NoMoreCry Tool

 



Desde el CCN-CERT han publicado una herramienta que permitirá evitar la ejecución del ransomware en el equipo, bloqueando no solo el cifrado de los archivos, también la distribución de la amenaza a otras carpetas de red compartidas. Hablamos del software NoMoreCry Tool.

Hay que tener en cuenta algunos aspectos con respecto a esta herramienta. De entrada, indicar que este software es útil siempre y cuando la amenaza no se haya instalado en el equipo. Una vez se ha producido esto, si se lleva a cabo la ejecución de la herramienta los resultados no serán los esperados. Es decir, el efecto será nulo.

También hay que tener en cuenta que no posee persistencia en el sistema. Lo que quiere decir que con cada inicio de sesión en el equipo tendremos que ejecutar de nuevo la aplicación para que esté protegido frente a esta amenaza.

Otro aspecto destacable es que la herramienta no funciona de forma correcta en Windows XP, siendo recomendable su uso en Windows Vista o versiones superiores.


Parches para WindowsXP, Windows Server 2003, Windows 8 y otros sistemas fuera de soporte

Descargar la herramienta 


El software se basa en la utilización de un mutex que evita que se lleve a cabo la ejecución del código perteneciente a la amenaza WannaCry.

Otras acciones a realizar

Además de utilizar esta herramienta, desde Microsoft han publicado parches de seguridad que evitan que la amenaza se aproveche de una vulnerabilidad existente. Estas actualizaciones están disponible tanto para las últimas versiones de los sistemas Windows como para aquellas que no poseían soporte, destacando entre ellas Windows XP, cuya cuota de mercado es aún bastante significativa.

Algunos consejos adicionales

Aunque el script pueda bloquear la ejecución del software malicioso, conviene tener algunas consideraciones en cuenta. Por ejemplo, tener cierta cautela de los archivos adjuntos que se descargan del correo electrónico o de sitios web cuya naturaleza pueda resultar dudosa.

También resulta recomendable disponer de una solución de seguridad instalada en el equipo y realizar copias de seguridad o fijar puntos de restauración del sistema de forma periódica. De esta forma minimizaremos la pérdida de la información afectada por el ransomware.

Recomendada la ejecución de NoMoreCry Tool

Aunque hemos comprobado que sufre algunas limitaciones a nivel de funcionamiento, la herramienta cumple con su cometido, protegiendo al usuario de la ejecución de esta amenaza en el equipo.

Por este motivo, resulta más que recomendable hacer uso de la misma, sobre todo si teniendo en cuenta que está disponible de forma gratuita y que para el usuario es un comportamiento transparente.

-Ver información original al respecto en redeszone.net


Fuente: zonavirus

Filecoder: Secuestrando tus datos

 

Los troyanos que cifran los ficheros de los usuarios y tartan de obtener un rescate de la víctima a cambio de una utilidad de descifrado no son nada nuevo, de hecho, han estado activos desde hace varios años. Estos cifradores de ficheros o Filecoders, tal y como los conocemos comúnmente, son la categoría mayoritaria de ransomware, siendo el otro tipo más común el scareware lockscreen, un tipo de ransomware que bloquea el sistema, muestra un mensaje diseñado para hacerse pasar por cuerpos y fuerzas de seguridad del estado y, de nuevo, solicitar un rescate para poder volver a acceder al sistema.

El motivo por el que estamos sacando a la luz este viejo asunto es que hemos notado un incremento significativo en la actividad de Filecoder en los pasados meses veraniegos y en este artículo esperamos contestar las múltiples cuestiones que estamos recibiendo sobre este asunto.

Las detecciones de ESET de esta categoría de malware son normalmente catalogadas como Win32/Filecoder, Win32/Gpcode o, en algunos casos como otroas familias de malware.

Estadisticas

La telemetría de ESET LiveGrid® nos muestra que el número de detecciones semanales de Win32/Filecoder se han incrementado un 200% desde Julio de 2013 con respecto a las cifras comprendidas entre enero y junio de 2013.

