Nuevo intento de phishing contra clientes del Banco de la Nación

Colaboración de nuestra colega Jennifer Ayllón. Sírvanse difundir.

…. más pishing del Banco de la Nación


El correo PHISHING direcciona a:
http://www.<DIRECCION_PROTEGIDA2>.cz/plugins/editors/rokpad/rokpad/login.php (Ya se le informó al contacto)


…. pagina que redirecciona a:

http://www.<DIRECCION_PROTEGIDA>.cz/ (Ya se le informó al contacto)




Phishing contra clientes del Banco de la Nación (Perú)

Gentil y util aporte de nuestra colega Jennifer Ayllón.

El enlace fraudulento enviado por correo viene desde (no se le pudo reportar al site oficial por que no tenian publicado nigun correo electrónico de contacto)
y redirecciona a (fue reportado y lo retirarán)

Una mirada de cerca a cómo Oracle instala software engañoso con las actualizaciones de Java (inglés)

(Tomado de El plugin Java de Oracle para navegadores es un producto notoriamente inseguro. Durante los últimos 18 meses la compañía ha liberado 11 actualizaciones, seis de ellas contienen arreglos críticos de seguridad. Con cada actualización, Java intenta instalar software indeseable de forma activa. He aquí qué es lo que hace y porqué debe de detenerse.

Congratulations, Oracle.

Java is the new king of foistware, displacing Adobe and Skype from the top of the heap.

And it earned that place with a combination of software update practices that are among the most user-hostile and cynical in the industry.

In coordination with Ben Edelman, an expert on deceptive advertising, spyware and adware, I’ve been looking at how Oracle delivers Java to its customers and who it has chosen to partner with. The evidence against Oracle is overwhelming.


  • When you use Java’s automatic updater to install crucial security updates for Windows , third-party software is always included. The two additional packages delivered to users are the Ask Toolbar and McAfee Security Scanner.
  • With every Java update, you must specifically opt out of the additional software installations. If you are busy or distracted or naïve enough to trust Java’s “recommendation,” you end up with unwanted software on your PC.
  • IAC, which partners with Oracle to deliver the Ask toolbar, uses deceptive techniques to install its software. These techniques include social engineering that appears to be aimed at both novices and experienced computer users, behavior that may well be illegal in some jurisdictions.
  • The search page delivers inferior search results and uses misleading and possibly illegal techniques to deceive visitors into clicking paid ads instead of organic search results.

I’ve spent the past weekend installing and updating Java on an assortment of physical and virtual test PCs to see exactly how the Java updater works.

Here’s what I found.

When you install Java on a Windows PC for the first time, the installer includes this step, which I’ve previously documented:

Notice how the check box for that Ask toolbar is selected already. If you click Next or press Enter, that toolbar is installed into Internet Explorer, Chrome, and Firefox.

But surely you can just clear that checkbox, continue, and move on. Right?

Well, yes. Until there’s an important security update, which happens with depressing regularity to the Java browser plugin. (There have been 11 updates to Java SE 7, including six that fixed critical security issues, in the 18 months since its initial release.) Java’s updater forces the user to go through the same installation process, with the same pre-selected option to install unwanted software.

The reason, of course, is money: Oracle collects a commission every time that toolbar gets installed. And the Ask installer goes out of its way to hide its workings.

As I confirmed in my testing, when you update Java and simply click or press Enter to accept the default settings, the Java updater completes its installation first and displays this result:


That dialog box is not telling the truth.

In the background, the Ask toolbar installer continues to run, but it delays execution for 10 minutes. If you are a sophisticated Windows user and you missed the initial checkbox, your natural instinct at this point would be to open Control Panel and check Programs and Features. When you do, you will see that only the Java update has been installed. You might also check your browser settings to confirm that no changes have been made to your settings. You might conclude that you dodged a bullet and that the unwanted software wasn’t installed.

But you would be wrong. The Ask installer is still running, and after waiting 10 minutes, it drops two programs on the target system.

The only indication that this installer is running is a brief flash of the mouse pointer. A check of the Windows event logs shows that the installer completed its activity exactly 10 minutes after the Java installer finished, and the two Ask modules show up in the list of installed programs.


I’ve never seen a legitimate program with an installer that behaves this way. But spyware expert Ben Edelman notes that in the early part of the last decade this trick was business as usual for companies in the business of installing deceptive software. That list includes notorious bad actors like WhenU, Gator, and Claria.

