El día de ayer Yahoo! lanzó oficialmente Axis, un navegador y buscador disponible como aplicación nativa en iOS, así como en forma de extensión para otros navegadores web como Google Chrome, Firefox e Internet Explorer. Sin embargo, su lanzamiento no inició con el pie derecho en cuanto a seguridad, pues en un grave descuido de la compañía, la extensión para Google Chrome fue publicada junto con el certificado de seguridad privado de Yahoo.

Un hacker conocido como Nik Cubrilovic publicó en su blog oficial este descubrimiento, mismo que permitiría a un atacante crear una extensión maligna que está autenticada con la clave privada de Yahoo.

“El archivo de certificado es utilizado por Yahoo! para firmar el paquete de extensiones, y que fue utilizado en Chrome y la WebStore para autenticar que el paquete es de Yahoo. Con acceso al archivo privado de certificado, un usuario malicioso es capaz de crear una extensión falsificada que Chrome reconocerá como si fuera desarrollada por Yahoo. La principal implicación es que con este archivo y una extensión falsa, es posible crear un paquete que capture todo el tráfico web, incluyendo contraseñas y las cookies de sesión.”, explicó Cubrilovic.

Cubrilovic también publicó una demostración del problema al crear una extensión llamada “yahoo-spoof”, la cual es un clon de Axis y está perfectamente autenticada con la clave de Yahoo. Eso sí, la compañía del buscador no tardó en responder y ya ha lanzado una actualización de la extensión de Axis que utiliza un nuevo certificado de seguridad, en tanto que el anterior ha sido revocado.

Debido al accidentado lanzamiento, la firma de seguridad Sophos ha recomendado a los usuarios esperar un poco antes de utilizar Axis, sólo por si en los próximos días no se dan a conocer nuevos problemas.

A pesar de que han pasado más de tres meses desde que Adobe solución una vulnerabilidad crítica en su plugin web Flash Player, actualmente se sigue reportando la aparición de nuevos exploits, cuyas víctimas son los usuarios que todavía no han decidido descargar las últimas actualizaciones.

La vulnerabilidad en cuestión, identificada como CVE-2012-0754, afecta a todas las versiones del popular plugin web en plataformas Windows, Linux, Solaris y Android y permite la ejecución de código malicioso. Pero si bien Adobe lanzó un parche en febrero, un reciente informe de Xecure Lab alerta de la circulación de nuevos ataques que tienen como finalidad propagar un troyano de la familia “SB” por medio de la mencionada vulnerabilidad.

Anteriormente se había detectado que este malware estaba siendo distribuido mediante documentos de Microsoft Word, los cuales tienen incrustado un objeto en Flash que se encarga de descargar desde un servidor remoto un archivo MP4 y que incluye el código malicioso encargado de explotar el fallo de seguridad. Sin embargo, según explica Xecure, ahora se ha descubierto una nueva variante del troyano en documentos PDF maliciosos, y con la característica de que los archivos MP4 ya se encuentran incrustados dentro del mismo documento.

Desde el mes de febrero Adobe ha lanzado tres actualizaciones para Flash Player, por lo que los usuarios propensos a estos ataques también están expuestos a otros múltiples fallos de seguridad. Para descargar su última versión disponible, sólo tienen que dirigirse al Centro de Descrgas en el sitio web de Adobe o bien ejecutar el mecanismo de actualizaciones de Flash Player.

A pesar de que Pinterest es una red social relativamente nueva (se lanzó a principios de 2010), su constante popularidad ya ha conseguido que los cibercriminales la vean como un blanco muy atractivo para distribuir estafas y atrapar nuevas víctimas.

Según un reciente reporte de Trend Micro, se ha detectado una nueva oledada de scam en esta red social que, a base de pins o posts falsos, redireccionan a los usuarios a páginas en las que deben contestan encuestas en línea. Como gancho, se asegura que estas encuestas son para poder ganar de forma inmediata algunos premios, entre ellos tarjetas de regalo y descuentos para diferentes tiendas y establecimientos como JStarBucks, Walmart, Apple Store, entre otras.

