Venezuela atacada por “El Machete”

Introducción

Hace un tiempo, un cliente nuestro en Latinoamérica nos comentó que estuvo de visita en China y que creía que su equipo se infectó con un virus todavía no detectado, no conocido. Mientras le ayudábamos con el análisis de la máquina, encontramos un archivo muy interesante que no tenía nada que ver con China pues no contenía ningún rastro de códigos chinos. En principio, aparentaba ser una aplicación relacionada con Java, pero tras un rápido análisis, quedó claro que era algo más que un simple archivo de Java. šEra parte de un ataque dirigido al que bautizamos como “Machete”.

¿Qué es “Machete”?

“Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012. Es posible que la operación siga “activa”.

El programa malicioso es capaz de realizar las siguientes operaciones de ciberespionaje:

  • Captura de actividad en el teclado
  • Captura de la entrada de audio en el micrófono del equipo
  • Captura de imágenes de la pantalla
  • Captura de datos de localización geográfica
  • Captura de fotos con la cámara web del equipo
  • Envío de copias de archivos a un servidor remoto
  • Copias de archivos a un dispositivo USB especial cuando se lo inserta
  • Captura del contenido del portapapeles y la información en el equipo atacado

Objetivos de “Machete”

El_Machete_1

La mayoría de sus víctimas se encuentra en Ecuador, Venezuela, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como el de Rusia, los blancos parecen ser embajadas de los países mencionados.

Sus objetivos incluyen servicios de inteligencia, fuerzas armadas, embajadas e instituciones gubernamentales.

¿Cómo funciona “Machete”?

Este programa malicioso se propaga mediante técnicas de ingeniería social, incluyendo mensajes de correo tipo spear-phishing e infecciones vía web, mediante un sitio web especialmente preparado y fraudulento. No tenemos evidencias de exploits para vulnerabilidades día-cero. Tanto los atacantes como sus víctimas parecen ser hispanoparlantes.

Durante nuestra investigación, también descubrimos otros archivos que instalan esta herramienta de ciberespionaje, en lo que parece ser una campaña dedicada tipo spear-phishing. Estos archivos se muestran como una presentación de PowerPoint que instala programas maliciosos en el sistema atacado cuando el archivo se abre.š Estos son los nombres de los adjuntos de PowerPoint:

  • Hermosa XXX.pps.rar
  • Suntzu.rar
  • El arte de la guerra.rar
  • Hot brazilian XXX.rar

En realidad, estos archivos son archivos comprimidos de Nullsoft Installer que se autodescomprimen y tienen fechas de compilación que datan de hasta 2008.

Una particularidad del código es el lenguaje Python incrustado en los ejecutables es que estos instaladores lo incluyen y también todas sus librerías necesarias para la ejecución, así como el archivo PowerPoint que se le muestra a la víctima durante la instalación. El resultado son archivos muy grandes, de más de 3MB.

Estos son algunos ejemplos de capturas de pantalla de los archivos mencionados:

El_Machete_2

El_Machete_3

El_Machete_4

Un punto técnico relevante en esta campaña es el uso de Python incrustado en los ejecutables de Windows del programa malicioso. Esto es muy inusual y no representa ninguna ventaja para los atacantes, salvo la facilidad de escribir códigos. No cuenta con soporte para múltiples plataformas ya que el código está muy dirigido a Windows (uso de librerías). Sin embargo, varias pistas que detectamos nos indicaron que los atacantes estaban preparando la infraestructura para usuarios de Mac OS X y Linux. Además de los componentes para Windows, también descubrimos un componente móvil (Android).

Tanto los atacantes como las víctimas son hispanohablantes nativos, como pudimos constar de manera consistente en el código fuente del lado del cliente y en el código Python.