In a new post, Edelman thoroughly analyzes the Ask toolbar and breaks down the deceptive behavior that the toolbar itself is associated with:

  • The Ask toolbar “takes over default search, address bar search, and error handling.” As Edelman notes, “That’s an intrusive set of changes, and particularly undesirable in light of the poor quality of IAC’s search results.”
  • If you use the toolbar’s search box, you’re sent to “an IAC Mywebsearch results page with advertisements and search results syndicated from Google [with] listings that are intentionally less useful — focused primarily on IAC’s business interest in encouraging the user to click extra advertisements.”
  • Unlike a Google search page, ads at IAC Mywebsearch lack “distinctive background color to help users distinguish ads from algorithmic results. Furthermore, IAC’s voluminous ads fill the entirety of the first screen of results for many searches. A user familiar with Google would expect ads to have a distinctive background color and would know that ads typically stop after at most one screen … the user might well conclude that these are algorithmic listings rather than paid advertisements.”
  • The ads on the Mywebsearch pages ignore standard industry practice and Google rules and make the entire ad clickable, “including domain name, ad text, and large whitespace … IAC’s search result pages expand the clickable area of each advertisement to fill the entire page width, sharply increasing the fraction of the page where a click will be interpreted as a request to visit the advertiser’s page.”

This is sleazy stuff. If you have installed this software, it affects searches you run from the address bar in any browser, including Chrome. Installing the Java update on my main PC hijacked the default search provider in Chrome 24 (the current version) and redirected searches from the Google omnibox (the address bar) to At no point was I asked for permission to make these changes to the settings in Chrome. (A reasonable person would not conclude that clicking “Next” in a dialog box to install an update has the same legal effect as “I agree” to a set of license terms.)


The Ask search results for the title of my new book included seven ads at the top of the page, with background color and visual styles that were indistinguishable from web search results. Three of those ads were for deceptive or misleading “PC fix-it services” or software. One ad, ironically, offered an unauthorized download of the free Microsoft Security Essentials that included its own adware bundle.

The actual result I was looking for was in the seventh position under the Ask web search results. The same search at included only one clearly labeled ad, and the best search result was in the third position in results. The screen below shows the ugly Ask toolbar and the Ask icon at the top of the Chrome window. Both were installed without informed consent and with no warning except the original misleading dialog box in the Java updater.


Uninstalling the Ask toolbar does not restore the previous search settings in Chrome 24. You have to make that change manually.

The good news is that browser makers collectively are making it more difficult for toolbars like this to be installed and enabled inadvertently.

  • Beginning with Internet Explorer 9, new toolbars and other add-ons are disabled by default. You must specifically enable them before they’re active.
  • Mozilla Firefox has a similar add-on approval feature.
  • Beginning with version 25 (now in beta), Chrome will block add-ons that are installed by third parties and will require the user to specifically enable them.

The Ask toolbar installer takes these defensive measures into account and uses social engineering to try to convince the user to enable the add-ons. It does this by adding its own messages along with the system messages. Here’s what you see in Internet Explorer, for example, the first time you open the browser after the toolbar is installed:


And here’s the extra visual aid added in Firefox, which also appears in a prominent window on first run after the installation of the toolbar:


These additions to the UI are being added as a bit of social engineering designed to convince the user to override legitimate security settings.

(A side note: In Windows 8, Internet Explorer 10 refuses to install the Ask toolbar at all, although it does install with Chrome 24. An error message in the event logs suggests the installer isn’t working properly with IE 10.)

Interestingly, while Oracle continues to junk up Java with these aggressive installer mechanisms, Adobe has moved the opposite direction over the past year or so.

Installing Adobe Flash or Reader for the first time on a Windows PC still includes the option to install third-party software (typically Google Chrome and the Google toolbar for Internet Explorer). But updates are handled automatically in the background. If you enable the Adobe updater, updates just work, with no attempt to install anything other than the updates.

Even better, both Google and Microsoft have incorporated Flash into current versions of their browsers (Internet Explorer 10 and all recent releases of Chrome), so that installing a plugin isn’t required. Updates are handled through Windows Update and the Chrome Updater, respectively.

The Skype installer, which once offered to install toolbars and add-ons, no longer does so (although it does attempt to change the user’s default search engine and home page, a behavior that shouldn’t be tolerated).

Java’s updater, by contrast, is a mess. It doesn’t work properly with limited user accounts, and as I’ve demonstrated here, it requires user interaction and unethically attempts to push add-ons that no sane Windows user would accept if they knew how that software works.

