Psss!!!... Señores mandatarios de por estas partes, saquenle punta al lápiz y tomen nota, cosa de imitar aunque más no sea:La Unión Europea aprobó ayer una rebaja de precios de hasta el 70% en las llamadas de teléfono móvil en "roaming" entre los países europeos, y advirtió a las compañías operadoras que su propósito es bajar las tarifas de los mensajes de texto (SMS) y el acceso a Internet.///(Mouse/EFE)
No se hagan los distraídos como perro que volteó la olla.
Nota recibida por correo-e desde Hispasec - una al díaYa hemos advertido que el spam es, en la mayoría de las ocasiones, el comienzo del ciclo del malware, y que desde hace tiempo ya no es solo un fin sino además un medio de realimentar la cadena. Estamos hartos de ver correos que llegan con adjuntos y por ese preciso motivo su efectividad a la hora de infectar ha caído. La industria del malware busca nuevas vías, aprovechando al máximo el spam. Analizamos una muestra.
"Rebuscando en la basura", hemos descubierto en el Laboratorio que últimamente se estila más de lo habitual el correo basura en los que se agrupan varios vectores de ataque. Por un lado, intenta estafar con productos "típicos" (como píldoras, hierbas y créditos) y por otro, si
no interesa comprar, procura que la víctima descargue un ejecutable. No viene adjunto, sino que indica una URL desde donde obtenerlo. Esta nueva estrategia está destinada a eludir las fuertes restricciones de seguridad que ya casi todos los administradores implementan en su correo. Las heurísticas paranoicas que impiden cualquier proliferación de ejecutables y otras extensiones peligrosas adjuntas en los correos, han hecho que la industria del malware se mueva hacia la descarga voluntaria a través de la web. Por supuesto, convenciendo al usuario a través de una "sofisticada" ingeniería social.
El correo comienza con el "anuncio" en sí que invita a la descarga. Para evitar que este mismo texto que escribo sea interceptado por los procesos antispam, traduciré brevemente el correo:
* ¿Has visto el programa que permite localizar al dueño de cualquier móvil a través del satélite? ¡Es un programa fantástico! Puedes probarlo, es fácil. Ejecútalo, introduces el número del teléfono de la persona a localizar y ya está. Copia este enlace en tu navegador y descarga el programa http://XXXXXXXX.info/locator.exe
La URL está ofuscada, no así el dominio de primer nivel ni el nombre del programa. A continuación en el correo, bien incrustado en imagen o en texto claro, se intenta vender el crédito o la píldora milagrosa de turno, como de costumbre. El texto reproducido permanece invariable en la mayoría del spam recibido.
Aquí se puede encontrar una imagen:
http://www.hispasec.com/images/unaaldia/ecbasura.png
En Hispasec hemos descargado y analizado el malware (sigue a día de hoy perfectamente accesible a través de la web) y los resultados proporcionados por VirusTotal.com a fecha de 5 de junio de 2007, a las 15:00 hora española son:
Spambot.BXN.1 (AntiVir), GenPack:Trojan.Spambot.BXN (BitDefender),
Suspicious – DNA (QuickHeal), Trojan.Spambot (DrWeb), Suspicious
Trojan/Worm (eSafe), suspicious (Fortinet),
Trojan-Downloader.Win32.Small.cyn (Ikarus), probably a variant of
Win32/TrojanProxy.Cimuz.NAF (NOD32v2), Mal/AvPak (Sophos),
Trojan.DR.Cimuz.Gen.1 (VirusBuster), Trojan.Spambot.BXN.1
(Webwasher-Gateway).
En total, 11 motores lo detectan (poco más de un tercio), la mayoría por heurística. Una vez infectado, el malware se dedica a controlar la máquina para que envíe más spam, recibiendo instrucciones de un servidor ruso y ayudándose de conocidos servicios de correo online. También
intenta crear hilos con más basura en foros phpBB. Se instala como DLL incrustada, lo que dificulta su detección, no hay proceso ni servicio visible y además se autoborra una vez ejecutado.
Este troyano no está especialmente difundido ni se trata de un caso excepcional. Es sólo un ejemplo de las nuevas técnicas (desde el adjunto a la web) de eludir protecciones de seguridad y de exprimir al máximo el spam con un doble mensaje con el que cazar a más perfiles de víctimas:
"Si no eres potencial cliente para comprar píldoras o pedir un crédito, seguro que quieres localizar a alguien a través de su móvil", además de eludir así los filtros de correo. Ingenioso.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3148/comentar
Sergio de los Santos
ssantos@hispasec.com
---.---
Hoy fue uno de esos días que uno no se despierta plenamente, no se si me hago entender. Son como cuando sólo te funcionan tres neuronas y una está en corto. Todas las demás estan en reposo.Ayer terminé el día muy cansado después de enterarme, en la reunión del foro de seguridad del barrio, sobre como van los reclamos por una mejor calidad institucional en el ámbito del Consejo Consultivo de Seguridad de la Ciudad. Bueno la cuestión fue que, si bien me acosté no tan tarde y dormí de un saque hasta la hora acostumbrada, esta madrugada me levanté en piloto automático y así anduve todo el día. Menos mal que tenía el café oficinero a mano, cada tanto recurría a él para retomar el control manual.
“Si tú tienes una manzana y yo tengo una manzana, e intercambiamos manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tenemos dos ideas”. (Bernard Shaw)
Lawrence Lessig, abogado y profesor de Derecho en la Universidad de Stanford, es el fundador de la organización Creative Commons, que pretende reducir las barreras legales de la creatividad por medio de nueva legislación y de las nuevas tecnologías....(Administraciones en Red).Leer más...
Kriptópolis publica que:"Aunque en un principio Window Snyder concedió un nivel de peligrosidad "bajo" a los dos últimos bugs de Firefox reportados por Zalewski, pocas horas después ha publicado una actualización a su post inicial, donde reconoce que ambos pueden ser usados conjuntamente por un atacante para obtener el acceso a cualquier fichero sobre el que el usuario tenga acceso. Como consecuencia, la clasificación de riesgo ha subido a "Medio". Zalewski se ha mostrado satisfecho con el cambio, aunque afirma que -con todo- el bug más peligroso es uno de los dos que señaló ayer en Explorer, y que -por cierto- se acaba de confirmar que afecta también al navegador Safari de Apple"...Leer más...
Directivas y regulaciones sobre comercio electrónico en el Reino Unido, lean el post que ha publicado Spy Blog.Otra más de la Cyberwar.
No se pierdan la crónica que está publicando Marta Salazar en su blog Alemania, Economía, Sociedad y Derecho. "No se trata de oponerse, de manifestarse en contra, se trata de impedir que la cumbre se realice...".Ufff!!! Increíble, parece que los violentos y salvajes están en todos lados.