Aunque Apple sea una firma grande, sus dispositivos no son seguros del todo y el malware para Mac sigue aumentando. Cada cierto tiempo se descubren nuevas amenazas y una de las detectadas recientemente fue la que se descubrió durante la celebración del Oslo Freedom Forum, un evento que se organiza para ayudar a protegerse a los activistas de organizaciones de espionaje gubernamental. ¿Quién lo detectó? Jacob Appelbaum.

El investigador Jacob Appelbaum fue la persona que detectó comportamiento sospechoso en el ordenador Mac de uno de los activistas, al final resultó ser una nueva amenaza para Mac. Les comento que este malware está diseñado para robar información del ordenador infectado. ¿Cómo se instala en el sistema? Lo hace como una aplicación de nombre ‘macs.app’ que se ejecuta automáticamente luego de que el usuario se haya registrado en el sistema.

Deben tener en cuenta que este malware está firmado con un identificador de desarrollador de Apple, además sabemos que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema que tiene por nombre MacApp. Así que ya están avisados, eviten descargar aplicaciones de sitios que no les genere confianza, tengan un antivirus y sentido común. Ya saben el mejor antivirus es la desconfianza.

Jugar en «modo Dios», viendo las cartas de los demás, es la manera más fácil de ganar al poker y el mayor temor de muchos hacia el juego online. El Instituto Nacional de Tecnologías de la Comunicación (Inteco) ha alertado precisamente de un virus troyano que podría atacar por ese flanco tan vulnerable a los jugadores que utilizan Windows, que son la mayoría. El indeseable intruso se llama Urelas. C.

Con Urelas. C no puedes esconder tus cartas

En su último boletín semanal, Inteco alerta sobre este virus, «que monitoriza varios juegos de poker online con el fin de poder robar información de las cartas del jugador y, de este modo, obtener un beneficio económico».

«El malware se instala en la máquina del usuario», añade el instituto, «y se ejecuta en cada reinicio del sistema, monitoriza los procesos de los juegos de poker más conocidos y recoge una captura de pantalla cuando estos se encuentran en primer plano, enviando información sobre las cartas de los usuarios a atacantes remotos. De esta forma, los usuarios perderán su dinero jugando contra los ciberdelincuentes».

El troyano puede llegar al sistema a través de web maliciosas o de redes P2P, o bien puede ser descargado por otro virus que haya infectado anteriormente el equipo. Además, puede establecer conexiones con sitios maliciosos remotos, descargar un nuevo virus, autoactualizarse y desinstalarse a petición del atacante remoto.

Estaba claro que con la popularización del juego en internet no podía pasar mucho tiempo sin que se produjera una amenaza de este tipo. En fin, mucho ojo y no dejes de utilizar programas antivirus. Por fortuna, para los que jugamos al ajedrez todavía no hay manera de realizar capturas traicioneras de pantalla de nuestro cerebro.

La empresa de seguridad Sophos está alertando de un nuevo ataque de malware que persigue robar dinero de las cuentas bancarias de los usuarios. Para ello, se valen de un correo electrónico falso que parece proceder de iTunes en el que se informa de un cargo en la tarjeta de crédito.

Cuando el usuario, engañado por la apariencia legítima del email –en el que entre otras cosas aparece el logo de la compañía de la manzana-, decide pulsar sobre uno de los enlaces que incluye el correo, está perdido y atrapado.

Dicho enlace no lleva, como podría imaginarse el usuario, a una página relacionada con Apple, sino a otra que simula ser la AgenciaTributaria de Estados Unidos y que aprovecha cada visita para, utilizando el famoso kit de malware Blakchole, detectar vulnerabilidades en Java, Adobe Flash Player y Adobe Reader.

Si el usuario no tiene estos programas absolutamente actualizados, se terminará descubriendo una vulnerabilidad y el equipo quedará infectado con el troyano ZeusZBot. Lo peor de todo es que si el usuario ha hecho todo, se le pide que descargue una versión más actualizada de sus navegadores, y se les ofrece una actualización con el troyano ya incorporado.

El resultado final es que probablemente el usuario de Windows quede infectado con ZeusZBot, un malware capaz de registrar todas las pulsaciones del teclado y comprometener las cuentas bancarias de los usuarios.