And to add injury to insult, the updater takes its own sweet time notifying you when important security updates are available. As the text in the updater dialog box makes clear, you might have to wait between 7 and 30 days after an update is available before you’re notified of it. And then you’re forced to initiate the update yourself, avoiding the unwanted software along the way. It’s no wonder so many people are running outdated and highly vulnerable Java plugins.

I continue to recommend that Windows users avoid installing Java at all, if possible. If you must run it, consider using Ninite to keep it updated in a timely fashion without being annoyed by potentially unwanted software. But for those who aren’t aware of options like that, the update process should be fast, accurate, and transparent. Oracle has a responsibility to clean up its act and end its relationship with IAC.

Exploit de día cero de Java 7 Actualización 11 se vende en el mercado clandestino por 5.000 dólares

(Tomado de Ha pasado menos de una semana desde que Oracle ha parcheado la vulnerabilidad encontrada en Java 7 Actualización 10 y otra vulnerabilidad de día cero – que parece funcionar en Java 7 Actualización 11 – ya se vende en el mercado clandestino.

Brian Krebs, quien encontró un anuncio para la explotación en un foro de hackers el lunes, revela que el autor ofreció vender el exploit a dos personas por el precio de 5.000$ (3.750€). El vendedor prometió a los compradores una versión “cifrada” y “armada” de la explotación.

En el anuncio que publicó, el vendedor afirma que la explotación no fue integrada en ningún kit de explotación conocido, ni siquiera en el caro Cool Exploit Kit.

Según Krebs, probablemente el ciberdelincuente ya encontró compradores ya que la entrada fue eliminada del foro.

Esto demuestra que el Departamento de Seguridad Nacional de EEUU hace lo correcto al asesorar a los usuarios desinstalar Java si no lo necesitan para sus tareas diarias.

En su aviso, el DHS ha advertido que aunque Oracle haya parcheado un error, algunas vulnerabilidades anteriores aún no han sido corregidas, y agujeros de seguridad son identificados en Java todo el tiempo.

Autor: Eduard Kovacs

PRECAUCION: Correo malicioso – Borrar

Estimados colegas,

Se nos ha hecho saber que se está distribuyendo en el medio del correo electrónico un mensaje titulado “Descubren videos sexuales de Gringasha”, aparentemente remitido por

El mensaje en sí no contiene un virus pero los enlaces llevan a un servidor vulnerado de una página de Mónaco, y éste sí contiene malware que toma el control de la PC que se infecte (bot).

El malware es reconocido como Backdoor/Win32.Ruskill, Backdoor/W32.Agent.204800.CP, Trojan/Dorkbot.b y lo preocupante es que sólo es detectado por 4 de los 30 antivirus de El siguiente es un fragmento del reporte:

SandBox results for Videa_XXX.exe
Analysis ID: 25757
Date Analyzed: 2013-01-16 10:42:45
Sandbox Attributes: IE 9, Office 2003, Adobe Reader 9.4, Flash 10.1, Java 6
MD5 Hash: 65b466314e4160305e5337b5b07bd49f
Filename: Videa_XXX.exe
File Type: PE32 executable for MS Windows (GUI) Intel 80386 3
Digital Behavior Traits
Injected Code YES
More than 5 Processes YES
Copies to Windows NO
Windows/Run Registry Key Set YES
Makes Network Connection YES
Creates EXE in System NO
Starts EXE in System YES
Starts EXE in Documents NO
Deletes File in System NO
Hooks Keyboard NO
Creates Hidden File YES
Creates DLL in System NO
Creates Mutex YES
Alters Windows Firewall NO
Checks For Debugger YES
Could Not Load NO
Opens Physical Memory NO
Modifies Local DNS NO
Starts EXE in Recycle NO
Creates Service NO
Modifies File in System YES
Deletes Original Sample YES
VirusTotal Results
Last Scanned: 2013-01-16 15:31:30
MicroWorld-eScan Not Detected
nProtect Backdoor/W32.Agent.204800.CP
CAT-QuickHeal Not Detected
McAfee Not Detected
Malwarebytes Not Detected
K7AntiVirus Not Detected
TheHacker Trojan/Dorkbot.b
Agnitum Not Detected
F-Prot Not Detected
Symantec Not Detected
Norman Not Detected
TotalDefense Not Detected
TrendMicro-HouseCall Not Detected
Avast Not Detected
eSafe Not Detected
ClamAV Not Detected
Kaspersky Not Detected
BitDefender Not Detected
NANO-Antivirus Not Detected
SUPERAntiSpyware Not Detected
Emsisoft Not Detected
Comodo Not Detected
F-Secure Not Detected
DrWeb Not Detected
VIPRE Not Detected
AntiVir Not Detected
TrendMicro Not Detected
McAfee-GW-Edition Not Detected
Sophos Not Detected
Jiangmin Not Detected
Antiy-AVL Not Detected
Kingsoft Win32.Hack.Ruskill.h.(kcloud)
Microsoft Not Detected
ViRobot Not Detected
AhnLab-V3 Backdoor/Win32.Ruskill
GData Not Detected
Commtouch Not Detected
ByteHero Not Detected
VBA32 Not Detected
PCTools Not Detected
ESET-NOD32 Not Detected
Rising Not Detected
Ikarus Not Detected
Fortinet Not Detected
AVG Not Detected
Panda Not Detected

