| EMC
Troyanos roban información personal disfrazados de proveedores de software líderes
Casinos en línea, tráfico ilegal de información y falta de actualización por parte de usuarios son parte de los descubrimientos del último estudio de RSA.
Acceda al informe completo haciendo clic aquí.
Buenos Aires, 9 de septiembre de 2015.- RSA, la División de Seguridad de EMC (NYSE:EMC), ha presentado su más reciente boletín de fraude para 2015, con los detalles de los últimos hallazgos del cibercrimen clandestino en el mundo.
Tendencias de troyanos: El problema es el archivo adjunto
Desde fines de 2014, cada vez son más las campañas de malware que están incursionando en el reino de los archivos adjuntos de correos electrónicos, utilizando documentos Word y archivos PDF como medios de ataque con macros que descargan los archivos infectados. Recientemente, RSA dio a conocer información sobre las aplicaciones troyanas incorporadas en documentos Word, disfrazadas como archivos adjuntos PDF y que se implementan ni bien la víctima hace clic en el vínculo de archivo incorporado.
Investigando esta tendencia, los analistas de inteligencia de FraudAction descubrieron una hoja de cálculo de Excel en libre circulación que contiene una serie de supuestas imágenes JPEG como “archivos adjuntos” dentro de la hoja de datos.
Esta última, distribuida como un archivo denominado “chika”, al parecer contiene archivos adjuntos e incluye botones de activación para abrirlos. Una vez que se hace clic en uno de los botones, aparece un mensaje que le solicita a la víctima que habilite las macros en Excel. En cuanto se habilita la macro, se activa la comunicación con un servidor y se descarga el archivo de infección que instala la aplicación troyana Pony Stealer en el equipo de la víctima.
Pony Stealer es una aplicación programada para robar contraseñas de otras como las de mensajería instantánea, los clientes FTP, los navegadores de Internet, los usuarios de correo electrónico y las claves de CD de Windows. De esta forma, el malware roba todos los conjuntos de credenciales de formularios de envío, incluidos los utilizados en portales de operaciones bancarias en línea, como parte de su robo de datos de rutina. Pony Stealer también actúa como cargador de otros troyanos, descargando e implementando otros elementos de malware como troyanos bancarios para facilitar el robo de credenciales financieras e información de operaciones bancarias en línea. Se suelen encontrar en los mismos servidores C&C en los que está implementada una botnet Zeus.
Kits de explotación
Pese a que los elementos y kits de explotación se encuentran en circulación desde hace ya bastante tiempo, últimamente los suministros de noticias de seguridad de la información han estado alertando sobre nuevas instancias que atacan las vulnerabilidades de Adobe Flash Player y, en un caso reciente, se aprovechó la vulnerabilidad para plantar infecciones de malware Ransomware en víctimas desprevenidas.
Un kit de explotación, a veces llamado paquete de explotación, es un set de herramientas que automatiza el aprovechamiento de vulnerabilidades en el cliente. En otras palabras, estos kits aprovechan debilidades de las aplicaciones de software de las computadoras de los usuarios finales para propagar malware. Los mismos suelen apuntar a navegadores y programas que un sitio web puede invocar mediante un explorador. Por otro lado, entre los objetivos más comunes de los últimos años, se encuentran vulnerabilidades detectadas en Adobe Reader, Java Runtime Environment y Adobe Flash Player.
La mayoría de los proveedores de software distribuyen parches y actualizaciones a penas se detectan nuevas vulnerabilidades, pero depende de los usuarios finales y los administradores del sistema garantizar que se apliquen estas actualizaciones. Según encuestas recientes, al menos un tercio de todas las explotaciones activas en la actualidad se documentaron en 2010, y el hecho de que sigan en uso indica que los usuarios finales no han actualizado el software de la computadora ni aplicado parches que están disponibles desde hace 4 años o más.
En el frente del fraude: Servicios de búsqueda y proveedores de PII
Los analistas de inteligencia de RSA FraudAction detectaron una serie de proveedores en el entorno clandestino que ofrecen información personal y credenciales para el Reino Unido; como fechas de nacimiento, información de pasaportes del Reino Unido, escaneos de pasaportes, conjuntos completos de información personal, además de “fullz” (datos completos de tarjetas de crédito robados junto con información de identificación personal, PII). Estos recursos ayudan al estafador a realizar transacciones fraudulentas que implican ingeniería social para sortear medidas de autenticación y autorización, y lograr su objetivo de sacar dinero de los datos de tarjetas de crédito robadas y de las cuentas en línea expuestas.
