Pueden ver varios intentos de ataques (en este caso desde china), tratándose de buscar archivos de login y de registro (en otros casos archivos de instalación de WP).

En WP el usuario administrador por defecto es “admin”, y este se puede cambiar durante la instalación. De acuerdo a logs de ataques, se esta usando un diccionario de passwords que las personas comúnmente usan.

Brian Krebs ha informado que una ves infectado el sitio con WP, se coloca un backdoor para controlar el sitio remotamente.

Para prevenir estos ataques pueden tener en cuenta estos tips:
- Cambiar el password de WP
- Cambiar el nombre del usuario administrador por otro.
- Elegir un password complejo y que no se encuentre en una base de datos de passwords comunes.
- Colocar logeo de dos pasos en WP (información)

Un Pirata Informático anónimo programó una botnet de más de 420.000 dispositivos conectados a Internet para realizar el mayor y más completo estudio hasta la fecha sobre la inseguridad en Internet.

El estudio realizado gracias a la ‘botnet’ (una red de máquinas infectadas por un ‘bot’ o programa malicioso que permite a un atacante tomar el control de un equipo infectado), duró un total de nueve meses y concluyó que 420 millones de direcciones IPv4 respondieron a las sondas de exploración lanzadas y 36 millones de direcciones más tenían uno o más puertos abiertos.


La ‘botnet’, bautizada por su autor como ‘Carna’, llegó a recoger más de nueve terabytes(TB) de datos.

Un gran porcentaje de los dispositivos sin proteger llevaba el sello de módems de banda ancha, ‘routers’ de red u otros dispositivos con sistemas operativos integrados que normalmente no están destinados a ser “expuestos al mundo exterior”.

El investigador encontró un total de 1.300 millones de direcciones en uso, incluyendo 141 millones que estaban detrás de un ‘firewall’ y 729 millones que devolvían grabaciones de sistemas de nombres de dominios.

Cuando el programa encontraba dispositivos no seguros, se instalaba en ellos y los utilizaba para realizar exploraciones adicionales. El crecimiento viral de la ‘botnet’ permitió infectar a alrededor de 100.000 dispositivos solamente el día del lanzamiento del programa. Durante los nueve meses que duró el proyecto se efectuó un barrido continuo de casi 4.000 millones de direcciones.

“Una gran cantidad de dispositivos y servicios que hemos visto durante nuestra investigación no deberían de haber estado conectados a la red pública en absoluto”, concluyó el ‘hacker’ anónimo en su informe de 5.000 palabras titulado ‘Internet Census 2012: Port scanning /0 using insecure embedded devices’.

Si usted es usuario de Facebook, debe de prestar especial atención a una nueva amenaza que afecta a la red social. Así, y según G-Data, esta nueva amenaza estafa a los usuarios de Facebook haciéndoles creer que podrán conocer quiénes son los que visitan su perfil en Facebook.


Según G Data, la estafa “comienza con un post en el muro de Facebook que incluye un enlace acortado. Su única función, una vez ha hecho clic sobre él, es comprobar el país de origen del visitante y, en función del resultado, le introduce en una cadena de re direccionamientos vinculados a iFrames con anuncios de todo tipo de productos y servicios, cupones de regalo o juegos de azar que solicitan los datos personales del visitante. Ninguno de los enlaces ni las imágenes embebidas que ilustran los anuncios son maliciosas pero queda demostrado una vez más que los atacantes pueden redirigir el tráfico a su antojo y que todas y cada una de estas visitas dejan su granito de arena en el bolsillo de los estafadores”.

Conocida como “Checker”, una vez que la falsa aplicación ha instalado, añade en el muro del usuario de Facebook un post con un listado de, en teoría, las últimas personas que han visto un determinado perfil. “Checker”, además, “etiqueta” a los amigos del usuario, que también recibirán la respectiva notificación de quiénes han visto su perfil. “Esto hace que se multipliquen los clics pues, habitualmente, los enlaces o post procedentes de amigos cuentan con la confianza necesaria para crear un efecto viral. Sin embargo, y como cualquiera puede ser víctima de este tipo de engaños, cualquier mensaje, incluso los procedentes de fuentes conocidas, deben ser tratados con cautela”, destaca G-Data.

