comunidades y portales de aficionados ya han tenido lugar. Los sitios web hackeados se utilizan para almacenar en su interior código malicioso, que se autoinstala sin ser detectado por las víctimas mediante descargas dirigidas.

“Los grandes eventos deportivos resultan muy tentadores para los cibercriminales; muchos seguidores no consiguieron entradas para la Eurocopa 2008, y ellos lo saben. Los laboratorios de seguridad de G Data ya han detectado la existencia de los primeros correos basura de este tipo, y a medida que se acerca la fecha de comienzo, mayor será la avalancha de spam ofreciendo comprar entradas. En este caso, los atacantes van por los hinchas y sus datos personales, como la información de tarjetas de crédito o de cuentas de correo”.

En consecuencia, los receptores deben borrar de inmediato los correos electrónicos no solicitados, evitando asimismo hacer click en cualquier enlace que incorporen bajo cualquier circunstancia.

Fuente: http://www.diarioti.com/gate/n.php?id=17662

Ejecución remota de código a través imágenes JPEG y GIF en Windows CE

Posted on by
Reply

Se han encontrado múltiples vulnerabilidades en Microsoft Windows CE 5.0 que podrían ser aprovechadas por un atacante local o remoto para causar una denegación de servicio y ejecutar código arbitrario, y hasta comprometer por completo un sistema vulnerable.

Windows CE (o Windows CE Embedded) es un sistema operativo modular y de tiempo real diseñado por Microsoft para dispositivos móviles de 32 bits. Tiene soporte para múltiples arquitecturas de CPU e incluye opciones para comunicaciones y redes.

Existen múltiples plataformas basadas en el core de Windows CE 5.0, como puede ser Windows Mobile, cuya versión actual es la 6.1 y que se viene integrando en diversos modelos de agendas electrónicas (PDAs) y
teléfonos inteligentes (smartphones).

Una de las mayores diferencias entre Windows CE y el resto de sistemas operativos de Microsoft, es que gran parte de su código fuente está disponible de forma pública bajo licencia Shared Source, la cual permite al usuario final modificar el código sin notificar al propietario. Windows CE tiene sus propias APIs para desarrollo, y necesita sus propios drivers para el hardware con el cual va a interactuar. Ahí es donde interviene Platform Builder, la herramienta usada para la programación del propio entorno del SO, de los drivers y también de las aplicaciones, y en la que se tiene disponible buena parte del código fuente de Windows CE.

Las vulnerabilidades detectadas están causadas por errores no especificados en la interfaz de dispositivo gráfico de Windows CE (GDI+) al procesar imágenes JPEG y GIF mal formadas. Esto podría ser aprovechado por un atacante remoto para tomar el control sobre un sistema vulnerable si un usuario abre una imagen especialmente manipulada, que podría estar contenida en una página web.

No es la primera vez que se encuentran vulnerabilidades de este tipo en sistemas operativos del fabricante de Redmond. Microsoft ha dedicado varios boletines a solventar problemas en su motor de representación de gráficos (GDI), dos ordinarios: MS08-021 publicado en Abril de 2008, y MS07-046 en Agosto de 2007. Además de otro de carácter extraordinario MS07-017 publicado a principios de Abril del año pasado fuera del ciclo normal de actualizaciones.

Desde Microsoft se recomienda a fabricantes y desarrolladores aplicar la actualización Windows CE 5.0 Platform Builder Monthly Update (February 2008) lo antes posible, y después recompilar el sistema operativo para obtener una nueva versión no vulnerable al fallo de seguridad.

Los usuarios finales que dispongan de dispositivos basados en Windows CE 5.0, deberán esperar a que los fabricantes lancen una actualización para el sistema operativo o el firmware del dispositivo afectado, y actualizarlo lo antes posible una que vez la versión parcheada esté disponible desde su página web.

Fuente : http://www.hispasec.com/unaaldia/3493

Zango, Storm y AdPack: cuando el río suena

Posted on by
Reply

Desde hace varios años, existe una compañía llamada ahora Zango (antes conocida como 180solutions o Hotbar) que tiene una dudosa relación con la instalación de spyware o cualquier tipo de código malicioso. Realmente Zango ofrece juegos, videos y todo tipo de contenido a cambio de instalarte un programa que te muestra anuncios cada cierto tiempo (adware).

Si buscamos en Google sobre Zango, pronto encontraremos muchos enlaces donde la gente se queja de lo que instala Zango, pero siempre Zango se defiende diciendo que lo que hace es totalmente legal. Legal o no, algo pasa puesto que muchas casas de antispyware o antivirus lo detectan como posiblemente peligroso, aunque Zango incluso denunció a alguna de ellas por este motivo (aunque luego quitó la denuncia).

“I really don’t know what to say. It’s astonishing how people’s perceptions of Zango continue to be informed by this sort of post. How exactly does this constitute evidence that Zango is untrustworthy?”

Lo interesante del tema es que hace unos días, la unidad de e-crime de S21sec encontró un nuevo kit de infección llamado AdPack (similar a MPack, IcePack, FirePack, GPack, …) que incluía un fichero llamado zango.php. Este fichero realmente lo que hace es intentar explotar una vulnerabilidad en la toolbar que instala Zango, con lo que realmente utilizan Zango para instalar otro tipo de malware: algo malicioso (AdPack) utiliza algo supuestamente malicioso (Zango) para instalar otro tipo de programas maliciosos (generalmente Bancos o InfoStealer).

Además, también se comenta que las últimas versiones de Storm, también intentan explotar las vulnerabilidades de la toolbar de Zango en las páginas que crea, utilizando drive-by exploits. Algunos se atreven a comentar la relación de Zango con Storm, pero yo creo que es ir demasiado lejos, y es simplemente una explotación más en un software vulnerable (aunque ese software sea posiblemente malicioso). De todas formas, no es la primera vez que este tipo de cosas ocurren, ¿se os ocurre alguna?
David Barroso

S21sec e-crime

Fuente: http://blog.s21sec.com/2008/05/zango-storm-y-adpack-cuando-el-ro-suena.html