viernes, 25 de noviembre de 2011

Falsa noticia de la muerte del ex presidente Alberto Fujimori se reproduce por correo electronico

Propagar malware utilizando como medio el correo electrónico  no requiere mucho conocimiento de programación, ya que con un simple correo simulando ser una noticia polémica de ultimo minuto el equipo del usuario puede infectarse con un nuevo software malicioso.
En este caso está circulando un correo electrónico falso con la noticia de la muerte de un ex presidente del Perú, aquí una imagen del correo:


Si el usuario pulsa cualquier enlace que contenga el correo, se descarga en el equipo un archivo, que no corresponde a ningún vídeo, sino el malware de nombre:


video.exe [MD5]69EA53BE6415590BD4F778AA255D426B

Está programado en Microsoft Visual C# / Basic .NET y solamente se ejecuta en los Sistemas Operativos Windows7(32 y 64bits),Vista(
32 y 64bits),Windows Server 2008(32 y 64bits), Windows Server 2008 R2(32 y 64bits)

Cuando el malware se ejecuta se copia a si mismo dentro de:

%windir/msnmsgr.exe







Nota:

%windir% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
Crea la siguiente entrada en el Registro de Windows:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Windows Live messenger----> %windir/msnmsgr.exe
Su rutina de descarga es conectarse a siguiente URL

http://watacgolf[Bloquedo]/images/DSC_8812.jpg







Se descarga el archivo con extensión de imagen ".jpg", pero en realidad modifica el archivo Hosts de windows que se encuentra en  C:\Windows\System32\Drivers\etc añadiendo los siguientes valores:

173.212.229.138  www.viabcp.com
173.212.229.138  viabcp.com
173.212.229.138  www.bn.com.pe           # x client host
173.212.229.138  bn.com.pe           # x client host


Para evitar infectarse con este tipo de malware se recomienda al usuario:

  • Tener instalado y actualizado The Hacker Anti-Malware en su equipo
  • Ignorar los mensajes de correo no solicitados, ya que es un canal donde se puede enfocar material ofensivo tanto ética y moralmente facilitando que el atacante infecte la mayor cantidad de equipos.
  • No intentar reproducir vídeos adjuntos en el cuerpo de los correos electrónicos.
  • Validar el dominio del correo electrónico y verificar que los enlaces correspondan con el dominio original.






martes, 22 de noviembre de 2011

Mas Phishing esta vez el Trojan/Troj.Qhost en Falso correo electrónico

El Trojan/Troj.Qhost se propaga por correo electrónico simulando pertenecer a un diario conocido del medio como se puede apreciar en la siguiente imagen:





Al hacer clic en el botón "Descargar" abre una ventana del explorador web y empieza a descargar un archivo ejecutable, siendo el mismo troyano, desde una determinada dirección web.

Cuando el archivo es descargado se guarda en el disco duro con el nombre:

Rosario_Video.exe -> MD5 {0512160EB47E5C2663E5C7475CE1C7BD}

Al hacer doble clic sobre el archivo crea una copia del mismo en la siguiente ruta:

[C:\Windows\System32\msnmsgr.exe]

Agrega la siguiente llave en el Editor de Registro para que cargue cada vez que inicia el sistema operativo.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[Windows Live messenger]
[C:\Windows\System32\msnmsgr.exe]

Una vez que el troyano está infectado en el equipo, procederá a editar el archivo hosts del sistema operativo con la siguiente información:

Hosts -> C:\Windows\System32\Drivers\etc\

173.212.229.138 viabcp.com
173.212.229.138 www.bn.com.pe
173.212.229.138 bn.com.pe

Además intentará conectarse remotamente con su creador y está a la espera de recibir ordenes para descargar otros tipos de malwares o sino para enviar información confidencial del equipo infectado. Y para que esto se lleve a cabo utiliza el protocolo TCP a través de los puertos 49218 y 49220 respectivamente.