Si las recientes filtraciones en el almacenamiento en nube lo han dejado preguntándose si puede confiar sus archivos a la web, un nuevo servicio lanzado el martes y llamado FileLocker, que proporciona almacenamiento en nube encriptado, podría devolverle la fe.

FileLocker, un servicio de colaboración y sincronización de carpetas, afirma que proporciona encriptamiento end to end de nivel militar para los archivos almacenados en sus servidores. Eso significa que los datos son encriptados en su fuente (su escritorio), en tránsito (SSL de 256 bits) y en la nube.

Generalmente, los servicios de almacenamiento en web que se ofrecen a los consumidores no encriptan los datos en estas tres etapas.

Aunque en un principio fue dirigido a los negocios pequeños y de casa, el servicio, que ofrece 25GB de almacenamiento en línea gratuito para hasta cinco usuarios, puede ser una buena oferta para los consumidores también.

Las cuentas de pago se encuentran desde los cinco dólares por usuario al mes, con espacio de almacenamiento ilimitado para un mínimo de cinco usuarios y un máximo de 10. Las cuentas incluyen una aplicación para el escritorio y para los dispositivos móviles que corren en iOS o Android, así como herramientas administrativas y de reporte.

De acuerdo a la compañía, los archivos se encuentran protegidos antes de dejar el dispositivo con una contraseña personal conocida solo por usted.

Puede designar una carpeta y simplemente ‘jalar y soltar’ archivos a donde son enviados en la nube usando una conexión SSL de 256 bits, encriptados nuevamente y almacenados en la nube de FileLocker.

El servicio debería ser particularmente atractivo para los colaboradores, ya que todas las versiones de los archivos son mantenidas por un tiempo ilimitado. FileLocker, creado por los fabricantes de SOS Online Backup, le permite designar cualquier carpeta en una PC como la carpeta de sincronización. Simplemente se tiene que jalar y soltar los archivos que se desean compartir o almacenar en línea.

El mercado del almacenamiento en nube está lleno
Con tantos servicios de almacenamiento en nube apareciendo casi a diario, los consumidores puede que no estén muy animados a suscribirse a otro servicio, a pesar de que éste ofrezca encriptamiento de principio a fin. Aquellos consumidores podrían entonces encontrarse interesados en Ensafer, que ahora se encuentra en beta pública.

A diferencia de FileLocker, Ensafer se encuentra diseñado para trabajar con los actuales y populares servicios de almacenamiento, como Dropbox, iCloud y Google Drive. También encripta los archivos localmente en el dispositivo del consumidor y solo pueden ser desencriptados ahí.

Por supuesto, si es una persona activa puede encriptar sus archivos de forma manual antes de enviarlos a la nube con un programa como BoxCryptor o TrueCrypt.

El malware, conocido como Zbot.CQZ, ha comenzado a propagarse también por dispositivos móviles Android hasta inhabilitar las tarjetas SIM.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha detectado la existencia de un nuevo troyano para Windows, que es capaz de modificar el registro del sistema para después conectarse a sitios maliciosos remotos y convertir al equipo comprometido en el nodo zombie de una botnet.

El malware en cuestión ha sido bautizado con el nombre de Zbot.CQZ y, tal y como su nombre indica, pertenece a la familia Zbot. Puede afectar tanto a las plataformas Windows de 32 y 64 bits, entre sus características más notables. Aunque no parece capaz de ejecutarse automáticamente en cada reinicio del sistema.

Para evitar males mayores, los expertos recomiendan no visitar páginas de origen dudoso ni abrir demasiadas ventanas emergentes con direcciones extrañas o aspecto poco fiable. Otra medida de seguridad alternativa es mantener actualizados navegador y sistema operativo con los últimos parches lanzados por los fabricantes, así como tener instalado un programa antivirus fiable.

Aquellos que ya estén infectados pueden optar por limpiar el sistema volviendo a un punto de restauración anterior a la infección si saben cuándo se produjo. O bien desactivar temporalmente la Restauración del Sistema para sortear posibles copias de seguridad del virus, reiniciar el ordenador en Modo Seguro o Modo a Prueba de Fallos y a continuación localizar todas las réplicas del troyano en el disco duro del PC con ayuda de un antivirus.

Cuando se hayan eliminado todos los archivos temporales del ordenador, incluidos los temporales relacionados con el navegador, habrá que vaciar también la Papelera de Reciclaje.

Y eso no es todo. Según ha confirmado el INTECO, Zbot.CQZ también ha comenzado a atacar  terminales Android, logrando borrar por completo los datos contenidos en los mismos e inhabilitar sus tarjetas SIM.

Los usuarios todos los días se ven enfrentados a una serie de amenazas que pueden afectar la integridad de su información personal o causarle algún perjuicio económico. Una de las amenazas que lleva más tiempo afectando a los usuarios es el Spam. Lo más curioso de esta amenaza es que a pesar que se ha adaptado para propagarse a través de medios diferentes al correo electrónico, la forma de afectar a los usuarios no ha cambiado significativamente, y las ganancias para los delincuentes siguen siendo muy altas. En un artículo publicado por la AEA (American Economic Associaton) titulado The Economics of Spam, se hace un recorrido sobre la evolución de esta amenazas y además se presenta una aproximación a cuánto dinero puede llegar a moverse por este tipo de amenazas.

Esta historia no es nueva, pero recientemente la empresa Symantec ha dado a conocer la existencia de un curioso troyano (llamado Milicenso) que aparentemente afecta a las impresoras (además de a los ordenadores).

El malware Milicenso, lo que hace, además de infectar el ordenador, es afectar la impresora que esté conectada a este dispositivo y, ocasionar un mal funcionamiento.

Por lo general Milicenso lo que hace con las impresoras es provocar que al imprimir, se plasmen impresos con unos signos extraños y unos códigos que, en principio, no son para nada lo que nosotros hubiésemos enviado a imprimir.

Los métodos por los cuales el malware Milicenso se transmite son los habituales, mediante correos electrónicos, software con malware o programas engañosos y falsos, por medio de sitios web dudosos, etc.

Es una molestia horrenda tener instalado este malware, ya que su funcionamiento es una perdida de tiempo brutal. Milicenso genera un fichero que se envía a la impresora depositándose en la cola de espera de impresión, empezando a imprimir los códigos raros o signos extraños que finalmente, te dejan sin papel si es que no te das cuenta de esta impresión corrupta.

Symantec ha declarado que es muy probable que los creadores del malware Milicenso no hayan pretendido generar un virus que afectara a las impresoras, pero que sin pensarlo, generaron un malware que provoca este efecto en particular y que da dolores de cabeza interminables a los usuarios.

Milicenso apareció por primera vez en el 2012, y desde entonces se ha visto con regularidad en algunos ordenadores e impresoras infectadas.

Los problemas de seguridad se ceban con Mac en las últimas semanas. Primero fue la aparición del troyano Flashback que hacía que el equipo formara parte de una botnet, luego apareció SabPub, un troyano que permitía al atacante tomar el control del sistema, y ahora se ha descubierto que la última versión Mac OS X Lion 10.7.3 almacena las contraseñas de los usuarios en claro en un fichero de texto, a causa de un error humano de los desarrolladores del sistema operativo de Apple. Conoce más detalles a continuación.

No es la primera vez que Mac sufre de problemas de seguridad con las contraseñas. Meses atrás se descubrió una vulnerabilidad por la que cualquier usuario sin privilegios de administrador podía acceder al fichero de contraseñas y ver sus hashes.

En este caso, parece ser que el problema de seguridad encontrado viene derivado de un despiste de alguno de los desarrolladores del equipo de Apple. En algún momento se activó el modo de depuración y se olvidó de quitarlo antes de lanzar la actualización final de Mac OS X Lion, de forma que se escribe información del usuario (incluida su contraseña) en un fichero de log que puede ser leído por cualquier usuario que pertenezca al grupo admin. Además, este fichero de log se guarda por defecto durante varias semanas.

Es más, según un artículo publicado en la red, este fichero plano no solamente es accesible por usuarios pertenecientes al grupo de administradores, sino que también puede ser leído al arrancar el sistema en modo de disco firewire y accediendo a la unidad como disco, o bien arrancando con la partición de recuperación de Mac OS X Lion y abrir una consola de superusuario para montar la partición del sistema de ficheros principal para poder acceder al fichero en cuestión. De esta forma, alguien que no disponga de una contraseña de usuario del sistema podría acceder a particiones cifradas.

Así, la seguridad de las contraseñas de nuestro sistema estará comprometida si estamos utilizando la encriptación FileVault anterior a Mac OS X Lion y después hemos actualizado a Lion. Esta vulnerabilidad no nos afectará si utilizamos FileVault 2 (encriptación del disco completo), ya que se requiere al menos de una contraseña de usuario para poder acceder a los ficheros de la partición principal del disco.

Para colmo, nada más salir a la luz Mac OS X Lion 10.7.3 el pasado mes de febrero, un usuario informó del problema en el foro de soporte de Apple, y tres meses después el problema sigue presente.

Se llama NotCompatible y se difunde través de páginas web fácilmente vulnerables en forma de actualización de seguridad.

En lo que es una prueba contundente de que las técnicas de malware son cada vez más sofisticadas, los investigadores de Lookout han descubierto un nuevo troyano para dispositivos móviles gobernados por el sistema operativo Android quen se está extendiendo a través de páginas web y ataques “drive-by download”.

Ha sido bautizado como NotCompatible y se trata del primer virus para Android capaz de difundirse de esta manera. En concreto, engaña a los usuarios haciéndose pasar por una actualización rutinaria del sistema y, si bien en su estadio actual no parece hacer demasiado daño al smartphone o tablet atacado ni recolectar datos privados, mutaciones potenciales podrían ser aprovechadas para causar estragos.

Por ejemplo, “podría ser utilizado para obtener acceso ilícito a redes privadas, convirtiendo un dispositivo Android infectado en un Proxy”, tal y como explica la compañía especialista en seguridad móvil en su blog. Lo que puede ser especialmente perjudicial de alcanzar redes empresariales.

Cuando una persona carga la página infectada desde el navegador de Android, automáticamente se abre una ventana independiente que desencadena la descarga del código malicioso. Esta aplicación, disfrazada como parche de seguridad solicitará instalación manual. Y, una vez completado este requisito, NotCompatible gana acceso al sistema.

En base a las investigaciones iniciales, ya se han detectado una decena de sitios web comprometidos por el malware como gaoanalitics.info y androidonlinefix.info. “Sin embargo, éstos parecen mostrar poco tráfico por lo que esperamos que el impacto total de usuarios de Androidse mantenga bajo”, comentan los expertos de Lookout. Al menos, de momento.

El ataque de los ciberdelincuentes cada vez es más frecuente y pocos son los que se salvan de las actividades de los hackers. Según afirman desde Symantec, compañía dedicada a la seguridad informática, la organización activista Anonymous habría sufrido un ataque de DDoS (ataque de denegación de servicio) durante sus actuaciones tras el cierre de Megaupload.

Como desvela Symantec, empresa creadora del famoso antivirus Norton, ese ataque proviene de una persona anónima que modificó la herramienta ‘Slowloris’, usado en ataques de denegación de servicio, y al cual añadió el virus troyano Zeus, capaz de robar contraseñas de correos electrónicos y cuentas bancarias, para aumentar su efectividad.

Este malware, de gran peligrosidad para las redes infectadas, permite al hacker no sólo robar los datos mencionados sino de igual manera crear una red invisible de cara al afectado para atacar mediante denegación de servicio a cualquier objetivo que se les plantee.

Desde Symantec se ha confirmado que la versión original de ‘Slowloris’ no tiene ningún tipo de malware, sin embargo la mayoría de usuarios que descargaron el parche en ese momento se encuentran con un problema real ya que el troyano es de los más activos que circula por la red.

De momento esta acción no ha sido confirmada desde Anonymous, ya que organización ha afirmado en su cuenta de Twitter que los hechos desvelados por la compañía de seguridad son totalmente falsos: “This post from @Symantec about@YourAnonNews’s spreading the DDoS hijacking trojan is wrong & libelous to say the least.” (El post difundido por Symantec sobre el ataque de denegación de servicio a Anonymous es cuanto menos, erróneo y deliberado).

A pesar de estas declaraciones realizadas desde Anonymous es difícil confirmar si ha sucedido o no este suceso. La entrada a la organización es totalmente voluntaria y eso provoca que ciertos integrantes no tomen las precauciones necesarias a la hora de realizar alguna actividad y sean víctimas de troyanos en sus dispositivos.