Revisamos el artefacto en un sandbox y efectivamente se trata de malware que se oculta, borra su copia, se ejecuta al arrancar el sistema operativo y abre varias conexiones hacia Internet.


Buscando Vulnerabilidades en Plantas Asterisk

(Tomado de Cada vez son mas frecuentes encontrar en las organizaciones instalaciones de Asterisk, ya sea por ahorrar dinero frente a las soluciones PBX comerciales, o por su flexibilidad, asterisk en poco tiempo se ha encargado de acaparar una gran rebanada del pastel de VoIP; En el siguiente articulo pretende enseñar como buscar vulnerabilidades en PBX ASTERISK, lo lo simple que resulta hacerlo con configuraciones defectuosas y que herramientas podemos usar.
La principal función de una planta telefonica es ayudar con la convergencia con las redes de nueva generación (NGN), permitiendo tomar una señal análoga, como lo es la Voz, digitalizarla y transportarla sobre el protocolo IP, teniendo así servicios de Voz sobre IP mas conocido como VoIP.

Muchas personas, empresas particulares y privadas en el mundo buscan estas soluciones debido a que ASTERISK es una distribución libre, de manera que es gratis y es fácil de implementar, con unas buenas políticas de seguridad, es una solución altamente fiable…… pero he aquí el problema, cualquiera dice que sabe instalar y configurar, cuando en realidad solo saben seguir manuales mal hechos en la red… ya ustedes me entienden.

Lo primero que haremos sera tener una maquina configurada con el servicio de ASTERISK instalado, puede ser FreePBX, Trixbox, o Elastix, o lo que recomiendo, instalar Centos S.O y después compilar la aplicación de ASTERISK, Para nuestro tutorial tendremos una maquina virtualizada. Con Elastix (asimilándose mucho a la realidad).

Este seria el caso inicial con el cual nos encontraremos con una PBX sin tener ningún dato de ella. Usaremos el software de SIPVICIOUS el cual podemos descargar de el blog oficial  o del google code: o sipvicious es un código escrito en Python, por tanto necesitamos tener instalado este lenguaje en nuestro sistema.

Las herramientas del framework sipvicious que usaremos inicialmente son:,,

Iniciaremos con el del SIPVICIOUS para poder saber cual es la IP en la cual esta corriendo la planta:

[BASH]./ 192,168,5,1-192,168,5,255[/BASH]

Usando Nmap miramos que otro servicio esta ejecutándose en la maquina:
Como se observa tenemos el puerto 80 abierto revisaremos mediante un browser o navegador que nos ofrece:

como ahora sabemos cual es su IP, también nos gustaría saber el fingerprint de la planta para tener mas detalle o mas información de nuestro objetivo:

[BASH]./ –finferprint 192,168,5,143[/BASH]
Como ahora estamos totalmente seguros de que tenemos una planta con FreePBX Asterisk, vamos a listar las extensiones previamente configuradas en la planta y posteriormente a tratar de usarlas

[BASH]./ -D -m INVITE -vvvvv[/BASH]
NOTA: Esto no quiere decir que necesariamente sean las unicas extensiones que existan, recomiendo primero chequear nuestras plantas, o descargar un Elastix y correr nuestro laboratorio en tu propia LAN.

Como se observa en la gráfica anterior, las extensiones que se nos muestra requieren autenticar, usaremos la ultima herramienta del SIPVICIOUS, svcrack que funciona como un adivinador (pitonisa), tratando de encontrar la clave de la extension deseada:

En caso de que necesitemos usar algún diccionario:

[BASH]./ -u 1001 -d /root/desktop/diccionarioextensioines.txt -vvvvv 192,168,5,143[/BASH]
Usaremos un softphone para validar que efectivamente se registre en la central:
Hasta ahora hemos realizado un test para la aplicación de ASTERISK y hemos visto como se puede vulnerar este sistema con una configuración por defecto y claves debiles, lo recomendable es revisar las pautas de configuración segura de asterisk y evitar al máximo las distribuciones con centrales ya listas para trabajar.