1 time_graph

El país más afectado por estas familias de malware es Rusia, pero las campañas de propagación siguen activas en diferentes partes del mundo:

2 country_graph

Vectores de infección

Como en el caso de otras familias de troyanos, los ciberdelincuentes que utilizan el ransomware Filecoder tienen una cantidad de métodos diferentes para conseguir instalar el malware en los sistemas de las víctimas:

  • A través de descargas desde sitios que sirven malware
  • A través de adjuntos en los correos electrónicos
  • Instalación por otro troyano o backdoor (ver el primer caso de ejemplo a continuación)
  • Instalación manual por el atacante a través de una infiltración RDP (ver el segundo caso de ejemplo a continuación)
  • Otros vectores de infección comunes

En uno de estos casos hemos visto a Win32/Filecoder.Q (y posteriormente también a Win32/Filecoder.AA y Win32/Filecoder.W) propagarse usando backdoors, como la herramienta de acceso remoto R.A.T. Poison-Ivy. En este caso, a las víctimas se les envió este backdoor mediante correo electrónico y, en caso de ser engañados para ejecutar el malware, contactaban con el centro de mando y control en espera de recibir órdenes. A continuación el atacante enviaría el troyano Filecoder a la máquina infectada, el cual no se guardaría como un archivo en el disco duro ya que solo se ejecutaría en memoria.

También hemos visto varios casos en los que el atacante consiguió instalar el ransomware Filecoder en el sistema de forma manual a través de credenciales débiles de acceso al Protocolo de Escritorio Remoto (RDP). No contamos con la información suficiente para saber como ocurrió esta intrusión aunque puestros RDP expuestos, una infección previa con un keylogger o rompiendo una contraseña débil con fuerza bruta son solo algunas de las explicaciones posibles. N obstante, lo más importante es que en ese caso el atacante puede obtener acceso completo a la máquina objetivo como si estuviera sentado en el escritorio, desactivando cualquier protección antivirus y haciendo lo que quisiera, incluyendo la instalación de malware.

En alguno de estos casos, la instalación manual también es necesaria debido al hecho de que algunas variantes requieren algo de “interacción del usuario”, p.ej. al configurar la contraseña de cifrado.

Técnicas de cifrado

Tal y como mencionamos en la introducción, este tipo de ransomware es más peligroso que el más extendido “Virus de la Policía”, ya que también cifra los ficheros de la víctima, normalmente fotografías, documentos, música y otros ficheros. Se han observado una amplia variedad de técnicas y niveles de sofisticación en diferentes variantes a lo largo del tiempo:

  • El cifrado puede ser implementado en el código del troyano o usando herramientas legítimas de terceros (p.ej. LockDir, archivos de WinRAR protegidos con contraseña, etc.)
  • Algunas variantes cifran todo el archive, otras solo una parte (por ejemplo, cuando se usa un cifrado RSA más lento)
  • Se han utilizado varios métodos para eliminar el archive original. En algunos casos el archivo limpio se elimina y puede ser recuperado utilizando herramientas de recuperación de datos. En otros casos el archivo se eliminó de forma segura (p.ej. utilizando la herramienta SDelete de Microsoft SysInternals) o simplemente sobreescribiéndolo.

Se utilizan diferentes métodos de cifrado:

También las claves de cifrado pueden estar:

  • En el código del binario
  • Introducidas manualmente (mediante línea de commando o un cuadro de diálogo cuando el atacante tiene acceso RDP a la máquina infectada)
  • Generadas de forma aleatoria (utilizando varias funciones de generacion aleatoria) y enviadas luego al atacante.

Algunos ejemplos que se encuentran activos

Una familia de Filecoder que se ha estado propaganda a través de RDP y ha mejorado sus tácticas a través del tiempo también utiliza trucos de scareware y se presenta con el mensaje de “Anti-Child Porn Spam Protection” o perteneciente a la “ACCDFISA” (“Anti Cyber Crime Department of Federal Internet Security Agency”), agencia que, por supuesto, no existe. Podemos encontrar más información al respecto en el post que publicamos en nuestro blog hace unos meses. Aunque esta variante en particular, detectada por ESET como Win32/Filecoder.NAC, ha estado circulando por un tiempo, aun sigue activa.

Este troyano también destaca por la cantidad de dinero que solicita. Mientras otras muestras de esta categoría de malware normalmente solicitan sumasentre 100 y 200 euros, Win32/Filecoder.NAC ha llegado a solicitar 3000€. Esta elevada cantidad está relacionada con el hecho de que el atacante normalmente tiene como objetivo a empresas que pueden pagar mayores cantidades que usuarios particulares.

Win32/Filecoder.BH, también conocido como DirtyDecrypt, tiene un interesante método de mostrar la alerta de secuestro al usuario. Durante el proceso de cifrado, el contenido de los ficheros de imágenes, así como el de documentos se sobreescribe con un aviso segido por los bytes originales cifrados.

