Spam - Google calendar

Está claro que sólo es cuestión de tiempo que un sistema sea atacado. Ahora le toca al gigante Google, y su integración de gmail con los clientes de correo de Microsoft Outlook y Outlook Express.

El problema proviene al usar una técnica mediante la cual se adjunta correo electrónico no solicitado a un archivo en el formato de calendario de Gmail. De forma que se adjunta un recordatorio en el calendario de los clientes de correo.

Debido a que la integración del cliente de correo con g-mail incorpora “de serie” la modalidad de “agregar automáticamente invitaciones a mi calendario”, el fichero de correo no deseado es agregado directamente al calendario del usuario, incluso sin ser abierto.

La solución, muy sencilla, deshabilitar dicha opción por defecto para que no se incorporen los archivos de formato calendario automáticamente.

Más información aquí.

José María Arce Guillén
S21sec labs

Malwarez

Ya estamos acostumbrados a que en el diseño de sitemas informáticos y el comportamiento de programas informáticos se busque adaptar el mundo de la biología al mundo de la informática. Desde las redes de neuronas que intentan imitar la forma en la que funciona el cerebro, a técnicas que imitan el sistema inmunológico para combatir infecciones de virus 'artificiales' o mejor dicho, lo que hoy se conoce con el nombre de malware.

Pero quizá, aunque mucha gente veía un cierto paralelismo entre código de los programas malware y el ADN de un virus (biológico), parece que nadie se había planteado que, así como el ADN determina la estructura física del virus también el código del programa malware podría representar una estructura física (o almenos una representación visual) de dicho programa. Es decir, que se defina una representación visual del programa que dependa de cual sea el comportamiento que tenga el código malware al ejecutarlo.

Ha sido el arista gráfico rumano Alex Dragulescu el que recientemente nos ha sorprendido con su proyecto malwarez en el que ha creado diseños gráficos de malware tan famoso como Netsky, Storm o Agent.IL para una campaña publicitaria de la empresa MessageLabs basandose para ello en el código de los programas ejecutables.

Sin duda algo curioso, ¿quién iba a pensar que el temido malware podía pasar de infectar nuestros ordenadores a decorar la pared de la oficina?

Guzmán Santafé
S21sec labs

Afinando la puntería

Desde hace ya algún tiempo a nadie en su sano juicio se le ocurre abrir correos electrónicos ni visitar páginas de dudosa reputación. En primer lugar porque cada vez somos más desconfiados ante posibles situaciones de riesgo, y en segundo lugar porque muchas veces los correos que nos llegan tienen un formato estándar y es fácil adivinar qué correo puede ser maligno o su traducción es bastante deficiente, lo que nos alerta del peligro que conlleva.

Para tratar de paliar esta parte, los creadores de malware se dedican a contratar "traductores". Ya sabemos que no es nuevo este interés por mejorar las capacidades del malware en todos los aspectos. Lo que ahora les lleva a mejorar el lenguaje es el hecho de las posibilidades que ofrece, ya que aumenta la cantidad de personas que pueden caer en el engaño.

De momento la cosa mejora lentamente, pero es más que posible un aumento de spam o programas maliciosos en un perfecto idioma nativo de los posibles objetivos, y es que cada vez más el malware se hace sofisticado y esta es una de las ramas menos explotadas hasta ahora.

¿Se divisa a lo lejos la creación de malware personalizado para cada objetivo? ¿Qué dificultades supone eso ahora para los creadores de malware y qué inconvenientes para el futuro a la hora de acabar con ese malware?

Miguel López-Negrete
S21sec labs

Sentido Crítico

Este es uno de los sentidos, junto con el sentido común, que más valor tiene a la hora de evitar ser objeto de un hoax.

Estos son correos que difunden información falsa "pseudo-cientifica" sobre algún tema, lo que hace unos años era un rumor que se extiende lentamente, ahora es una avalancha que llega a oidos de todos en cuestion de dias o incluso horas. En esta era de internet, ademas de la velocidad de transmisión, el hoax o rumor cuenta con dos aliados que antaño no tenia:

a) Credibilidad: Todo lo que nos diga internet es cierto. Estamos tan acostumbrados a buscar información en internet que adjudicamos a todo lo que proceda de ella un nivel de veracidad superior al que nos dicta nuestros sentidos común y crítico u otras fuentes, p.ej. una enciplopedia o nuestro médico o profesor.
b) Exceso de desinformación: Este tipo de mensajes ya no nos habla de nuestra vecina o de cosas que conozcamos. Hablan de productos químicos, de descubrimientos científicos, de secuestros de personas en terceros paises, de oportunidades en bolsa; hay tantas cosas de las que no sabemos...