Indicadores de la infección

Infecciones web

Encontramos los siguientes fragmentos de código en el HTML de los sitios web utilizados para infectar a las víctimas:

El_Machete_5

También encontramos el siguiente enlace a un artefacto de infección conocido:

hxxp://name.domain.org/nickname/set/Signed_Update.jar

Dominios

Estos son los dominios que encontramos durante la campaña de infección. Cualquier intento de comunicación con ellos debe considerarse de extremo riesgo:

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com (sinkholed by Kaspersky Lab)
grannegral.com (sinkholed by Kaspersky Lab)

Artefactos de infección

MD5 Nombre de archivo
61d33dc5b257a18eb6514e473c1495fe AwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557 EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420b Hermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5 Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270 Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45b Suntzu.rar
f7e23b876fc887052ac8e2558f0d6c38 Hot Brazilian XXX.rar
b26d1aec219ce45b2e80769368310471 Signed_Update.jar

Rastros en el equipo infectado

Se crea el archivo Java Update.lnk que conduce a appdata/Jre6/java.exe

El programa malicioso se instala en appdata/ MicroDes/

Procesos en ejecución Creates Task Microsoft_up

El lado humano de “Machete”

Idioma

La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español.

Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados.

El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc.

Conclusión

El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer.

Fuente: Karspersky Labs

 

Ciberdelincuentes graban a sus víctimas con la cámara del PC mientras le roban

Nueva “función” del troyano SpyEye

[ 28/05/2012 – 09:25 CET ]

Nuevas versiones del troyano SpyEye graban imágenes de sus víctimas mientras operan con su entidad financiera.

Diario Ti: Una vez más, los clientes de entidades bancarias se convierten en víctimas del cibercrimen. Kaspersky Lab ha descubierto un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara del ordenador imágenes del usuario mientras le están robando el dinero.

Según Dmitry Tarakanov, experto analista de Kaspersky Lab: “Hace poco identifiqué un nuevo plugin: flascamcontrol.dll. Su nombre me intrigó y me fijé en él para descubrir cómo opera. El nuevo SpyEye utiliza la cámara incorporada en un ordenador infectado para controlar al usuario de banca online. Este plugin tiene un archivo de configuración y una lista de nombres de sitios de bancos alemanes”.

¿Para qué filmar a la víctima?
Los ciberdelincuentes observan la reacción del usuario cuando se está produciendo el robo: El usuario introduce sus datos en el sitio del banco, pero el programa malicioso ha modificado el código de la página directamente en el navegador y después de la autorización, el usuario no ve la cuenta del banco sino que el programa malicioso crea una ventana que dice, por ejemplo, “Cargando…” Por favor espere…”. Al mismo tiempo, el código malicioso inyectado se prepara para enviar el dinero robado a la cuenta bancaria de un cómplice.

Una vez hecho esto, y para confirmar la transacción, los ciberdelincuentes tienen que persuadir al usuario para que introduzca un código secreto, que le envían mediante un SMS. Aquí entra la ingeniería social: el programa del hacker pone una petición en la pantalla de la víctima, por ejemplo: “Estamos fortaleciendo nuestras medidas de seguridad. Por favor confirme su identidad introduciendo el código secreto que hemos enviado a su teléfono”. Este es el momento que importa a los hackers: ¿cómo reaccionará el usuario ante el pedido inesperado de un código SMS?.

Así es cómo funciona todo este entramado. Desde la conexión inicial al sitio hasta el ciberdelincuente que mira secuencias de video desde la cámara del ordenador del usuario:


”Aquí vemos cómo los ciberpiratas no sólo se llevan nuestro dinero, sino también nuestras emociones”, comenta el analista de Kaspersky, Dmitry Tarakanov (Ilustración: Kaspersky Lab)

Más información: www.viruslist.com

Guía de informática saludable

INTRODUCCIÓN
Esta guía está diseñada para ayudarle a utilizar el equipo con mayor comodidad y productividad. También puede ayudarle a reducir el riesgo de sufrir dolorosas lesiones o trastornos que puedan producir discapacidad, tal como se indica en la siguiente Advertencia para la salud.
Solo se tarda un momento en leerla, pero las ventajas pueden ser duraderas.