3 screenshot_filecoder_bh

Otra variante reciente, Win32/Filecoder.BQ, intenta presionar a las víctimas mostrando una cuenta atrás mostrando lo que falta para que la llave de cifrado se borre permanentemente. Curiosamente, a las víctimas se les ofrece la posibilidad de pagar el rescate con Bitcoins, además de los métodos habituales de pago en casos de ransomware como MoneyPak o Ukash. Se pueden encontrar más detalles de esta variante en la Enciclopedia de Amenazas de ESET: Win32/Filecoder.BQ.

Algunas variants de Filecoder se diseñan usando una utilidad similar a las utilizadas en los casos de troyanos bancarios que se venden en foros underground. Este herramienta permite al atacante seleccionar que tipo de ficheros serán cifrados, el método de cifrado deseado, el mensaje de secuestro mostrado y varias opciones más.

4 filecoder_builder

Unos cuantos consejos

En algunos casos, cuando Filecoder utiliza un cifrado débil, una implementación defectuosa o almacena la contraseña de cifrado en algún sitio que puede ser recuperado, puede ser posible descifrar los ficheros. Desafortunadamente, en la mayoría de casos, los atacantes han aprendido a evitar estos errores y recuperar los ficheros cifrados si la clave de cifrado es casi imposible.

Si se requiere acceso remoto a un ordenador se deben tomar medidas de seguridad adecuadas. RDP no debería estar accesible desde Internet y debería utilizarse una VPN con doble factor de autenticación.

También es una Buena idea proteger con contraseña la configuración de la solución antimalware para evitar que un atacante la modifique.

5 ESS settings psw

El tradicional consejo de seguridad acerca de evitar corer riesgos y mantener el antivirus y todo el software actualizado también se aplica, pero en este caso es aún más importante realizar copias de seguridad regularmente.

blogs.protegerse

RdpGuard: Defiende tu sistema Windows ante ataques de fuerza bruta

Uno de los ataques que más problemas está creando en el ‘Mundo Microsoft’ son los ataques por fuerza bruta al servicio RPD (terminal server)
En muchas de las infecciones por Ransomware el origen es un ataque de fuerza bruta que ha conseguido comprometer una cuenta de administrador y luego de eso, vía libre para hacer y deshacer en el sistema.
En el ‘Mundo Linux’ hemos disfrutado desde hace mucho tiempo de una aplicación tan potente como Fail2Ban que monitoriza los intentos de fuerza bruta y permite aplicar acciones sobre ellos.
Buscando una alternativa para servidores Windows, llegué hasta ‘RdpGuard‘ una herramienta que permite monitorizar ataques de fuerza bruta a RDP y no solo eso, también a ftp y a SQL Server.
La aplicación se instala de forma fácil a golpe de ratón

 

Pulsamos ‘Next’

 

Aceptamos la licencia

 

Seleccionamos donde queremos instalar la aplicación

 

Elegimos qué usuarios van a ver la interface de administración

 

Y ya está, ya tenemos listo RdpGuard
Una vez que se detecte algún intento de fuerza bruta, podemos consultar desde la interface gráfica la IP que nos ha atacado y el tiempo de bloqueo
El tiempo de bloqueo es configurable según lo que estimemos necesario
Para más información podéis ir a la página web del proyecto

Diferencias: Virus, Troyanos, Spyware…

 

La mayoría de los usuarios se refieren comúnmente como “virus” a cualquier programa que se instala en su ordenador y que realiza una mala acción sobre él. Las empresas de seguridad también se suelen referir a sus programas como “antivirus” o “antimalware” por generalizar y simplificar el nombre de sus productos, pero existen varios tipos de malware o “software malicioso” y cada uno realiza unas determinadas acciones sobre nuestro equipo.

Por norma general, un “antimalware” es menos completo que una solución “antivirus” cuando en realidad debería ser técnicamente al revés. Esto es debido a que el primer tipo de malware existente fueron los virus y las primeras soluciones se denominaron así. Con el tiempo, las empresas no decidieron cambiar el nombre a sus programas por miedo a perder su fama y credibilidad por parte de los usuarios.

Virus

Fue el primer término acuñado a finales de los años 80, cuando empezaban a aparecer y a distribuirse estas amenazas. El término virus viene dado por su característica similar a la de un virus biológico, que necesita un huésped para insertar su ADN y seguir extendiéndose. Normalmente, un virus infecta hasta el último archivo del sistema dejando este inutilizable para el usuario.

