TorrentLocker: ransomware de “crimen organizado” desentrañado por ESET
Los investigadores de ESET han publicado un nuevo white paper sobre TorrentLocker, ransomware que ha cifrado más de 280 millones de documentos.
Investigaciones
Primer uso in-the-wild de la vulnerabilidad en Internet Explorer
Una nueva prueba de concepto aprovecha con éxito la vulnerabilidad en Internet Explorer que permite ejecución remota de código, conocida como CVE-2014-6332.
Ataque dirigido a activistas por el Tibet usa la cumbre del G20
Analizamos una amenaza dirigida a grupos activistas por el Tibet que se aprovechaba de la Cumbre del G20
La evolución de Webinject: ¿existe algún paquete “popular”?
En la última Virus Bulletin presentamos el paper "La evolución de Webinject". Repasemos los principales hallazgos de la investigación y veamos si hay algún paquete de inyección web "popular".
CVE-2014-4114: detalles sobre la campaña en PowerPoint de BlackEnergy
Veamos cómo un archivo creado para mostrar una presentación de diapositivas en PowerPoint (.PPSX) llevó a la ejecución del dropper BlackEnergy aprovechando la vulnerabilidad CVE-2014-4114.
El grupo de espionaje Sednit ahora usa un exploit kit a medida
Examinaremos casos recientes de ataques dirigidos de Sednit a diversas instituciones, el funcionamiento del exploit kit y su payload.
El regreso de BlackEnergy: ataques dirigidos en Ucrania y Polonia
Esta semana en Virus Bulletin presentaremos los resultados de nuestra investigación sobre nuevas apariciones de la familia de malware denominada BlackEnergy, que detectamos en Ucrania y Polonia.
Troyano Krysanec: backdoor para Android oculto en apps legítimas
Encontramos un RAT, o troyano de acceso remoto (por sus siglas en inglés), que se hace pasar por varias aplicaciones legítimas para Android. Observemos más de cerca la forma en que se propaga este malware, lo que hace y su conexión con una noticia que hace poco llegó a primera plana.
Simplocker utiliza ahora falsas advertencias del FBI y pide 300 dólares de rescate
Con falsas advertencias del FBI sobre abuso infantil, Simplocker, el primer ransomware para Android, ahora cifra archivos comprimidos y sus copias de seguridad,y exige derechos de administrador.
Win32/Aibatook: troyano bancario en sitios para adultos de Japón
Win32/Aibatook es una familia de malware que dirige sus ataques a usuarios japoneses. Infecta los equipos a través de una cadena de infecciones propagadas por sitios legítimos comprometidos, con el propósito de robar información personal mediante una técnica de monitoreo de Internet Explorer poco común.
Técnica interactiva de redirección de un exploit kit
El sitio web comprometido por este exploit kit contiene un código que interactúa con el usuario, ya que muestra un mensaje falso acerca de un script que afecta el rendimiento del navegador. El código responsable de esta interacción está en formato HTML inyectado, que se muestra únicamente si el navegador en uso es Internet Explorer.
ACTUALIZADO: Nuevas variantes de Simplocker en TrojanDownloaders para Android
Desde el descubrimiento inicial de Android/Simplocker, hemos observado variantes con distintas imágenes, tipos de rescate y pantallas de este ransomware. Se concentra en Ucrania y Rusia, y muestra signos de ser una prueba de concepto, pero aún así se está propagando in the wild y puede provocarles dolores de cabeza a los usuarios infectados. Utiliza varios vectores de infección, incluida falsa publicidad del juego Grand Theft Auto: San Andreas.
Análisis de Simplocker, primer ransomware para Android activado en TOR
Simplocker, el primer malware de la familia Filecoder destinado a Android, escanea la tarjeta SD y secuestra archivos del dispositivo.
Fraude de soporte telefónico utiliza un ataque de (MS-)DOS
Todavía nos siguen llegando comentarios e informes de los lectores de nuestro blog con respecto al problema persistente de estafadores (casi siempre provenientes de call centers en India) que intentan convencerlos de que sus PC están infectadas con virus o que fueron comprometidas por ataques de criminales informáticos. A continuación menciono algunas ideas como respuesta
Inyección en Facebook conduce a un malware para móviles
iBanking es una aplicación maliciosa para Android que cuando es instalada en un teléfono móvil es capaz de espiar las comunicaciones desarrolladas en el mismo. Este bot tiene interesantes capacidades específicas a los teléfonos, incluyendo la intercepción de mensajes SMS entrantes y salientes, el redireccionamiento de llamadas e inclusive capturar el el audio del micrófono
Operación Windigo: malware utilizado para atacar más de 500.000 computadoras
Desde el año pasado venimos publicando información sobre códigos maliciosos que afectan Linux. Tal es el caso de Linux/Ebury un backdoor OpenSSH utilizado para controlar los servidores y robar credenciales y Linux/Cdorked un backdoor HTTP utilizado para redirigir el tráfico Web. Sin embargo, después de una muy importante investigación desarrollada por el Laboratorio de Investigación de
Cronología de un ataque en Skype
Para todos aquellos que gocen de buena memoria, y estén atentos a la información que desde el Laboratorio de ESET publicamos en el blog, seguro se acordarán,que en mediados de Mayo, el gusano Rodpicom generó varios problemas en toda la región. En ese momento, nosotros compartimos con ustedes el minuto a minuto de las actividades de
Filecoder: dinero a cambio de información secuestrada
El siguiente post es una traducción de la publicación Filecoder: Holding your Data to Ransom escrita por Robert Lipovsky y disponible en We Live Security. Los troyanos que cifran la información de los usuarios e intentan extorsionar a la víctima ofreciéndoles un “rescate” (descifrador) por los datos a cambio de dinero no son nada novedoso.
Hesperbot: un nuevo troyano bancario avanzado
Win32/Spy.Hesperbot afecta a usuarios que utilizan los servicios de banca en línea en Turquía, República Checa, Portugal y el Reino Unido.
Multi Locker: secuestro de información para obtener rédito económico
Desde el Laboratorio de Investigación de ESET Latinoamérica estamos analizando el caso de un troyano ransomware, es decir, un código malicioso que bloquea el acceso al sistema operativo hasta que la víctima pague, en este caso, 100 euros. En este post se analizará el funcionamiento de dicha amenaza y cómo los cibercriminales utilizan un Centro