ADVERTENCIA PARA LA SALUD
El uso de un teclado o mouse puede provocar lesiones o trastornos graves.
Al igual que en otras actividades, puede que en ciertas ocasiones experimente cierta incomodidad en las manos, los brazos, los hombros, el cuello o en otras partes del cuerpo cuando use el equipo. No obstante, si padece de manera persistente o periódica síntomas como molestias, dolor, punzadas, cosquilleo, adormecimiento, quemazón o agarrotamiento, NO PASE POR ALTO ESTAS SEÑALES DE ADVERTENCIA. CONSULTE CUANTO ANTES CON UN PROFESIONAL MÉDICO COMPETENTE, aunque los síntomas aparezcan cuando no trabaje con el equipo. Los síntomas de este tipo pueden estar relacionados con lesiones discapacitantes dolorosas o permanentes, o con trastornos de los nervios, músculos, tendones u otras partes del cuerpo. Entre estos trastornos musculoesqueléticos (MSD) se incluyen el síndrome del túnel carpiano, la tendinitis, la tenosinovitis y otros trastornos de la salud.
A pesar de que los investigadores no pueden aún dar respuesta a muchas preguntas sobre los trastornos musculoesqueléticos, existe un acuerdo general sobre los muchos factores que pueden estar ligados a su aparición, incluidos: el estado de salud general, el estrés y la manera de sobrellevarlo, las condiciones médicas y físicas, y la posición del cuerpo durante el trabajo y otras actividades (incluido el uso de un teclado o un mouse). Además, también puede influir el tiempo que una persona dedica a una actividad determinada.
En esta “Guía de informática saludable” puede consultar algunas directrices que le ayudarán a trabajar más cómodamente con el equipo y a reducir el riesgo de sufrir trastornos MSD. Puede solicitar la versión en CD de esta guía sin cargo adicional llamando al 1 (800) 360-7561 (sólo en Estados Unidos).
Para obtener información sobre la organización de la estación de trabajo y el desarrollo de los hábitos que pueden ayudarle a reducir el riesgo de MSD, lea esta “Guía de informática saludable”. Puesto que existen varios factores que pueden contribuir a la aparición de trastornos MSD, esta guía no puede proporcionar todo lo necesario para prevenir un trastorno MSD o reducir el riesgo de que aparezca. En el caso de algunas personas, las sugerencias que se presentan aquí pueden reducir el riesgo de padecer un trastorno MSD. Para otras, quizás no. No obstante, muchas personas experimentan una mayor comodidad y productividad si ponen en práctica estas sugerencias. Tenga en cuenta que esta guía no puede en ningún caso sustituir el consejo de un médico competente o de un programa o política de salud laboral. Si tiene dudas sobre el riesgo de padecer trastornos osteomusculares relacionados con sus hábitos de vida, las actividades que realiza, o su estado físico o de salud, consulte con un profesional médico competente.

Mantenga una postura correcta
Independientemente de que trabaje o juegue, es importante que la posición del cuerpo sea cómoda y que no adopte posturas forzadas. Ello no solo permite mejorar la productividad general, sino también ayudarle a prevenir trastornos MSD. Tenga en cuenta que los cambios de postura al realizar actividades prolongadas también pueden contribuir a prevenir la incomodidad y el cansancio.
Al trabajar o jugar en el equipo, adapte el entorno y disponga el equipo informático para favorecer una postura corporal cómoda y relajada. El acondicionamiento de la estación de trabajo para evitar incomodidades depende del entorno donde se trabaje y el tamaño corporal exclusivos de cada persona. No obstante, las siguientes sugerencias pueden ayudarle a obtener un entorno más cómodo.

ergonomia1Para apoyar la espalda, pruebe lo siguiente:
• Utilice una silla que proporcione apoyo para la zona lumbar (vea el detalle 1).
• Ajuste la altura de la superficie de trabajo y de la silla para adoptar una postura corporal cómoda y natural (vea el detalle 2).

Para adoptar posturas que resulten cómodas para las piernas, pruebe lo siguiente:
• Quite los objetos situados bajo el escritorio para permitir una postura cómoda y facilitar la movilidad de las piernas.
• Si los pies no descansan de manera cómoda en el suelo, utilice un reposapiés.

 

ergonomia2Para hacer que las distancias que impiden trabajar de manera relajada sean mínimas y facilitar posturas cómodas de brazos y hombros, pruebe lo siguiente:
• Coloque el teclado y el mouse o la bola de seguimiento a la misma altura; deben estar a la altura de los codos. La parte superior de los brazos debe caer a los lados de manera relajada (vea el detalle 3).
• Al escribir, centre el teclado con respecto al cuerpo y coloque el mouse o la bola de seguimiento cerca de él (vea el detalle 4).
• Coloque los elementos que use con más frecuencia al alcance del brazo (vea el detalle 5).

ergonomia3Para adoptar posturas correctas de dedos y muñecas, pruebe lo siguiente:
• Mantenga las muñecas rectas al escribir y al utilizar el mouse o la bola de seguimiento. Evite doblar las muñecas hacia arriba, hacia abajo o lateralmente. Utilice las patas del teclado si le ayudan a mantener una posición recta y cómoda de las muñecas.
• Escriba con las manos y las muñecas flotando sobre el teclado, de modo que pueda utilizar todo el brazo para alcanzar las teclas distantes en lugar de estirar los dedos.