Troyano

Es un programa que se hace pasar por otro legítimo y que, una vez el usuario lo instala, permite al atacante tomar el control del equipo víctima. Normalmente este tipo de software malicioso es utilizado para instalar otro software de control como keyloggers, puertas traseras o ejecutar exploits que tomen el control del sistema.

Worms

También conocidos como gusanos informáticos. Su objetivo es extenderse por todos los archivos del sistema una vez la víctima ha sido infectada. También se caracterizan por su habilidad para extenderse a través de email, memorias USB, discos duros externos y cualquier dispositivo de almacenamiento. Un worm afecta directamente al rendimiento del PC o de la red llegando a ser imposible trabajar con ello.

malware_worm_troyan_virus

Keyloggers

Un keylogger se encarga de registrar todas las pulsaciones del teclado y se las envía al atacante con el fin de robar contraseñas y datos personales de las víctimas.

Dialers

A los dialers se les consideran prácticamente extintos. Cuándo se utilizaba el acceso a internet a través de la línea RTB, estos programas se encargaban de mandar al modem llamar a números de pago, lo que suponía un aumento exponencial en la factura de teléfono. Con las líneas ADSL ya no tienen ningún efecto.

Backdoor

Las backdoor o puertas traseras son unas líneas de código que los desarrolladores introducen en los programas para permitir un control remoto de estos. Normalmente es una parte de código existente en los troyanos desde los que se puede acceder al sistema desde un equipo remoto.

Exploits

Los exploits son programas que permiten “explotar” los fallos o vulnerabilidades de los diferentes programas. Con ellos, los atacantes pueden llegar a tomar hasta el control del sistema.

Spyware

Este tipo de malware se encarga de recopilar una serie de datos, sin consentimiento del usuario y del equipo, para su posterior envío a los atacantes.

Adware

La función del adware es mostrar un sin fin de ventanas de publicidad al usuario. Por lo general no realiza ningún tipo de daño al sistema ni a los datos de este.

Rootkit

Un rootkit consta de varios elementos que otorgan el acceso al sistema de un atacante. Normalmente se esconden para no ser detectados bajo la apariencia y el nombre de proceso de diferentes programas. Un rootkit normalmente es utilizado a través de un exploit o un troyano.

Rogue / Scareware

También conocidos como “falsos antivirus”. Estas aplicaciones se instalan en el sistema y muestran una serie de falsos avisos y amenazas pidiendo a la víctima que compre un software para poder desinfectar el equipo. Por lo general son bastante complicados de desinstalar y suelen causar problemas de rendimiento.

Ransomware

Este tipo de malware se está utilizando mucho en los últimos días. Se encarga de cifrar el contenido completo del equipo de la víctima, bloquea el ordenador y le solicita un pago para descifrarlo y poder volver a usar el sistema.

Esperamos que esta guía os ayude a distinguir todos los tipos de malware que existen actualmente y poder actuar de forma más efectiva en caso de infección.

Fuente | redes zone

Ransomware: extorsión en la Red

 

Ciberextorsión

¿Qué es el ransomware? Es un tipo de software malicioso que usan los ciberdelincuentes para extorsionar y obtener dinero de sus víctimas tras cifrar los datos del disco o bloquear el acceso al sistema. Normalmente, el ransomware se instala a través de una vulnerabilidad en el ordenador después de que el usuario haya abierto un email de phishing o haya visitado una website maliciosa creada por el hacker. En marzo, los expertos de Kaspersky Lab descubrieron archivos adjuntos de ransomware en correos que decían proceder de un servicio de reservas online muy conocido.

Una vez que se instala el programa, éste cifra el disco de la víctima o bloquea el acceso al sistema mientras deja un mensaje de “rescate”, el cual reclama una cantidad de dinero para descifrar los archivos o restablecer el sistema.  El criminal mantiene secuestrado al equipo de la víctima, pero es importante saber que aunque paguemos el rescate, nunca obtendremos el acceso a nuestro ordenador. ¡Es un timo!

Ransomware1

Ejemplo de un mensaje de ransomware cuando reiniciamos el equipo

Este tipo de malware está ganando popularidad en todo el mundo, aunque los mensajes y timos difieren según el punto del planeta. En aquellos países donde la piratería es un asunto bastante habitual (como es el caso de Rusia) los programas de ransomware que bloquean el acceso al sistema suelen asegurar que han identificado un software ilegal en el equipo y exigen un pago por él.

En Europa o Norteamérica, donde piratear software no es tan común, esta técnica no tiene tanto éxito. En su lugar aparecen popups procedentes de las “autoridades policiales” que afirman haber encontrado material pornográfico en el ordenador u otro tipo de contenido ilegal. Normalmente, siempre van acompañados de una multa.