La dirección donde intenta mantener conexión es:

http://cl67.justhost.com

Pero ya fue bloqueado o cancelado por el servicio de hosting.



Hacksoft recomienda lo siguiente:
  • The Hacker Anti-malware debe estar actualizado con el último registro de virus.
  • Su sistema operativo debe estar actualizado con los últimos parches de seguridad.
  • Su explorador web, como Firefox, Google Chrome, Internet Explorer o etc., deben estar actualizados por sus propios proveedores.
  • Sus contraseñas que utiliza para ingresar a su correo, red social, messenger, etc. , deben ser rígidos y no débiles. Es decir que exista una combinación entre letras y números por ejemplo. Y debe ser intransferible.
  • Evitar visitar páginas web de dudosa procedencia.
  • Evitar la descarga de archivos o supuestos programas de internet si no sabemos muy bien la confiabilidad de su origen.
  • Utilizar su dispositivo extraíble o memoria USB, en equipos que cuente con un software anti-malware debidamente actualizado.
  • Antes de explorar el contenido de su dispositivo extraíble o memoria USB, se recomienda abrir el programa The Hacker Anti-malware para que analice el dispositivo.
  • Evitar hacer clic en enlaces que se encuentran dentro de correos electrónicos si sabemos que es una información no solicitada. Con esto se previene las amenazas de malwares propagadas por internet, de páginas fraudulentas (phishing), etc.
  • Cuando realice transacciones bancarias por internet debe tomar en cuenta antes las recomendaciones emitidas por las entidades bancarias, con esto evitará robo de dinero o información.

lunes, 14 de noviembre de 2011

PHISHING: Correo electrónico falso de Banco peruano

PHISHING es la técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima (generalmente por medio de un mensaje electrónico fraudulento o falsificación de página Web).

Ejemplos de PHISHING en mensajes de correo electrónico 
que circulan  por Internet:



Imágenes de comparación de la Web de BCP:

Esta es una web falsa del Banco de Crédito no tiene certificado Digital y no es una web segura HTTPS.


Esta es la página  verdadera que tiene  certificado digital y es HTTPS que usa una combinación del protocolo HTTP y protocolos criptográficos. Se emplea para lograr conexiones más seguras en la WWW, generalmente para transacciones de pagos o cada vez que se intercambie información sensible (por ejemplo, claves) en Internet.




En los dos casos  a simple vista es difícil saber cuál es la verdadera página. Es por esos motivos que este tipo de ataques tienen mucha eficiencia.

Se les Recomienda:

  • Tener instalado y actualizado The Hacker Anti-Malware en su equipo.
  • Las entidades bancarias y financieras no solicitan datos confidenciales a través de este medio.
  • No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos.
  • Asegurarse de que la dirección del sitio web al cual se accede comience con el protocolo https.
  • Verificar el certificado digital de la pagina Web.
  • Validar la dirección de la pagina Web a donde se accede.

Nueva variante de malware de tipo Bancario que utiliza el phishing como método de propagación.

Como  ya es habitual  en nuestro laboratorio de Hacksoft recibimos  muchas muestras, esta es una captura del correo que ahora circula por Internet.
Descarga un archivo de nombre:

Video_postal.exe con [MD5] EFAEEFA9435AB95B209F47B69F002949

Una vez instalado modifica el archivo hosts   que se encuentra  en:  C:\WINDOWS\system32\drivers\etc

Añadiendo las entradas:

184.75.243.241 www.viabcp.com
184.75.243.241 viabcp.com
184.75.243.241 bcp.zonasegura.com
25.25.25.55 bcpzonasegura.viabcp.com

La finalidad del atacante es que usted pueda entrar a la pagina del Banco Peruano BCP y una vez su Equipo infectado nos muestra una  pagina web totalmente falsa así como muestra la imagen:


Si bien  la táctica para infectar los equipos es la misma, no necesariamente es el mismo Malware que se descarga utilizando metodos de polimorfismo, es decir, puede variar su código para que las firmas antivirus no puedan detectarlos.