 

 

ergonomia4Para reducir la inclinación y el arqueamiento del cuello, pruebe lo siguiente:
• Coloque la parte superior de la pantalla más o menos al nivel de los ojos (vea el detalle 6). Es posible que los usuarios que utilicen lentes bifocales tengan que bajar la altura de la pantalla o consultar con un profesional médico competente sobre gafas personalizadas para trabajar con el equipo.
• Coloque el monitor en una posición centrada con respecto al cuerpo. Si consulta los documentos con más frecuencia que el monitor, tal vez deba colocar los documentos justo enfrente y el monitor ligeramente hacia un lado.
• Tal vez deba utilizar un atril para colocar los documentos a la altura de los ojos.

 

Para evitar en lo posible la vista cansada, pruebe lo siguiente:
• Coloque el monitor de modo que quede a una distancia equivalente a la longitud del brazo una vez sentado cómodamente frente al mismo.
• Evite los reflejos. Coloque el monitor lejos de las fuentes de luz que produzcan reflejos o utilice persianas para controlar los niveles de luz.
• Recuerde limpiar la pantalla. Si lleva gafas, límpielas también.
• Ajuste el brillo y el contraste del monitor.
• Ajuste los tamaños de fuente de la pantalla para que pueda ver con mayor comodidad si el programa del equipo cuenta con esta característica.
Relájese
Las fuerzas físicas interactúan continuamente con nuestro cuerpo. A veces se considera que sólo las fuerzas provocadas por grandes impactos, como los accidentes automovilísticos, pueden ocasionar lesiones a nuestro cuerpo. No obstante, las fuerzas de impactos leves también pueden producir lesiones, incomodidad y cansancio, si se producen de forma repetida o durante períodos prolongados.
Entre los tipos de fuerzas leves se incluyen:
Fuerza dinámica: Una fuerza que se ejerce mediante el movimiento como, por ejemplo, presionar las teclas al escribir o hacer clic con los botones del mouse.
Fuerza estática: Una fuerza que se mantiene durante un período de tiempo como, por ejemplo, al sujetar el mouse o sostener el teléfono con el hombro.
Fuerza de contacto: Una presión que se produce al descansar sobre un borde o una superficie dura como, por ejemplo, al descansar las muñecas en el borde de la mesa.