Ransom2

Mensaje de ransomware fingiendo proceder del “Departamento de Justicia de EE.UU.”

Ransomware3

Mensaje de ransomware fingiendo proceder de la “Policía Federal de Alemania”

Si queremos evitar que se infecte nuestro equipo con un programa de ransomware, es necesario instalar una solución de seguridad informática que identifique las vulnerabilidades y utilice un sistema de detección de exploits de alto nivel.

Si tu ordenador ya está infectado, los especialistas de Kaspersky Lab han diseñado la siguiente herramienta: Kaspersky WindowsUnlocker. Se puede lanzar esta función cuando se inicia el ordenador desde el disco de rescate  de Kaspersky Lab. En nuestra sección de soporte técnico, podrás encontrar los pasos a seguir para instalar el disco y la herramienta, eliminando el programa malicioso.

Fuente | Kaspersky

Malware Reveton

 

Los desarrolladores del ransomware Reveton (malware que secuestra o cifra la información de la víctima) podrían haber incluido un nuevo módulo, el cual genera bitácoras que guardan las pulsaciones del teclado (keylogging) como táctica de respaldo en caso de que la víctima se rehúse a pagar el rescate, afirma Microsoft.

El malware se distribuye al utilizar el Kit de Explotación Blackhole. Éste inicia mostrando una pantalla de bloqueo y, con falsos motivos, demanda el pago de dinero. Generalmente, usurpan el nombre de alguna entidad de la Policía y alertan por delitos informáticos inexistentes.

Reveton descarga por separado el componente que roba las contraseñas, el cual fue generado a partir de una pieza antigua de malware que utiliza el sistema infectado para establecer múltiples sesiones. Su objetivo son conexiones a servidores FTP, juegos, correos electrónicos, mensajería instantánea y contraseñas almacenadas en el navegador web.

La inclusión de este nuevo módulo no es una característica inesperada, pero tiene una implicación importante, aún cuando el usuario encuentre la forma de desinstalar el ransomware, no detendría el keylogger, pues este último seguiría trabajando.

Fuente | seguridad unam

Ransomware usa historial del navegador para obligar a usuarios a pagar.

Una nueva variante de ransomware llamado Kovter utiliza un enfoque totalmente nuevo para convencer a las víctimas de la legitimidad de su solicitud.

De acuerdo con el analista de malware @Kafeine, el ransomware muestra un mensaje con los logos del ‘Departamento de Justicia de los Estados Unidos’, ‘Seguridad Nacional’ y el ‘FBI’. También, incluye información adicional como la dirección IP del usuario, nombre del equipo y la dirección web de algún sitio pornográfico (no necesariamente ilegal) que el usuario haya visitado recientemente.

Dicha acción la realiza mediante la inspección del historial de navegación. Compara los sitios web que se encuentran en el historial con una lista alojada en un servidor remoto. Si se descubre una dirección URL que coincida, se muestra una advertencia con el mensaje:


Si no encuentra alguna coincidencia, simplemente utiliza alguna de la lista de la víctima al azar.

En este caso en particular, los criminales están pidiendo 300 dólares para desbloquear la computadora de la víctima. Se recomienda a los usuarios, no pagar el rescate y buscar una solución al problema en línea desde otro con herramientas gratuitas como PoliFix by @InfoSpyware

Fuente | forospyware

Nuevas variantes del “Virus de la Policía” incluyen países de Latinoamérica

 
Cuando comentamos la noticia de la detención de un grupo de delincuentes que utilizaban el ransomware conocido popularmente como “Virus de la Policía”, ya avisábamos de que, a pesar del notable esfuerzo realizado por la Brigada de Investigación Tecnológica de la Policía Nacional, la operación tan solo había terminado con uno de los numerosos grupos que utilizan esta técnica para conseguir importantes cantidades de dinero.

La detención de uno de estos grupos no ha afectado a aquellos que realmente se encargan de innovar sacando nuevas variantes con funcionalidades mejoradas. Un ejemplo de ello es esta captura de una de las variantes más recientes que afecta a usuarios españoles.

eset_nod32_virus_policia

Entre las novedades más importantes de esta nueva variante destacamos (gracias a la información proporcionada desde el blog del investigador Kafeine) la descarga desde el centro de mando y control del diseño personalizado dependiendo del país desde donde se conecte el usuario, en lugar de estar incluido en el código malicioso que causa la infección.

