• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    Sitio web falso de Virustotal propaga un gusano java

    Sitio web falso de Virustotal propaga un gusano java. Se están discutiendo las estrategias de infección que utilizan tecnología javascript porque su estado "híbrido" hace que los cibercriminales que buscan formas de expandir sus ataques ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Mensaje Sitio web falso de Virustotal propaga un gusano java

      Sitio web falso de Virustotal propaga un gusano java.



      Se están discutiendo las estrategias de infección que utilizan tecnología javascript porque su estado "híbrido" hace que los cibercriminales que buscan formas de expandir sus ataques recluten ordenadores infectados sin importar el navegador o sistema operativo que utilicen.

      En cuestiones de actividades criminales, las técnicas de descargas Drive-by que inyectan javascript maliciosos en sitios web son un conjunto de tácticas de ingeniería que exigen que los usuarios se vuelvan cada vez cuidadosos para poder “detectar” los ataques maliciosos.

      Este fin de semana, encontramos un sitio web falso del popular sitio que analiza archivos sospechosos Virustotal.com, de la empresa Hispasec, que intentaba infectar a los usuarios con los métodos que mencioné arriba.



      A los ojos de los usuarios, el sitio web se ve igual que el original. Sin embargo, hay parámetros escondidos en el código que se utilizan para infectar el sistema con la applet java que descarga un programa malicioso que Kaspersky Lab detecta como Worm.MSIL.Arcdoor.ov.




      El gusano recluta zombis para que formen parte de una red zombi diseñada para lanzar ataques DDoS attacks synflood, httpflood, udpflood e icmpflood. La comunicación se concentra en un servidor de comando y control que guarda la información que obtiene del ordenador de la víctima. Algunos de los parámetros de la comunicación son:

      & mode: tipo de ataque DDoS
      &botver: versión del malware
      &pcname: nombre del ordenador víctima (hostname)
      &winver: tipo y versión del sistema operativo

      Por lo general estos ataques se realizan mediante un centro desde el cual los atacantes realizan maniobras maliciosas con aplicaciones web y DDoS Frameworks como N0ise (que se usó en este caso), Cythosia, o NOPE. Estas aplicaciones tienen un fuerte impacto y gran demanda en cuestiones de desarrollo, en especial en Alemania y Europa.

      Kaspersky Lab detecta esta amenaza de forma proactiva y sigue investigando estas actividades criminales.



      Autor: Jorge Mieres
      Kaspersky Lab Expert
      Fuente: SecureList





      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Moderador Gral.
      Avatar de @Leosolari
      Registrado
      jun 2007
      Ubicación
      Argentina
      Mensajes
      58.637

      Re: Sitio web falso de Virustotal propaga un gusano java

      @Hola


      Esto vendria a ser mas de la Ingenieria Social aplicada a la delincuencia cibernética verdad ???


      O sea, enganchan a Quien utiliza esta página con la intención de investigar archivos sospechozos. Muy Hábiles, muy astutos....




      Buena info.
      Síguenos en Twitter y hazte nuestro amigo en Facebook.

    3. #3
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Mensaje Re: Sitio web falso de Virustotal propaga un gusano java

      Hola,

      Gracias por la info ElPiedra

      Hay que recordar a los usuarios que la página original de Virustotal es la indicada en el post inicial:

      http://www.virustotal.com/
      Cualquier otra ya sea con modificaciones al inicio o final del enlace puede ser una réplica con fines malévolos

      @Leosolari:

      Hoy en día, y cada vez más, el malware (no en su totalidad) requiere de la Ingenería Social; de "engañar" a la víctima potencial para que caiga en la infección.

      Aquí se utiliza ello por supuesto, pero hablaría más bien del uso de lo que se conoce como Scam.

      Esto tiene su tiempo y era y es empleado sobre todo en el ámbito del correo electrónico y con fines de phising.
      Ejemplo típico: el conocido falso correo del banco que indicaba que eran necesarios nuestros datos para confirmar alguna cosa. Al dar en el enlace, aparecíamos en una web idéntica a la del banco (cualquier banco), donde si ingresábamos dato alguno, eran mandados al creador y nos quedábamos sin un céntimo en la cuenta.

      Esto es lo mismo, sólo que ahora utilizan webs de seguridad como ganchos al igual que los rogues usan los antivirus o más recientemente programas de mantenimiento (o al menos su apariencia)..

      La diferencia, aquí no busca el robo de datos (al menos directamente) sino la infección del sistema mediante la ejecución de un programa en java lanzado desde el propio navegador . Quizá después si se dé dicho robo.

      PD: Hay que decir que a simple vista, la imagen mostrada, se observan indicios de ser un Scam:

      1º- En la web oficial, al lado de VT Community, pone Sign in ▼.

      Y en la imagen se advierte Sign in â-¼

      2º- La web oficial indica en su derecha Languages y en esta parecen haberlo dejado en Lan

      _________________________________________________

      En resumen:

      Si la web no es http://www.virustotal.com/, desconfiar de ella

      La web oficial no pide descargar o instalar complemento o plugin alguno

      Salu2
      Última edición por Black Wolf fecha: 26/05/11 a las 12:35:44

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Sitio web falso de Virustotal propaga un gusano java

      VirusTotal.com aparte de ser un excelente servicio en constante evolución, desde hace mucho tiempo que se ha convertido en un referente no solo para quienes nos dedicamos a investigar malwares y para la industria de la seguridad en sí, sino también para los usuarios que quieren ver una segunda opinión sobre algún archivo sospechoso.