Guías de usuario sobre fraude de apuestas y juegos en línea
Los analistas de inteligencia de FraudAction descubrieron un par de guías en el entorno clandestino sobre cómo estafar sitios de apuestas en línea. La primera se publicita como un folleto de 48 páginas con un costo de US$200, mientras que la otra es un conjunto informal de consejos y trucos. Aunque estas guías ya tengan al menos 2 años, algunos de los consejos del ejecutor de la amenaza aún pueden ser pertinentes para los defraudadores, como por ejemplo:
- Las mejores son las salas de juego (en línea) europeas, ya que aceptan prácticamente cualquier información personal sustituta del titular de la tarjeta de crédito (por ejemplo, nombre y dirección).
- Mejores países para realizar fraude de casinos en línea: España (ES), Francia (FR), Alemania (DE), Austria (AU), Italia (IT) y (FI) Finlandia.
- Países problemáticos: EE. UU., Reino Unido, Canadá.
- El ejecutor de la amenaza enumera algunos sitios de póker en línea que aceptan tarjetas de crédito de Estados Unidos: SportsBook Poker, PlayersOnly Poker, Carbon Poker, Poker Stars, Bodog Poker, Only Poker, Super Book Poker, Full Tilt.
- Siempre revise que la tarjeta que utilice siga siendo válida y que tenga suficiente saldo disponible.
- Se recomiendan las salas de apuestas en línea con un límite superior a US$600, ya que es más probable que pierda en salas con un límite inferior.
El ejecutor de la amenaza también proporciona consejos detallados sobre cómo administrar cuentas en las salas de póker en línea, cómo depositar y retirar fondos y cómo transferir fondos entre cuentas.
En su último comentario, le recuerda a sus pares que la mayoría de los sitios de juegos tienen una vulnerabilidad o punto débil de algún tipo, y que encontrarlo y aprovecharlo depende de ellos.
Acerca de RSA
Las soluciones de seguridad basada en inteligencia de RSA ayudan a las organizaciones a disminuir el riesgo de operar en un mundo digital. Mediante la visibilidad, el análisis y la acción, las soluciones de RSA otorgan a los clientes la capacidad de detectar, investigar y responder a amenazas avanzadas, confirmar y gestionar identidades y, en última instancia, a ayudar en el robo de IP, el fraude y el crimen cibernético. Para obtener más información sobre RSA, visite argentina.rsa.com.
RSA, Archer, SecurID y EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Android es una marca registrada de Google Inc. Es posible que todas las demás marcas y todos los demás nombres sean marcas comerciales de sus respectivos dueños.
Esta publicación contiene “declaraciones prospectivas”, según se define en las Leyes Federales de Valores. Los resultados reales pueden diferir considerablemente de las declaraciones prospectivas como resultado de ciertos factores de riesgo que incluyen, aunque no de manera exclusiva, lo siguiente: (I) cambios adversos en las condiciones económicas o del mercado en general; (II) retrasos o disminución de los gastos en tecnología de la información; (III) las tasas relativas y variables de precios de los productos y la disminución de costos de los componentes, y el volumen y la combinación de ingresos por productos y servicios; (IV) factores competitivos, entre los que se incluyen presiones en la fijación de precios e introducción de nuevos productos; (V) calidad y disponibilidad de componentes y productos; (VI) fluctuaciones en los resultados operacionales de VMware, Inc. y los riesgos asociados con la comercialización de acciones de VMware; (VII) la transición a nuevos productos, la incertidumbre de aceptación del cliente de nuevas ofertas de productos y los rápidos cambios tecnológicos y del mercado; (VIII) riesgos asociados con la administración del crecimiento del negocio, incluidos riesgos asociados con inversiones y adquisiciones, además de los retos y los costos de integración, reestructuración y logros de sinergias anticipadas; (IX) la capacidad de atraer y retener empleados altamente calificados; (X) inventario insuficiente, en exceso o en desuso; (XI) tasas de cambio de divisa fluctuantes; (XII) amenazas y otras interrupciones en nuestros centros de datos o redes seguras; (XIII) nuestra capacidad para proteger nuestra tecnología patentada; (XIV) guerra o actos de terrorismo; y (XV) otros eventos ocasionales y otros factores importantes publicados antes y periódicamente en los registros de EMC Corporation, la empresa matriz de RSA, ante U.S. Securities and Exchange Commission. EMC y RSA no asumen ningún tipo de obligación por la actualización de las declaraciones de prevención con posterioridad a la fecha de esta publicación.
###
Contacto de Prensa
Melisa Silva
Mazalán Comunicaciones
msilva@mazalan.com.ar
Tel: +54 11 6091 8279
Cel: +54 911 57057780