La firma recomiendo que, en caso de que haya sido víctima de esta estafa, hay que borrarlo tan pronto como sea posible, para así evitar su propagación. Además, recomienda, como uso general, no hacer click de forma indiscriminada en enlaces de procedencia desconocida, no navegar por Internet si se tiene activo algún perfil social abierto, acordarse de seleccionar la opción de “cerrar sesión” cada vez que se abandone la red social, no difundir información sensible, ni añadir amigos de forma indiscriminada ni a personas desconocidas, disponer de contraseñas seguras, mantener el navegador y el sistema operativo actualizado o configurar la privacidad de las actualizaciones de estado, fotos e información.

Si ya lo instalamos o queremos saber si lo tenemos instalado, tendremos que ir a Herramientas->complementos->plugins y tendremos algo como esto:

Luego eliminamos la aplicación y listo, ya no tendremos más el virus en nuestro navegador.

Ejemplo de personas infectadas:

Éste es uno de los 14 virus publicados en la última semana por el Inteco-Cert, unido a 65 vulnerabilidades, quien publica diariamente las vulnerabilidades y los virus localizados que más afectan a los internautas. Son más de 50.000 las vulnerabilidades traducidas al español y alrededor de 10.500 los virus catalogados y publicados por Inteco-Cert con el fin de ofrecer datos más cercanos a los internautas de habla hispana.

“Ex-Girlfriend” es el nombre del virus “gusano” que se extendió en los últimos días en Facebook robando las contraseñas de quienes caen en la trampa. “Mi ex-novia me engañó … Esta es mi venganza” es uno de los mensaje que circulan en la red social.

El funcionamiento de este tipo de virus es bastante simple, invita a hacer click en la foto o video de una joven semi desnuda, el objetivo “hacer caer” a los desprevenidos ex novios.

Como requisito previo a la visualización, el sitio solicita a la víctima publicar el enlace en su muro de Facebook y hacer click en “Me gusta”. Con esto se busca propagar el virus a otros usuarios a través de la red social.

Aquellos que caigan en la estafa y accedan al enlace, son dirigidos a una página en la que los usuarios son advertidos de que deben instalar una extensión de DivX para poder ver el vodeo; pero lo que logran es infectar sus equipos con un poderoso malware.

Según los administradores de Facebook, ya se bloqueó el gusano y se está limpiando la red de estos mensajes spam. Sin embargo se recomienda tener cuidado.

El FBI desmanteló en noviembre de 2011 una organización criminal que logró secuestrar millones de computadoras alrededor del mundo gracias al troyano DNSChanger.

El 8 de marzo, el FBI dará de baja los servidores empleados por los cibercriminales, abriendo la posibilidad de que millones de usuarios de internet alrededor del mundo se queden sin poder acceder a la red.

Es que DNSChanger modifica la configuración DNS en las computadoras, lo cual afectaría a los usuarios una vez que el FBI cierre los servidores comprometidos.

DNS (Sistema de Nombres de Dominio) es el servicio que convierte los nombres de dominio en direcciones IP numéricas, identificadores que las computadoras usan para comunicarse entre ellas por la red.

Al modificar esos datos, la computadora infectada por DNSChanger lleva al usuario a un sitio fraudulento en lugar de a uno legítimo.

La normalidad que hoy experimentan estas computadoras es gracias a que las autoridades mantienen la actividad controlada, algo que dejará de suceder una vez que los servidores relacionados con el troyano sean dados de baja.

Si bien el troyano es detectado por la mayoría de los antivirus, los cambios provocados en la conexión a internet permanecen y es necesario reconfigurarla.

“No es suficiente con acabar por completo con el malware pues sus efectos permanecen una vez eliminado”, explicó el responsable de G Data SecurityLabs, Ralf Benzmüller. “En caso de infección, el usuario debería comprobar la configuración de internet así como la del router y deshacer los cambios realizados por el troyano. Esto asegurará una conexión a internet sin problemas después del 8 de marzo”, agregó.

