Una mezcla de caballo de Troya y phishing
Fuente: http://www.infobaeprofesional.com/interior/index.php?p=nota&idx=22616
Los autores de códigos maliciosos desarrollan técnicas para hacer más eficiente cada uno de los procesos de infección masiva de computadoras. Sistemas mejorados de propagación a través de diversos medios, como el e-mail, la mensajería instantánea, las páginas Web, las unidades compartidas de la red, etc., se asocian a nuevas formas de programación como los rootkits, que se combinan con sofisticados métodos de ingeniería social.
Todo esto ha hecho evolucionar las amenazas para afectar, por fines comerciales o de entretenimiento perverso, a los usuarios de computadoras que, en actitud ingenua o poco cautelosa, se conectan a la red de redes para trabajar u obtener algo de entretenimiento.
El phising es una de las técnicas más novedosas de engaño y los medios de comunicación reportan regularmente fraudes bancarios que utilizan esa mezcla de mensajes de correo engañosos con sitios Web clonados que simulan pertenecer a instituciones financieras.
Por e-mail
La empresa Trend Micro alertó en su último informe sobre el comportamiento de un caballo de Troya (TROJ_HANLO.J ), que hace uso de las estrategias de phishing para engañar a los destinatarios y lograr que realicen acciones que les afectarán a ellos o a sus sistemas.
Al igual que los mensajes que simulan ser de los bancos, HANLO.J envía un mensaje de correo electrónico que pretende provenir de un proveedor de soluciones antivirus. En él se advierte al usuario sobre una variedad de virus que amenaza la seguridad de sus computadoras, y les advierte de hacer clic en un link (vínculo) desde donde podrán descargar el parche de seguridad que los pondrá a salvo.
El usuario llega entonces a una página Web muy similar a la del proveedor antivirus que le ofreció la solución. En lugar del esperado parche se descarga y ejecuta en el sistema un ejemplar del troyano.
Este código malicioso, que corre en Windows 98, ME, NT, 2000, XP y Server 2003, tiene particularidades que aunque no son novedad en el mundo de los virus, “suelen ser eficientes”, según Trend Micro, para hacer saltar las barreras de seguridad de los sistemas y es el fundamento del phishing.
Intrusión eficiente
El mensaje electrónico que porta el vínculo web no lleva al código malicioso en sí y por tanto puede burlar con facilidad la protección de algunos productos antivirus. Es parte de una rutina de envío masivo de correo electrónico no deseado, pero su contenido es de caracteres e hipervínculos. No es sino hasta que el usuario llega a la página Web clonada cuando el troyano se descarga e instala, con la ayuda del usuario.
La apuesta de los autores es que el tiempo que transcurre entre la lectura del mensaje y la descarga del troyano es de pocos minutos y “suele ser poco reflexiva”. El nombre de un proveedor antivirus legitima falsamente un mensaje evidentemente engañoso y malintencionado.
Engaño
Jeffrey Aboud, director de Respuesta ante Amenazas de Trend Micro, señaló que los autores de TROJ_HANLO.J tienen la capacidad de manipular las líneas de la dirección de correo electrónico, para hacerlo aparecer como si proviniera de cualquier remitente que ellos seleccionen.
“Esto lo llamamos spoofing (engaño) y por desgracia no es nada nuevo”, dijo Aboud. “Hemos visto que los autores de malware simulan todo, desde nombres genéricos aleatorios y nombres listados en las libretas de direcciones de los usuarios infectados, hasta los de agencias como el FBI y la CIA en los Estados Unidos. Al igual que en estos ejemplos, disfrazar una firma de seguridad puede ser una técnica de ingeniería social muy eficiente para lograr que los usuarios bajen la guardia y confíen automáticamente en el contenido del mensaje”.
Recomendaciones
“Los usuarios de computadoras deben buscar una solución antivirus integral que los proteja tanto de código malicioso en si mismo, y que además proteja los vectores de entrada de los virus, como son los links que llegan por email o por mensajería instantánea, además de cubrir los accesos del spam, phishing, y que posea un firewall personal que limite los accesos no autorizados, entre otras funciones”, advirtió Trend Micro.
Aboud recomendó a los usuarios que sean cautelosos de aquellos mensajes de correo que no esperan, incluso cuando aparenten provenir de una fuente conocida. “En caso de duda, lo mejor es verificarlo con el remitente antes de abrir los archivos adjuntos o seleccionar alguna liga. Si un mensaje se presenta fuera de lo común de un remitente que usted conoce, o sencillamente no está seguro, siempre será mejor tomarse un momento para verificarlo”.