Las víctimas que terminan visitando estas páginas se les pide que ingresen diferentes datos personales así como su número de teléfono móvil, el cual supuestamente será utilizado para enviarles el código de descuento. Además, otras páginas también requieren que la víctima ingrese una cuenta de correo electrónico auténtica, la cual deberá verificar haciendo clic en un mensaje que le será enviado, y para que los usuarios no duden de su supuesta legitimidad, estos mensajes se hacen pasar por notificaciones oficiales de Pinterest.

La firma de seguridad también señala que los enlaces maliciosos primero llevan a los usuarios a sitios de seguimiento de publicidad, por lo que los estafadores obtienen una ganancia cada vez que alguien hace clic en un enlace contesten o no las encuestas. Si bien Pinterest ha estado eliminando constantemente este tipo de posts falsos, parece que los cibercriminales seguirán intensificando sus publicaciones, por lo que les recomendamos tener mucha precaución antes de seguir un enlace o re-enviar un pin a otros usuarios.

Mediante mensajes engañosos que simulan ser enviados por el equipo de Windows Live de Microsoft, cibercriminales han puesto en marcha una campaña de phishing contra usuarios de Hotmail que tiene como fin robar sus datos.

En estos mensajes se intenta alamar a las víctimas haciéndoles creer que su servicio ha sido suspendido debido a que se detectó la emisión de una gran cantidad de mensajes basura desde su cuenta de correo electrónico, lo cual estaría violando los Términos de Servicio de Hotmail. Sin embargo, en el mismo mensaje se ofrece una supuesta solución para poder reactivar la cuenta: hacer clic en un enlace y confirmar su información.

A pesar de lo contradictorio del supuesto reporte (si la cuenta ya está bloqueada cómo es posible tener acceso a la bandeja de entrada), los usuarios que deciden hacer clic en el mensaje obviamente no son enviados a ningún sitio web de Microsoft, sino a una página maliciosa que copia fielmente la interfaz de Hotmail y en donde se les pide introducir su ID de Windows Live y Contraseña. Eso sí, después de introducir los datos, las víctimas son redireccionados a una página legítima de Windows Live, aunque para este punto sus datos ya están en manos de los criminales.

Lo irónico de todo esto es que, una vez que la cuenta ha sido robada, es muy probable que ahora sí sea utilizada para para enviar spam masivo y atacar a otros usuarios. Así que nuevamente les recomendamos mantenerse alertas ante este tipo de mensajes y siempre evitar hacer clic en cualquier enlace en donde se les pida “verificar” sus datos de acceso. Aunque este tipo de tácticas no son nada nuevas, por lo visto siguen teniendo éxito para cazar nuevas víctimas.

(vía: Hoax-Slayer)

Investigadores de la firma Trend Micro han dado alerta sobre un nuevo gusano que se propaga a través del sistema de mensajes privados (inbox) de Facebook.

El ataque comienza con mensajes aparentemente inofensivos que apuntan a la descarga de un archivo llamado “May09-Picture18.JPG_www.facebook.com.zip”, lo cual puede hacer suponer a la víctima que se trata de una fotografía de algún perfil de la red social. Sin embargo, cuando el usuario intenta visualizar la supuesta imagen, lo que se ejecuta un código malicios identificado como WORM_STECKCT.EVL, cuya primera tarea es finalizar cualquier servicio y proceso relacionado con soluciones antivirus para posteriormente conectarse a un sitio web remoto y poder enviar y recibir información.

Una vez alojado en el sistema, dicho código también se encarga de descargar y ejecutar otra amenaza que ha sido identificada como WORM_EBOOM.AC. Este gusano tiene la capacidad de registrar toda la actividad de navegación del usuario en redes sociales como MySpace, Twitter, WordPress y Facebook, incluyendo conversaciones. Así mismo, y es en este punto en donde se da la propagación, la amenaza aprovecha la cuenta de Facebook de la víctima para distribuir mensajes maliciosos a toda su lista de contactos.

Dado que el código malicioso es distribuido mediante mensajes utilizando cuentas legítimas, es normal que muchos usuarios caigan en la trampa y hagan clic en un enlace pensando que realmente se trata de algo inofensivo. Este tipo de técnicas no son nada nuevas ya que llevan mucho tiempo en aplicaciones de mensajería instantánea como Windows Live Messenger, pero con el boom de las redes sociales, ahora vemos cómo los cibercriminales se enfocan en otros nichos.