Soluciones
El primer paso que debería tomar el usuario es escanear con un antivirus su equipo.

Por otro lado, distintos organismos y empresas dieron a conocer herramientas de seguridad para que los usuarios puedan saber si sus equipos están o no afectados y por ende corren riesgos de quedarse sin conexión en marzo.

El español Instituto Nacional de Tecnologías de Comunicación recomendó visitar la web dnschanger.eu. El mismo FBI posee una herramienta para conocer si el equipo del usuario está afectado.

También se puede visitar la solución establecida por la Oficina de Seguridad del Internauta haciendo click acá. Y por último, DCWG.

La web detecta si usas Firefox o Chrome, solo funciona en esos navegadores. Los servidores donde estan alojados los plugin son: http://chapulin.info/ y http://pikachu321.info/

Ahora les explicare como funciona el virus:

1- Tiene un listado de sitios, el cual saca uno al azar y luego crea un link corto usando bit.ly.

2- Accede a: http://m.facebook.com/upload.php y les roba el email del usuario, este email permite publicar en facebook remotamente, es un email privado, pero el virus lo roba, y lo envia a esta web: http://allinfree.net/getid.php?mid=#EMAIL#

3- Usando una parte interna en facebook, lee todas tus amigos:  http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1&viewer=#ID_USER#&token32323232&filter[0]=user&options[0]=friends_only

Y envia el virua a todos tus amigos,  publicando un link en el muro (como se ve en la imagen):

4- Como ultimo paso se envía a todas las paginas en las que eres fan, para esto hace uso de: http://www.facebook.com/ajax/typeahead/first_degree.php?__a=1&filter[0]=page&filter[1]=app&filter[2]=group&filter[3]=friendlist&viewer=#ID_USER#&token=v7&lazy=1&__user=#ID_USER#

Enviando el mismo mensaje que es enviado a los amigos:

Cómo funcionan

Desde 2008, el supuesto grupo de ciberdelincuentes distribuye a través de las redes sociales vínculos a videos curiosos o de contenido sexual para que los usuarios ingresen.

A continuación, reciben un mensaje para actualizar su versión de Flash, lo que permite al gusano Koobface entrar en el sistema sin que el usuario lo note.

Así es como pasan a formar parte de la red de 800.000 computadores que se estima podría haber controlado la banda.

Al controlar estos computadores y cuentas, se tiene acceso a todo tipo de información sobre el usuario; desde nombre, dirección, email, teléfono, así como sus preferencias de búsqueda. Datos que según, los investigadores, se vendía a “empresarios sin escrúpulos”.

Se calcula que así se embolsaron unos US$2 millones anuales, y se sabe, gracias a las fotografías que colgaron en sus perfiles en redes sociales, que sus miembros han invertido parte de este dinero en lujosas vacaciones a Monte Carlo, Bali y Turquía.

Se dispone incluso de imágenes de su sede en San Petersburgo, en donde puede verse a los miembros del grupo empleando computadoras Machintosh como lo harían jóvenes emprendedores de Silicon Valley.

“Muy seguros”

Graham Cluley, consultor de la firma tecnológica Sophos, empresa que esta semana publicó una investigación en profundidad sobre la banda, dijo a la BBC que estan “bastante seguros” de haber identificado a las personas correctas, aunque apuntó “por supuesto, tenemos que asumir que cualquiera es inocente hasta que se demuestra su culpabilidad”.

“Es muy difícil estar 100% seguros de estas cosas, pero las pruebas son bastante contundentes para nosotros. Realmente, hay suficientes evidencias para investigar a esta gente”.

Sin embargo, ninguno de los miembros ha sido arrestado en conexión a Koobface. “Tan sólo necesitamos que la policía rusa investigue esto y les detenga”.

Paraíso hacker

Rusia es conocida por ser uno de los mayores paraísos para la piratería informática en el mundo, algo que se remonta a la caída de la Unión Soviética, que coincidió con la era de internet a principios de la década de los ’90.