Usted tiene que tener cuidado con estos correos ya que puede ser víctima de este engaño y tener problemas con sus cuentas bancarias.


Para evitar infectarse con este tipo de malware se recomienda al usuario: 

  • Tener instalado y actualizado The Hacker Anti-Malware en su equipo
  • Ignorar los mensajes de correo no solicitados, ya que es un canal donde se puede enfocar material ofensivo tanto ética y moralmente facilitando que el atacante infecte la mayor cantidad de equipos.
  • No intentar reproducir vídeos adjuntos en el cuerpo de los correos electrónicos.
  • Validar el dominio del correo electrónico y verificar que los enlaces correspondan con el dominio original.


sábado, 12 de noviembre de 2011

Falso correo erótico de Facebook

Cuando recibimos correos electrónicos que provienen de redes sociales como Facebook, Hi5, etc. es recomendable tomarnos un poco de tiempo y analizar el contenido del correo. En esta oportunidad se trata de un malware en un falso correo electrónico de Facebook que te invita a reproducir un video erótico. Es un atake de tipo phishing que pareciera ser simple pero en realidad suele tener un gran índice de efectividad.

Aquí una captura del correo que está circulando por internet:


          



























Al intentar reproducir el video adjunto en el cuerpo del correo descarga un archivo de nombre:

Facemail.exe con [MD5] 8D4D5220319D6BF80D18F85A7D26768B 

Para evitar infectarse con este tipo de malware se recomienda al usuario: 


  • Ignorar los mensajes de correo no solicitados, ya que es un canal donde se puede enfocar material ofensivo tanto ética y moralmente facilitando que el atacante infecte la mayor cantidad de equipos.
  • No intentar reproducir videos adjuntos en el cuerpo de los correos electrónicos.
  • Validar el dominio del correo electrónico y verificar que los enlaces correspondan con el dominio original.
  • Tener instalado y actualizado The Hacker Anti-Malware en su equipo. 

Nota: Si recibe cualquier tipo de estos correos electrónicos favor de reenviarlos inmediatamente al laboratorio Hacksoft virus@hacksoft.com.pe para analizarlos y darles una respuesta a la brevedad posible.


jueves, 10 de noviembre de 2011

Campaña de Phishing con el tema Ciro Castillo


El día de ayer comentamos en nuestra cuenta de Facebook y twitter  un caso semejante de Phishing. Y el día de hoy está circulando este e-mail con el asunto "Confirman asesinato de joven Ciro Castillo" que intenta captar la atención con el tema mediático de la muerte de Ciro Castillo.  Los desarrolladores de malware utilizan esta técnica de ingeniería social para  manipular al usuario con el fin de que este descargue el malware y así infectar la mayor cantidad de Equipos.

Aquí una imagen del  correo:






















Una vez ejecutado se inicia un proceso "csrcs.exe" y se conecta a distintos dominios para descargar más malware.











Se añaden las  llaves en el registro:



Una vez instalado modifica el archivo hosts   que se encuentra  en:  C:\WINDOWS\system32\drivers\etc

Añadiendo las entradas:


184.75.243.241 www.viabcp.com
184.75.243.241 viabcp.com
184.75.243.241 bcp.zonasegura.com
25.25.25.55 bcpzonasegura.viabcp.com


Además cabe mencionar que el equipo una vez infectado es probable que cuando intenten visitar paginas relacionadas al Banco BCP tengan problemas de acceso o su navegador los redireccione a una página falsa.


Atención: No se deje  engañar  por estos falsos correos y recomendamos no hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos de este tipo.
Recomendamos:

Para evitar infectarse con este tipo de malware se recomienda al usuario:

·     Tener instalado y actualizado The Hacker Anti-Malware en su equipo.

Nota: Si recibe cualquier tipo de estos correos electrónicos favor de reenviarnos inmediatamente al laboratorio Hacksoft virus@hacksoft.com.pe  para analizarlos y darles una respuesta a la brevedad  posible.




Cordialmente: