Burlando captchas con troyanos

Analizando un malware desarrollado para redes sociales, el Koobface, me encontré con una sorpresa interesante. Al instalarse una variante determinada de dicho troyano, el mismo descarga un malware que nada tiene que ver con las redes sociales.

Se trata de un troyano que ESET NOD32 detecta como Win32/Agent.OLA y que tiene una capacidad que no hemos desarrollado hasta este momento en el Blog: se trata de un troyano utilizado para romper captchas.

Recordemos que los CAPTCHA (Completely Automated Public Turing test to Tell Computers and Humans Apart) son una prueba de Turing automática para diferenciar a máquinas y humanos y se utilizan con el objetivo de evitar que programas automáticos (robots) realicen registro de usuarios en cualquier servicio disponible en Internet.

Si bien en el último tiempo distintos captchas han sido crackeados, permitiendo el registro automático en Live, Yahoo!, y otros, la verdad es que gran parte del trabajo es realizado por seres humanos creando grandes bases de datos relacionando la imagen del captcha y su respectiva solución (la palabra descifrada).

En mi caso, al descargarse y ejecutarse automáticamente, el troyano crea un archivo captcha.exe en el directorio del sistema y luego se ejecutará en cada reinicio mostrando la siguiente pantalla:

Como puede verse se amenaza al usuario de que si no ingresa la palabra mostrada en la imagen, su sistema se reiniciará. Con esto se logra que el usuario resuelva el captcha, enviando la solución al sitio del atacante y almacenando el mismo en grandes bases de datos.

La próxima vez que el captcha sea utilizado en algún registro de cualquier servicio, el atacante ya tiene la solución almacenada. Con esto, el delincuente puede registrar cuentas falsas automáticamente en cualquier servicio del mundo, para luego utilizarla en otros ataques.

En este caso no se ha crackeado el captcha, sino que se utiliza a miles de usuarios infectados para que resuelvan los mismos, creando bases de datos con la imagen y la solución. Una vez más se logra que el usuario colabore, sin saberlo, con los delincuentes.

Click aquí para ver el original.

Prevención ante la explotación de la vulnerabilidad 0-Day en Internet Explorer

Como anunciamos, se está aprovechando una vulnerabilidad no solucionada en Internet Explorer para descargar malware. Aunque no se puede resolver completamente el problema, para mitigarlo y prevenirlo lo máximo posible, debemos realizar una sencilla configuración en el navegador.

Si bien las capturas que utilizaremos están basadas en la versión 7.0 de Internet Explorer, también son aplicables, aunque encuentren ligeras diferencias, para la versión 6.

En primer lugar, debemos acceder a las Opciones de Internet desde el menú Herramientas. Luego, en la solapa Seguridad, cambiamos el nivel de seguridad para la zona de Internet a Alto y finalizamos haciendo clic sobre el botón Aplicar. De esta manera deshabilitaremos funcionalidades como la ejecución de código Active scripting, ActiveX, Applets de Java, etc., brindando mayor grado de seguridad al navegador.

En la zona Sitios de confianza de la misma solapa, podemos especificar, a través del botón Sitios, las direcciones de los sitios web que consideramos de confianza.

En la solapa Privacidad, también es conveniente que, desde el botón Avanzada, se tilde la casilla de verificación llamada Invalidar la administración automática de cookies y, en las opciones que se habilitan, marcar en Preguntar.

Otra configuración importante que guarda relación directa con la explotación de vulnerabilidades es la relacionada a los objetos multimedia. Para controlarlo se debe deshabilitar dos opciones, Activar animaciones en páginas web y Reproducir sonidos en páginas web, ubicadas en la solapa Opciones avanzadas.

Por otro lado, y fuera de las configuraciones de seguridad propias del navegador, también es conveniente configurar la prevención de ejecución de datos (DEP) presente en plataformas Windows XP y Vista. Esto se logra accediendo a: Mi PC > Propiedades > Opciones avanzadas y en la sección rendimiento hacer clic sobre el botón Configuración.

Se abrirá la ventana Opciones de rendimiento y, en ella, debemos asegurarnos que se encuentre activada la opción Activar DEP sólo para los programas y servicios de Windows esenciales.

Por último, ESET NOD32 detecta y elimina estas amenazas por lo que es altamente recomendable actualizarlo y mantenerlo activo.

Click aquí para ver el original.

Último Programa del 2008

Como bien sabemos, todos los años tienen un principio y un final... Y este 2008 no es la excepción ni mucho menos. Por eso me gustaría que hoy estuvierais con nosotros de 20:00 a 21:00 en nuestro último programa de este año (nuestra 3ª Temporada ya...). Así pues, desearos a todos que tengáis unas felices fiestas, un próspero año 2009 y, sobre todo, que paséis grandes momentos junto a vuestra familia.

Un Saludo, del equipo de Los 40 Digitales.

Vulnerabilidad no solucionada en Internet Explorer descarga malware

El lunes 8 de este mes, un día antes que aparecieran las actualizaciones mensuales de Microsoft, un grupo chino (presuntamente sin intención, aunque hay otras versiones) hacía circular por Internet un exploit 0-day (vulnerabilidad sin solución hasta el momento) para Internet Explorer 7.0. Al hacerse conocido en ese momento, imposibilita a la empresa a lanzar una actualización al día siguiente y logrando que el exploit se masificara.
Por eso, en este momento existen múltiples variantes del mismo que están siendo aprovechadas por los creadores de malware para difundir sus creaciones. Microsoft se encuentra trabajando en la solución en su Aviso de seguridad número 961051. Hasta el momento, se desconoce el impacto real de la vulnerabilidad pero se sabe que potencialmente podría incluir a Internet Explorer 6.0 o superior (en Windows XP, Windows Vista y Windows Server 2003 y 2008, aún con todos los Service Pack instalados), sin bien hasta ahora solamente se encuentran circulando exploits para la versión 7.0 del navegador.Los diferentes exploits activos explotan una vulnerabilidad en el manejo de etiquetas XML que efectúa Internet Explorer y, a través de un código Javascript, genera un código ejecutable (shellcode), que, a su vez, descarga otro archivo con diferentes troyanos. ESET NOD32 bloquea las amenazas.
Como puede verse el exploit permite ejecutar código arbitrario en el sistema del usuario y descargar cualquier tipo de programa dañino al sistema, lo que lo vuelve extremadamente peligroso.
Para agravar el problema, los exploits y malware se encuentran circulando en Internet ya que los mismos han sido inyectados a través de Javascript en cientos de sitios e incluso ya es posible encontrarlos con cualquier buscador. La inyección realizada en sitios vulnerables, que posean información en Microsoft SQL Server, es la siguiente:

Si el usuario ingresara a estos sitios, se llamará automáticamente al Javascript mostrado, comenzando la explotación del fallo y la consecuente descarga del malware. A continuación dejo una captura de pantalla del código Javascript que explota la vulnerabilidad en Internet Explorer 7.0 y genera la shellcode mencionada:

Y, a continuación otra imagen de lo que sucede al ingresar a un sitio modificado en el cual se insertó el Javascript:

Como puede verse en los recuadros se descargan distintos HTML, los cuales son explotaciones de vulnerabilidades anteriores ya solucionadas pero, que ante la duda, se ejecutan ya que existen millones de usuarios que aún no han actualizado su sistema. Luego, se encuentra el archivo “ie7.htm” que es el mostrado anteriormente y que descarga el archivo win.exe.
Resumiendo:
* Aparece una vulnerabilidad no parcheada (0-day) y el lunes 8 se publicó un exploit para la misma.* Microsoft aún se encuentra analizado el problema para lanzar quizás una actualización fuera del circuito de cada mes,* Existen diferentes explotaciones del malware que terminan descargando diferentes malware al equipo del usuario,* Existen cientos de sitios desde los cuales es posible infectarse simplemente ingresando,* ESET NOD32 detecta las amenazas, ya sea el exploit como los malware descargados a través de su Heurística Avanzada.
Pasos para la mitigación del problema (no resuelven completamente el problema):
Desde ESET hemos publicado una pequeña guía paso a paso para prevenir la explotación de esta vulnerabilidad y la posible descarga de malware y además es bueno seguir estos consejos:
* Actualizar a la brevedad para evitar que otras vulnerabilidades antiguas afecten nuestro sistema, sobre todo al ingresar a sitios webs como los mostrados en la imagen.* Instalar un antivirus con capacidades proactivas como ESET NOD32 que detecte tanto el exploit como el malware descargado.* Configurar el navegador en nivel Alto de seguridad y habilitar el Modo protegido de Internet Explorer en los sistemas que lo permitan, para prevenir la ejecución de código en páginas no confiables.* No autorizar ejecución de código cuando el navegador lo solicite, mostrando la barra amarilla en la parte superior del mismo.* Activar DEP (Data Execution Prevention), ya que por defecto se encuentra desactivado en Internet Explorer, para prevenir la ejecución de código en zonas de memoria no marcadas como ejecutables.* No utilizar el sistema con permisos administrativos para evitar la posible ejecución de código.
Repito que esto mitiga en gran parte del problema pero, no lo soluciona. Por eso, es fundamental contar con las herramientas adecuadas de prevención, el sentido común y los buenos hábitos y educación que cada día intentamos llevar a Uds. desde ESET.

Click aquí para ver el original.