Si cuentan con QuickTime para Windows, nuevamente ha llegado el momento de que actualicen, pues Apple acaba de lanzar la actualización 7.7.2 de su reproductor multimedia en su versión para el sistema operativo de Microsoft.

Esta actualización tiene como única finalidad poner fin a un total de 17 vulnerabilidades de seguridad, las cuales, según se detalla en un reporte de seguridad publicado por la compañía de Cupertino, fueron descubiertas en su mayoría mediante la HP Zero Day Initiative y pueden ser aprovechadas por cibercriminales para ejecutar código malicioso en el sistema.

De acuerdo con el mismo reporte, los usuarios con cualquier versión de QuickTime anterior a la 7.7.2 pueden ser víctimas de ataques al visitar una página web maliciosa que tenga incrustado objetos de QuickTime maliciosos, o al utilizar este reproductor para abrir imágenes .PNG o intentar reproducir archivos de vídeo en formato MPEG, MP4 o QTVR que hayan sido especialmente modificados.

Si bien estas correcciones sólo han sido incluidas en esta nueva versión de QuickTime para Windows, Apple también ha señalado que cinco de estas catorce vulnerabilidades ya fueron solucionadas anteriormente en Mac OS X Lion con la actualización 10.7.3, así como en Mac OS X 10.6 (Snow Leopard) con la Actualización de Seguridad 2012-001, mismas que están disponibles desde principios de febrero de 2012.

Los usuarios de Windows ya pueden descargar la última versión de QuickTime desde la página oficial de este reproductor o utilizando la herramienta Actualización de Software de Apple. Como lo hacemos normalmente, les recomendamos actualizar lo más pronto posible para poder corregir dichos problemas y mantenerse a salvo de posibles ataques, aunque hasta el momento no se tienen reportes de exploits activos.

Debido a una actualización de seguridad para distintas versiones de pago Avira Antivirus, numerosos usuarios de esta solución de seguridad han tenido que experimentar una serie de problemas en sus equipos, entre ellos el no poder iniciar sesion en Windows de manera apropiada.

El catrastrófico problema se generó tras el lanzamiento de Service Pack 0, que aunque se suponía era una actualización con mejoras, su instalación provocó todo lo contrario: que el componente ProActiv (responsable de monitorear en tiempo real posibles amenazas de seguridad en el equipo) comenzara a detectar procesos legítimos de Windows como maliciosos, llegando en algunas ocasiones a bloquearlos y ocasionando que el usuario no pueda iniciar sesión. Además, algunos usuarios también han llegado a reportar el bloqueo de otro tipo de programas como Microsoft Office y el sistema de actualizaciones de Chrome.

Entre los productos afectados por estos falsos positivos se encuentran Avira Professional Security, Avira Internet Security 2012 y Avira Antivirus Premium 2012. La firma de seguridad alemana ya ha eliminado la fallida actualización y acaba de lanzar un nuevo parche que soluciona los falsos positivos, por lo que los usuarios que estén experimentando problemas sólo tienen que volver a actualizar su antivirus mediante el centro de descargas. En el caso de aquellos que no puedan iniciar sesión en Windows, es necesario que ingresen al Modo a Prueba de Fallos de Windows para desactivar la característica ProActive y actualizar su antivirus.

Hasta el momento Avira no ha dado a conocer el número de equipos que pudieron verse afectados por este problema, pero la compañía aseguró que están contactando con todos sus usuarios para hacerles saber de este problema y su solución.

Diablo III es uno de los juegos más esperados de este año por muchos usuarios de PC (Windows y Mac OS X), y aprovechando que su lanzamiento se encuentra a la vuelta de la esquina (mañana 15 de mayo en todo el mundo), criminales han puesto en marcha nuevas campañas de scam que intenta aprovecharse de todos esos jugadores que están ansiosos de descargar este esperado título.

De acuerdo con un reciente reporte de la firma de seguridad Trend Micro, se han identificado una serie de páginas que, utilizando técnicas de Black Hat SEO, han logrado posicionarse en los primeros resultados de búsquedas como “Diablo 3 Free Download” en Google.

En estas páginas se ofrece la descarga del título de Blizzard sin ningún costo, sin embargo, cuando los usuarios hacen clic en los supuestos botones de descaga, son redirigidos a una serie de web en las que se deben contestar diferentes encuestas en línea, las cuales solicitan todo tipo de datos personales y en las que, claro está, los únicos beneficiados son los criminales que obtienen una comisión por cada encuesta respondida.