Los autores de códigos maliciosos desarrollan técnicas para hacer más eficiente cada uno de los procesos de infección masiva de computadoras. Sistemas mejorados de propagación a través de diversos medios, como el e-mail, la mensajería instantánea, las páginas Web, las unidades compartidas de la red, etc., se asocian a nuevas formas de programación como los rootkits, que se combinan con sofisticados métodos de ingeniería social.
Todo esto ha hecho evolucionar las amenazas para afectar, por fines comerciales o de entretenimiento perverso, a los usuarios de computadoras que, en actitud ingenua o poco cautelosa, se conectan a la red de redes para trabajar u obtener algo de entretenimiento.
El phising es una de las técnicas más novedosas de engaño y los medios de comunicación reportan regularmente fraudes bancarios que utilizan esa mezcla de mensajes de correo engañosos con sitios Web clonados que simulan pertenecer a instituciones financieras.
Por e-mail
La empresa Trend Micro alertó en su último informe sobre el comportamiento de un caballo de Troya (TROJ_HANLO.J ), que hace uso de las estrategias de phishing para engañar a los destinatarios y lograr que realicen acciones que les afectarán a ellos o a sus sistemas.
Al igual que los mensajes que simulan ser de los bancos, HANLO.J envía un mensaje de correo electrónico que pretende provenir de un proveedor de soluciones antivirus. En él se advierte al usuario sobre una variedad de virus que amenaza la seguridad de sus computadoras, y les advierte de hacer clic en un link (vínculo) desde donde podrán descargar el parche de seguridad que los pondrá a salvo.
El usuario llega entonces a una página Web muy similar a la del proveedor antivirus que le ofreció la solución. En lugar del esperado parche se descarga y ejecuta en el sistema un ejemplar del troyano.
Este código malicioso, que corre en Windows 98, ME, NT, 2000, XP y Server 2003, tiene particularidades que aunque no son novedad en el mundo de los virus, “suelen ser eficientes”, según Trend Micro, para hacer saltar las barreras de seguridad de los sistemas y es el fundamento del phishing.
Intrusión eficiente
El mensaje electrónico que porta el vínculo web no lleva al código malicioso en sí y por tanto puede burlar con facilidad la protección de algunos productos antivirus. Es parte de una rutina de envío masivo de correo electrónico no deseado, pero su contenido es de caracteres e hipervínculos. No es sino hasta que el usuario llega a la página Web clonada cuando el troyano se descarga e instala, con la ayuda del usuario.
La apuesta de los autores es que el tiempo que transcurre entre la lectura del mensaje y la descarga del troyano es de pocos minutos y “suele ser poco reflexiva”. El nombre de un proveedor antivirus legitima falsamente un mensaje evidentemente engañoso y malintencionado.
Engaño
Jeffrey Aboud, director de Respuesta ante Amenazas de Trend Micro, señaló que los autores de TROJ_HANLO.J tienen la capacidad de manipular las líneas de la dirección de correo electrónico, para hacerlo aparecer como si proviniera de cualquier remitente que ellos seleccionen.
“Esto lo llamamos spoofing (engaño) y por desgracia no es nada nuevo”, dijo Aboud. “Hemos visto que los autores de malware simulan todo, desde nombres genéricos aleatorios y nombres listados en las libretas de direcciones de los usuarios infectados, hasta los de agencias como el FBI y la CIA en los Estados Unidos. Al igual que en estos ejemplos, disfrazar una firma de seguridad puede ser una técnica de ingeniería social muy eficiente para lograr que los usuarios bajen la guardia y confíen automáticamente en el contenido del mensaje”.
Recomendaciones
“Los usuarios de computadoras deben buscar una solución antivirus integral que los proteja tanto de código malicioso en si mismo, y que además proteja los vectores de entrada de los virus, como son los links que llegan por email o por mensajería instantánea, además de cubrir los accesos del spam, phishing, y que posea un firewall personal que limite los accesos no autorizados, entre otras funciones”, advirtió Trend Micro.
Aboud recomendó a los usuarios que sean cautelosos de aquellos mensajes de correo que no esperan, incluso cuando aparenten provenir de una fuente conocida. “En caso de duda, lo mejor es verificarlo con el remitente antes de abrir los archivos adjuntos o seleccionar alguna liga. Si un mensaje se presenta fuera de lo común de un remitente que usted conoce, o sencillamente no está seguro, siempre será mejor tomarse un momento para verificarlo”.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!