Aqui podemos ver el proceso en video.
Articulo enviado por Daniel Escobar A. @MrDesc Estudiante de Ingeniería de Telecomunicaciones, X semestre de la Universidad de Medellín, Experiencia en Redes alambicas e inalámbricas, VoIP, Test penetration, y análisis Forense.

Si te ha gustado el post, compartelo y ayúdanos a crecer.

Linux y Windows 8 conviven mal en configuraciones de arranque dual

(Tomado de La nueva función “inicio rápido” de Windows 8 complica la coexistencia entre sistemas operativos, si se utilizan estos para escribir en particiones de Windows. Se puede producir una pérdida de datos con configuraciones de arranque dual Windows 8/Linux.

No se trata de una zancadilla de Microsoft al sistema del pingüino, ni un fallo de Linux, es consecuencia de cómo funciona la función “inicio rápido” de Windows 8, que no está pensada para convivir con otros sistemas operativos. El problema tiene una solución sencilla, pero desconocerlo puede derivar en un pequeño desastre.
Inicio rápido de Windows 8

El “inicio rápido” de Windows 8 permite al equipo arrancar más rápidamente después de un apagado. Si está activado (y por defecto lo está), Windows 8 guarda información del sistema en un archivo en el momento del apagado, en particular el estado de las particiones NTFS y FAT montadas en la sesión. Cuando el equipo se inicia, Windows 8 usa esa información para reanudar el sistema en lugar de reiniciarlo. “Inicio rápido” no entra en funcionamiento tras un reinicio, sólo tras un apagado.

El problema

La función es beneficiosa si Windows 8 es el único sistema operativo en el equipo, pero si hay otro instalado, en especial Linux, y es capaz de montar las particiones NTFS en modo de escritura, al guardar información desde Linux en la partición NTFS pueden aparecer problemas al iniciar Windows 8 de nuevo.

El sistema probablemente arrancará desde ese estado similar a una hibernación, aunque detectará inconsistencias en el sistema de archivos, y reparar éste lleva su tiempo en un disco grande. En el peor de los casos, los archivos creados desde Linux desaparecerán, y en el mejor probablemente sean ilegibles. El “inconveniente” puede presentarse no sólo por trabajar con Linux, sino con otros medios de arranque, como sistemas de recuperación iniciados desde CD/DVD/USB.

En Windows 7 y anteriores este inconveniente también se podía presentar, pero con el inicio rápido de Windows 8 es más probable que suceda. También puede darse este inconveniente en Linux si hibernamos, y arrancamos otro Linux diferente tras la hibernación, aunque es mucho menos probable. Desde el “lado Windows”, lo mejor es desactivar el “inicio rápido”.

La solución
Para desactivar el inicio rápido de Windows 8, buscaremos en Opciones de Energía el enlace Elegir el comportamiento del botón inicio/apagado y pulsaremos sobre él. Aterrizaremos entonces en la pantalla de configuración del sistema que permite definir los botones de inicio/apagado y activar la protección por contraseña. Por defecto no podemos cambiar la configuración, pero pulsando en el enlace Cambiar la configuración actualmente no disponible, ya podremos hacerlo. Desactivamos el checkbox Activar inicio rápido (recomendado) y guardamos los cambios.
Desde el lado del usuario de Linux, podemos configurar el montaje de particiones NTFS en modo sólo lectura manipulando el fichero /etc/fstab, aunque tal vez esto sea un poco más complicado para el usuario no experto.

Los creadores del driver ntfs-3g conocen el problema desde mediados de septiembre del año pasado, y han introducido dos modificaciones en la rama en desarrollo para solucionar éste (si se detecta un sistema Windows con la función de inicio rápido activada, monta las particiones NTFS en modo de sólo lectura). En la actualidad, únicamente Fedora 17 tiene esta mejora, el resto de distribuciones generalistas no emplean la rama en desarrollo del driver (Debian, Ubuntu, OpenSUSE y otras).
Un consejo

En cualquier caso, y es una norma que siempre me ha dado buenos resultados, cuando mezclo en una máquina varios sistemas operativos cada uno tiene su propio disco duro siempre que sea posible, y separo en particiones independientes el sistema de los archivos de datos. Si tengo que intercambiar información entre ellos empleo normalmente un disco externo.

Vía | The H Open