“criminalidad” habitual en cualquier proveedor web, y que habitualmente cierra las webs en menos de 24 horas, facilitando el trabajo a los profesionales de la seguridad. Sin embargo, es posible que la única acción de la RBN cuando recibe presiones para cerrar un sitio web, sea aumentar el “alquiler” a los delincuentes que se basan en ella para operar. Por último, se le pidió al tal Jaret que ofreciera nombres de usuarios legítimos de sus redes, y contestó que razones legales se lo impedían. La RBN (rusa, cómo la gran escuela creadora del malware 2.0) se ha convertido así en cómplice y centro de operaciones web para la industria del malware, que encuentra un aliado que sabe mantener la boca cerrada y las manos quietas si se le paga lo suficiente. Symantec lo llama “el refugio para todo tipo de actividades ilegales en la Red”. Por si queda alguna duda sobre su intención de permanecer “anónimos”, basta con comprobar hacia qué IP apunta su dominio principal rbnnetwork.com Sergio de los Santos
02/11/2007 Ataque con troyano para usuarios de Mac Detectada diversas variantes de un troyano destinado a usuarios de Mac. De momento se ha detectado únicamente hospedado en páginas de contenido pornográfico, a través de las cuales intentan engañar a los usuarios para que se instalen el troyano. Se trata de un ataque dirigido a usuarios de Windows y Mac desde páginas con supuestos vídeos pornográficos. Para atraer a las potenciales víctimas, las direcciones de las webs que contienen los troyanos han sido anunciadas a través de spam, incluyendo el envío de los enlaces a varios foros de usuarios de Mac. Cuando el usuario visita una de las páginas y selecciona visualizar uno de los vídeos, el servidor web detecta si el sistema es un Windows o Mac a través del user-agent del navegador. En función de ese dato, la página web intentará que el usuario se instale la versión del troyano para Windows (extensión .exe) o para Mac (extensión .dmg). La estrategia de los atacantes consiste en hacer creer al usuario que necesita instalar un componente adicional, un codec, para poder visualizar el vídeo. El usuario de Mac tendrá que introducir la contraseña de administrador para proceder a la instalación del troyano, si bien muchos podrían hacerlo creyendo que es necesario para instalar el componente que les permitirá ver el deseado vídeo. Una vez el troyano se instala lleva a cabo su cometido, que no es otro que modificar los servidores DNS del sistema para que apunten a unos nuevos que están bajo el dominio de los atacantes. Estos servidores DNS llevarían a cabo un ataque del tipo pharming, ya que pueden redireccionar ciertos dominios, como el de algunas entidades bancarias, a servidores que hospedan phishing con el fin de sustraer las credenciales de acceso de las víctimas. La detección antivirus es de momento escasa, normal si tenemos en cuenta que el malware suele ser, en la práctica, un terreno de Windows, en incluso muchas casas antivirus no tienen soluciones para Mac. Las diversas variantes a las que tenemos acceso en Hispasec hasta el momento son detectadas por ninguno,
244
Una al día. Once años de seguridad informática - 2007 -