      Por lo que es un servicio muy pero muy popular en la red con un alto tráfico de visitantes a diario. El otro día vía Twitter uno de sus responsables compartía un gráfico de que habían tenido un record nuevo con 328,062 archivos escaneados en sus sistemas en un solo día:


      A lo que es lógico que los "Chicos malos" piensen en fake de este para engañar a los usuarios.

      Como bien comenta nuestro compañero @Black Wolf es un claro ejemplo de Scam que tampoco es el primero que aparece ya que hace un tiempo atrás también comentábamos de un: Virus-Total falso para infectar equipos

      Y acá les comparto otra imagen un poco más grande para que puedan ver que si bien hay unas pequeñas diferencias, en realidad toman todo del sitio original para hacerlo casi idéntico:


      Y acá un reporte del servicio de VirusTotal original, contra el archivo malicioso que se puede descargar del sitio falso, en el que encontramos que hasta el momento es detectado por 30de los 42 motores disponibles.

      Reporte de VirusTotal sobre el archivo malicioso: bot.exe.x-msdos-program




      Cita Originalmente publicado por Black Wolf Ver Mensaje
      En resumen:

      Si la web no es http://www.virustotal.com/, desconfiar de ella

      La web oficial no pide descargar o instalar complemento o plugin alguno


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de Antpax
      Registrado
      oct 2009
      Ubicación
      Madrid
      Mensajes
      987

      Re: Sitio web falso de Virustotal propaga un gusano java

      Hola a todos:

      Gracias por la info Jefe:

      Hay que reconocer que la página está curradísima, y comparando la original y la trucha las diferencias son mínimas. Muy bien visto Blackwolf . Si nos fijamos también faltaría la parte de abajo que informa del creador y/dueño de la web:

      VirusTotal © Hispasec Sistemas - Blog - Twitter - Contact: [email protected] - TOS & Privacy Policy
      Entiendo que los malvados se han basado en la cantidad de tráfico de la página para intentar engañar a la gente, pero tengo un impresión sobre este asunto y me gustaría saber qué opináis:

      ¿No es un error táctico utilizar esta página para engañar a la gente? Es decir, los usuarios de VT son personas que se preocupan de la seguridad, analizando ejecutables antes de hacer doble click en él. Así, creo que la tasa de éxito de infección debería ser inferior que en una imitación de otro tipo de páginas.

      No sé, si yo me dedicase a estas cosas, imitaría la página de fans de Justin Bieber, por ejemplo, antes que una relacionada a la seguridad informática.

      Yo y mis paranoias

      Saludos para todos.

      Ant

    6. #6
      Ex-Colaborador Avatar de Black Wolf
      Registrado
      jun 2009
      Ubicación
      España
      Mensajes
      10.312

      Re: Sitio web falso de Virustotal propaga un gusano java

      Hola,

      @Antpax:

      Las diferencias son mínimas por que realizan un copiado de todo el código fuente de la web (algo muy fácil de extraer). Una vez lo tienen, sólo deben incluir la línea que llame al malware, que no es sino, la imagen que mostró ElPiedra:


      Sería fácil, por ejemplo, hacer un Scam del blog de InfoSpyware y, por decir algo, cambiarle el nombre, las imagenes... Otra cosa, es ponerla online

      El problema de los errores de la réplica se debe a ese copiado. Los ejemplos que yo puse implican símbolos tipo ascii (▼) que al hacer la copia queda como se ve en la imagen (texto plano). El error que expones, quizá sea por que copiaron todo menos el final.

      Por que no creo que lo hayan hecho por evitar un conflicto jurídico

      _______________________________________________

      En cuanto a tu duda... Pues es relativo . Un fan de Justin Bieber sabría con seguridad cual es la web oficial y cual no; al igual que los entendidos en seguridad, sabemos cual es la web de Virustotal y que ésta no requiere instalación alguna.

      No obstante, creo que sus objetivos potenciales son: usuarios descuidados (los que no se dan cuenta del cambio y que serian los menos), pero sobre todo gente preocupada por la seguridad aunque con escaso conocimiento al respecto. Es decir gente que sabe de virustotal pero que no se daría cuenta del cambio.

      En cualquier caso, esperemos que el fraude sea denunciado y el hosting dé de baja la web fraudulenta cuanto antes

      Salu2

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      >> No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. <<

    7. #7
      Usuario Avatar de TheLordTherion
      Registrado
      oct 2010
      Ubicación
      /home/Acapulco/
      Mensajes
      1.010

      Re: Sitio web falso de Virustotal propaga un gusano java

      A veces creo que lo que mejor se puede hacer es no "tapar" o "censurar" las p+aginas que demuestran las pruebas ya que los usuarios así podrían evitar redireccionamientos o más "trampas sociales" que a que no estuviesen preparados para lo que les viene.

      Es sólo mi punto de vista.

      Salu2.

    8. #8
      Usuario Avatar de Audi2010
      Registrado
      sep 2010
      Ubicación
      En La Luna
      Mensajes
      205

      Sonrisa Re: Sitio web falso de Virustotal propaga un gusano java

      Demasiado real diria yo O.o.....cada dia internet es un arma en vez de un paseo por el parque....saludos..

    9. #9
      Usuario Avatar de darck-dragon
      Registrado
      may 2011
      Ubicación
      Montevideo-Uruguay
      Mensajes
      11

      Re: Sitio web falso de Virustotal propaga un gusano java

      gusano java ok grax por la info