Un sistema educativo con énfasis en la matemática y la ingeniería dio cabida a una generación de sofisticados informáticos, pero de salarios muy inferiores a las mentes de Silicon Valley o sus homólogos en Europa, lo habría llevado a que muchos se pongan al servicio de las mafias que se lucran de la piratería.

Un estudio publicado en 2011 por el fabricante de programas Symantec, señaló que el cibercrimen en el mundo genera unos ingresos de US$114.000 millones anuales.

Simples “entusiastas” informáticos

En el caso de la banda Koobface, los investigadores les describen como simples entusiastas informáticos y reconocen que sus tácticas son mucho menos agresivas que otros piratas de su clase.

De hecho, en 2009 llegaron al punto de dejar una felicitación de navidad electrónica destinada a los investigadores, oculta en un computador infectado, en la que prometían que nunca robarían información de tarjetas de crédito o datos bancarios.

Con el tiempo, las pesquisas fueron revelando cada vez más detalles sobre la banda, en parte gracias a los esfuerzos de otro aficionado a la tecnología, el joven alemán Jan Drömer, quien se hizo con información de todo tipo en internet.

Así obtuvieron datos de la vida de Avdeyko, el más veterano y de quien se sospecha que es el líder, y quién estuvo implicado anteriormente en otro programa malicioso distribuido en la red.

Se sabe de otros, como Korotchenko, que trató de emprender negocios legítimos como la empresa de programas MobSoft

La venganza de Facebook

Recientemente, según dicen frustrados por la “lentitud” de las autoridades rusas a la hora de tomar cartas en el asunto, expertos en seguridad de la red social Facebook decidieron llevar a cabo un ataque por su cuenta, lo que, afirman, habría obligado a la banda a abandonar sus operaciones.

La acción coordinada, aseguraron miembros de Facebook, habría desmantelado su centro de operaciones y eliminado el gusano informático de su red y de los computadores infectados.

Pero aún así, Facebook dice no clamar victoria. No hasta que los autores del cibercrimen sean llevados a la justicia.

En este sentido, la ofensiva de los investigadores ha sido poner a disposición del público sus identidades.

“En un mundo ideal sus identidades nunca hubieran sido dadas a conocer al público” expresó Cluley, “pero el conejo está fuera de su madriguera y debemos usar una táctica distinta”.

Kaspersky Lab advierte del ataque que se sigue produciendo en estos momentos en la red social Facebook. Este nuevo ataque de phishing no sólo se centra en el robo de los credenciales, sino que trata de conseguir datos más críticos como el número de tarjeta de crédito o las preguntas de seguridad.

Comentan que es un ataque interesante porque no sólo intenta engañar a la víctima llevándola a una página web de phishing sino que, además, reutiliza la información robada y accederá a la cuenta atacada para cambiar el nombre y el perfil.

la foto de perfil se sustituye por el logo de Facebook y el nombre se traduce por Facebook security, pero con caracteres especiales de ASCII que sustituyen letras (“a”, “k”, “S”, y “t”) Una vez que la cuenta ha sido atacada, enviará un mensaje a todos los contactos.

El mensaje tiene esta apariencia:

“Último aviso: tu cuenta de Facebook será desactivada ya que has sido denunciado. Por favor, restaura la seguridad de tu cuenta en=> http://apps-xxxx-xxxxx-user.de.vu Gracias. El Equipo de Facebook”

Al pulsar el enlace nos llevará a una web muy parecida a Facebook, donde piden información personal que será robada.

Después de que la víctima haya facilitado esta información, una nueva página le solicita que confirme su identidad con un pago, por lo que pide el número de tarjeta de crédito.

Esta última página de phishing tratará de confirmar la información de nuestra tarjeta de crédito, incluyendo el código de seguridad de la parte de atrás de la tarjeta.

Estad atentos y no pulséis en cualquier enlace que os presentan.
Via: http://wwwhatsnew.com/2012/01/13/cuidado-con-el-mensaje-ultimo-aviso-tu-cuenta-de-facebook-sera-desactivada-ya-que-has-sido-denunciado/