Vemos también cómo se siguen usando métodos de pago que son difíciles de rastrear como Ukash o PaySafeCard, indicando a los usuarios dónde pueden adquirirlos. Esta ha sido una constante prácticamente desde el principio de la aparición de este ransomware, que ha evitado utilizar la tarjeta de crédito de la víctima como método de pago, muy probablemente para evitar su rastreo y la utilización de muleros.

Pero si hay algo que nos ha llamado especialmente la atención ha sido la utilización, por primera vez, del nombre de las fuerzas de seguridad de varios países de Latinoamérica, entre los que encontramos Argentina, Bolivia, Ecuador y México.

eset_nod32_latam_reveton

Los métodos de pago siguen siendo los mismos pero varía la cantidad a ingresar dependiendo del país de la víctima. Estas cantidades varían entre los 200 pesos argentinos (o 50 dólares) que piden a usuarios de Argentina, a los 2000 pesos mexicanos (alrededor de 150 dólares) que piden a los usuarios de México.

Es muy probable que este intento de sacar dinero a usuarios de Latinoamérica sea una prueba para ver cómo de rentable es incluir a estos países en la lista de objetivos. Sabiendo que las víctimas potenciales suman decenas de millones de usuarios y el importante crecimiento económico experimentado en los últimos años por algunos países de la región, no nos extrañaríamos de ver próximamente nuevas variantes que incluyeran a más países de esa zona.

Sea como sea, el “Virus de la Policía” sigue más activo que nunca y lo seguirá estando mientras reporte beneficios a todas las bandas de cibercriminales que lo utilizan para extorsionar a los usuarios. Está en nuestras manos evitar infectarnos utilizando una solución de seguridad y actualizando o desinstalando programas como Java  que son usados por muchas variantes de este malware como vector de infección.

Fuente | protegerse

Cuando un tonto coge una vereda ...

Panda alerta de un nuevo ataque de ‘spam’ que usa la imagen de Facebook

La compañía de seguridad Panda Labs ha advertido a los usuarios de un nuevo ataque de spam que utiliza el exploit kit Blackhole. La amenaza consistente en el envío de un email con la apariencia de los realizados por Facebook, mediante el que se busca instalar el ‘malware’ ransomware o un troyano bancario.

   Panda Labs ha alertado esta semana de un nuevo foco de ciberataques en la red. La compañía ha vuelto a identificar el exploit Blackhole como eje de la amenaza. Este kit de exploits es actualmente la amenaza web más frecuente ya que ocupa el 28 por ciento del total de amenazas descubiertas por Sophos y el 91 por ciento de las detectadas por AVG.

Como vehículo para la distribución del exploits los ciberdelincuentes utilizan un email que aparentemente proveniente de Facebook. En el mail se pide a los usuarios que se haga click en un enlace.

De esta forma, una vez más la táctica de utilizar emails que aparenten provenir de Facebook vuelve a ser utilizada. En concreto, en los casos identificados se indica al usuario que su perfil ha sido eliminado y que, para restaurarlo, se necesita hacer click en el enlace que se muestra.

Sin embargo, el resultado de hacer click es una serie de redireccionamientos que llevan al usuario hacia el exploit kit Blackhole que cargará un código para explotar la vulnerabilidad de Java una vez que el kit Exploit Blackhole detecta la versión utilizada.

En el texto de estos emails se puede leer: “Hola, has desactivado tu cuenta de Facebook. Puedes volver a activarla en cualquier momento conectándote a Facebook con tu antigua dirección de correo y contraseña. De esta forma, podrás volver al sitio del modo habitual”. El mail está firmado por los ciberdelincuentes que se hacen pasar por “el equipo de Facebook”.

En el mensaje se pueden encontrar varios errores que delatan que no se trata de un email real, como el remitente, en el que aparece “nondrinker@iztzg.hr” en lugar de “Facebook”. Además, el asunto del mensaje y el cuerpo no concuerdan ya que, en el campo de asunto se puede leer “has recibido un nuevo comentario”, mientras que el cuerpo trata sobre la cancelación de la cuenta.

Para prevenir y no caer en este tipo de ataques, Panda Labs realiza recomienda utilizar el complemento NoScript de Firefox o NotScripts para Chrome, además de lcomplemento WOT para comprobar el estado de un sitio web. También es importante emplear un analizador de URLs si existen dudas sobre la veracidad de alguna URL y siempre cuestionar la procedencia de todos los emails y analizarlos en busca de errores.

Fuente: europapress