Otras páginas también ofrecen la descarga de la Beta de Diablo III (la cual se mantuvo activa de manera privada hasta hace unas semanas) e incluso tienen integración con Facebook para que las víctimas compartan los mismos enlaces maliciosos con sus amigos.

Este tipo de estafas nuevamente nos recuerda la importancia de sólo descargar software a través de fuentes seguras. En el caso de Diablo III, les recordamos que el juego se podrá aquirir y descargar a partir del día de mañana por medio de la tienda digital de Blizzard (además de su lanzamiento en tiendas físicas), aunque desde este momento ya es posible pre-comprarlo.

Adobe ha anunciado el lanzamiento de la tercera beta de Flash Player 11.3, versión que, como ya habíamos comentado anteriormente, se caracteriza por un incluir nuevo Modo de Protección para Firefox basado en tecnología sandbox.

En realidad este mecanismo ya había sido implementado anteriormente en Flash Player, sin embargo, sólo funciona cuando se ejecuta en Google Chrome, por lo que con esta nueva versión se quiere llevar ese mismo nivel de seguridad a los usuarios del navegador de Mozilla. La finalidad de este sistema, el cual también es equivalente al modo de protección de Adobe Reader X, es evitar, o por lo menos hacer más difícil, la explotación de vulnerabilidades en este plugin web, que como ya todos sabemos, suele ser uno de los principales blancos de los cibercriminales.

“La tecnología de sandbox ha demostrado ser muy efectiva protegiendo a los usuarios gracias a que incrementa el costo y la complejidad de los exploits. Por ejemplo, desde que lo lanzamos en noviembre de 2010, no hemos visto un solo exploit exitoso en Adobe Reader X. Esperamos ver resultados similares el sandbox de Flash Player para Firefox una vez que la versión final se lance a finales del año”, declaró Peleus Uhley, investigador del equipo de seguridad de Adobe.

Pero además del Modo Protección para Firefox, Flash Player 11.3 incluye otras novedades importantes como actualizaciones en segundo plano para Mac. Hasta ahora las actualizaciones silenciosas sólo han sido implementadas de manera completa en Windows, pero con esta beta los usuarios de Mac OS X también tendrán la posibilidad de recibir las últimas actualizaciones de Flash Player de forma automática y sin ningún tipo de intervención (lo cual también es opcional).

(vía: Help Net Security)

Un grupo de hackers anónimos ha logrado comprometer 55,000 cuentas pertenecientes a Twitter. Las listas con los miles de nombres de usuario y sus respectivas contraseñas fueron publicadas hace tan sólo unas horas en cinco diferentes páginas de Pastebin, dejando la puerta abierta para que cualquier persona pueda tomar control total de ellas.

La compañía de la red social no ha publicado un comunicado al respecto, pero de acuerdo con el blog AirDemon, desde donde se hizo el reporte inicial, una fuente interna a Twitter les ha dicho lo siguiente: “La plataforma de micro blogging está al tanto de este hack y está tomando las acciones necesarias para proteger las cuentas de las personas afacetadas de actividades maliciosas”.

Así mismo, TheNextWeb también publica haber recibido una confirmación por parte de Twitter, y les han asegurado que están informando a los usuarios afectados para que reestablezcan las contraseñas de sus cuentas lo antes posible. Y aunque desde Airdemon comentan que en las listas también se incluyen cuentas de importantes celebridades, el equipo de Twitter ha señalado que muchas de estas cuentas son simplemente de spammers.

Hasta este momento se desconoce la forma en que se obtuvieron los datos, pero hasta tener más información, sería muy recomendable que le dieran un vistazo a las diferentes listas en Pastebin (primera, segunda, tercera, cuarta, quinta) para verificar que su cuenta no se encuentra entre ellas. Una forma sencilla de hacerlo es simplemente utilizando el buscador del navegador web e introduciendo nuestro nombre de usuario de Twitter.

Algo que se puede notar en muchas de las contraseñas publicadas es que cuentan con un nivel de seguridad muy pobre (incluso hay los típicos “123456″), por lo que esto nos recuerda una vez más la importancia de utilizar contraseñas fuertes (que combinen caracteres alfanuméricos y símbolos) y que sean diferentes para todos los servicios que usemos.