Cuando nos llega uno de estos mensajes, p. ej. diciendo que la Universidad de Miskatonik ha demostrado que tal producto de tal empresa tiene un compuesto cancerígeno, enseguida mandamos de nuevo el mensaje a todos nuestros contactos de internet para informarles. No nos paramos pensar en:
a) ¿Quién ha redactado esta información?
b) ¿Dónde puedo contrastar esta información?
c) ¿Quién se beneficia de esta información?
d) Si la noticia es cierta y tan grave, ¿Por qué no sale en prensa y televisión? ¿Y en las versiones digitales en la red?

Todas estas preguntas nos la plantea nuestro sentido crítico, ese mismo que nos hizo avanzar cuando estudiábamos, ¿por que esto es así y no de otra manera?.

¿Será este post cierto? ¿Te estoy engañando, manipulando?

¿Dónde puedo encontrar más información?

Eduardo Morrás González
S21SecLabs

New Pharming?

Está claro que cada día los usuarios e instituciones tratan de protegerse más ante posibles ataques de personas maliciosas. Pero a la vez que mejoran las medidas de protección también lo hace la agudeza del atacante.

¿Cómo podemos hacer un caso de phising sin inyectar nada en el ordenador del atacado y que sea efectivo? La respuesta a continuación.

La detección de cualquier archivo subido para su ejecución maliciosa dentro de un ordenador atacado será cuestión de tiempo que sea detectado por programas antivirus, firewalls de aplicación, etc. Entonces surge la necesidad de conseguir redirigir el tráfico del usuario en vez de a sitios seguros a sitios fraudulentos. Una opción sería el conocido como “pharming” que sería modificar las tablas de un DNS de Internet y cambiar el mapeo entre url e Ip. Así cualquier usuario que hiciera una consulta a dicho DNS comprometido obtendría una dirección IP fraudulenta. El problema consiste en que dichos DNS suelen estar bien protegidos, por lo que ya no podría darse este ataque. ¿Cómo solventamos el problema?

Fácil en vez de atacar servidores en Internet debidamente protegidos, ataquemos los “vulnerables” pequeños routers que tienen los usuarios finales en sus casas. Así aprovechándose de una vulnerabilidad en dichos dispositivos se consiguen manipular las entradas de DNS y se consigue la redirección deseada. Este ataque ha sido descubierto en postales Flash que aunque aparentemente son inofensivas, en background están intentando conectarse con las direcciones más típicas de estos routers para realizar un “pharming” en sus tablas DNS.

Moraleja, no te fíes de postales Spam y mantén siempre la alerta.

José María Arce Guillén
S21sec Labs

Sobre la información robada en Monster

Es ya público el robo de información en las páginas de Monster.com (original en Symantec, pero también comentado en otros medios como 20 Minutos, o la BBC). En realidad no se trata de una incursión en los servidores de Monster.com, sino de un troyano que captura las credenciales de acceso de los departamentos de RRHH a la hora de buscar candidatos en Monster.com.

Una vez conseguido el acceso, el troyano automáticamente es capaz de realizar búsquedas en el portal buscando cierto tipo de candidatos (por país o por tipo de trabajo), y guardar toda la información confidencial de los candidatos (como por ejemplo dirección de correo, teléfono, país, ...)

Un ejemplo de la información que captura es la siguiente (algunos datos han sido ocultados):

Michael XXX|45 Bell Road|Templeton, Massachusetts 01468|US|m.xxx@yahoo.com|Work Phone: 555-363-1267

¿Para qué utiliza estos datos? La respuesta es simple: para enviar SPAM. Con estos datos es capaz de enviar SPAM personalizado para hacerlo más creíble. El asunto del correo puede ser uno de los siguientes:

%realname%, Monster.com have the new job for you
Monster.com have the new job for You, %realname%
%realname%, Monster.com suggests You the new job for you
Monster.com suggests You the new job for you, %realname%

donde sustituye %realname% por el nombre real del candidato.

Como curiosidad, todos los datos robados son de candidatos residentes en Estados Unidos (US), siendo casi 2.5 millones de usuarios los afectados.