Para reducir los efectos de fuerzas de impactos leves en el cuerpo, pruebe lo siguiente:
• Escriba suavemente, con las manos y los dedos relajados, ya que se necesita un esfuerzo mínimo para activar las teclas del teclado.
• Asimismo, utilice movimientos suaves al hacer clic con el botón del mouse o al utilizar un joystick u otro mando para jugar.
• Sujete el mouse con la mano relajada, no es necesario que lo sujete con fuerza.
• No apoye las palmas de las manos o las muñecas sobre ninguna superficie al escribir (vea el detalle 7). Si dispone de un reposamuñecas, sólo debe utilizarlo durante las pausas de escritura.
• Relaje los brazos y las manos cuando no escriba ni utilice el mouse. No apoye los brazos y las manos en los bordes como, por ejemplo, en los del escritorio.
• Ajuste la silla para que el asiento no ejerza presión sobre la parte posterior de las rodillas (vea el detalle 8).
Tome descansos
Los descansos pueden ayudar a que su cuerpo se recupere de una actividad y a evitar la aparición de trastornos MSD. La duración y frecuencia adecuadas de los descansos dependen del tipo de trabajo que se realice. Detener la actividad y relajarse es una forma de descansar, pero hay otros modos de realizar pausas. Por ejemplo, cambiar de tareas (quizás, de estar sentado escribiendo a estar de pie hablando por teléfono) puede ayudarle a relajar algunos músculos mientras otros permanecen en acción.
Para variar las actividades diarias y trabajar de forma productiva, pruebe lo siguiente:
• Planifique el trabajo de modo que ninguna actividad se prolongue durante largos períodos de tiempo, como, por ejemplo, realizar la misma actividad o utilizar la misma parte del cuerpo.
• Utilice distintos dispositivos de entrada, como el mouse y el teclado para realizar la misma tarea. Por ejemplo, para realizar una tarea de desplazamiento, puede utilizar la rueda del mouse y las teclas de dirección del teclado.
• Puede trabajar con mayor eficacia si utiliza las características del software y el hardware para reducir el esfuerzo y aumentar la productividad. Por ejemplo, puede presionar la tecla del logotipo de Windows para abrir el menú Inicio de Windows.
• Para aprender las características del software y el hardware, lea la información que se incluye con los productos. Por ejemplo, si resalta texto con frecuencia, asigne un botón del mouse a Bloqueo de clic.
Cuide su salud
Un estilo de vida saludable puede ayudarle a realizar las actividades cotidianas y disfrutar de ellas, incluido el tiempo que pasa frente al equipo. Asimismo, un mayor aprendizaje sobre la salud constituye un paso importante para mantener la comodidad y la productividad al utilizar el equipo.
Para mantener un buen estado de salud, pruebe lo siguiente:
• Mantenga una dieta equilibrada y tómese el descanso adecuado.
• Haga ejercicio para estar en forma y proporcionar resistencia y flexibilidad al cuerpo. Consulte con un profesional médico competente para determinar los estiramientos y ejercicios adecuados.
• Aprenda a controlar el estrés. Una manera de reducir el estrés en el trabajo es planear la programación y organizar el área de trabajo para reducir al mínimo el ruido y las distracciones.
• Si tiene alguna pregunta sobre la posible relación de los estados médicos y físicos con los trastornos musculoesqueléticos, consulte con un profesional médico cualificado. A pesar de que los investigadores no pueden aún dar respuesta a muchas preguntas sobre los trastornos musculoesqueléticos, existe un acuerdo general sobre los muchos factores que pueden estar ligados a su aparición, incluidos los cambios hormonales (como los producidos por el embarazo), las lesiones pasadas, la diabetes y la artritis reumatoide.
Conclusión
Es importante conocer mejor el modo de trabajar cómodamente y de manera productiva, así como el estado de salud general ya que, con ello, disfrutará en mayor medida su experiencia informática.

Eventos de Facebook son usados con fines maliciosos

BitDefender alerta contra el uso por parte de los ciberdelincuentes de los eventos de Facebook con fines maliciosos.

Diario Ti: Los ciberdelincuentes han desarrollado eventos falsos en los que promocionan una aplicación denominada “Descubre quién mira tu perfil. Aplicación oficial”. Si el usuario pincha en el link del evento, es dirigido a una falsa aplicación que le pide copiar y pegar un código en su navegador (algo que nunca piden las aplicaciones legales). Si lo hace, el usuario verá cómo se publica en su muro de Facebook un evento promocionando esa misma aplicación falsa. El evento aparecerá cómo creado por el usuario afectado y todos sus amigos serán invitados al mismo automáticamente.

Al aparecer la aplicación promocionada como “oficial” y estar, además, vinculada a un evento creado por un amigo, muchos usuarios pueden creer que es legítima y sentirse tentados de probarla, iniciando así, de nuevo, el círculo vicioso ya que inmediatamente volverá a aparecer el mismo evento en sus muros.

“Los ciberdelincuentes utilizaron una técnica similar con el botón de “Me gusta”. Recientemente, descubrimos esta técnica en el etiquetado de fotos. Finalmente, han dado el salto a los eventos. El denominador común de todos esos ataques es la promoción a través de ellos de falsas aplicaciones, generalmente relacionadas con temas como “descubre quién mira tu perfil”, “entérate de quién te ha borrado en Facebook”, etc.”, explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal.

BitDefender recomienda desconfiar de las herramientas que prometen dar ese tipo de datos u otros igualmente sorprendentes. En caso de duda, aconseja buscar información sobre la aplicación en Internet, para comprobar las experiencias de otros usuarios con esa aplicación.

Fuente: BitDefender.

a2 Softway
Siguenos en la Web!