Vulnerabilidad en correo Yahoo sigue propagando spam/malware.

¿Amenaza? desde el servicio de Correo Yahoo

Tengo una cuenta de correo electrónico en uno de esos populares servicios gratuitos de una de las tres o cuatro mayores corporaciones de Internet (Microsoft/Hotmail/Outlook, Yahoo, Gmail, etc.).

El caso es que vengo detectando, de vez en cuando, unos extraños correos recibidos en mi bandeja de entrada procedentes de un contacto perfectamente conocido, totalmente confiable, de una amistad muy cercana.

El mensaje es casi siempre de este tipo:


Lleva como encabezado "How's life?" (¿Cómo te va la vida?). Y en el cuerpo del mensaje, tan sólo un enlace web.

Como estoy 'bien enseñado', sé que nunca hay que hacer clic en un enlace incluido en el cuerpo o texto de un correo, ya sea de Yahoo, Hotmail/Outlook, Gmail o el que sea, pues supone un riesgo de seguridad muy grande, cosa que ahora no voy a explicar (pero puedes tomar nota si quieres).

Copio esa dirección URL y la guardo en mi bloc de notas. Más tarde, una vez cerrada mi conexión con el servicio de correo, la abro en otra pestaña: es una página 'basura' con consejos acerca de cómo perder peso, aparentemente vinculada a un servidor en Argentina.

¿Procede ese extraño correo de la aplicación Yahoo Mail para Android?

Conozco muy bien a la persona 'remitente' de este mensaje. Sé que no lo ha enviado conscientemente, sé que no usa ningún ordenador personal, que tiene un conocimiento informático limitado, que tan sólo utiliza un 'teléfono inteligente' (smartphone, le llaman) con S.O. Android, y que su aplicación de correo electrónico 'por defecto' está sincronizada con una cuenta de Yahoo Mail. No utiliza la aplicación 'Correo Yahoo para Android', sino la de Correo por defecto. Todo eso lo sé porque yo mismo ayudé a esta persona a configurarlo.

También he sido yo quien le ha configurado su 'smartphone' al completo, incluyendo la instalación y monitoreo constante de los mejores y más actualizados softwares antivirus, antimalware y antipublicidad que existen. De vez en cuando me pide que entre en su cuenta de Yahoo para revisarlo todo y ordenar los correos en carpetas (no puede hacerlo desde su dispositivo 'inteligente').

Entonces ¿quién o qué ha enviado ese correo 'basura'? Y ¿se trata de 'spam' o de 'malware'?

Es 'malware'. Y procede de dentro del servicio Correo Yahoo

El 'smartphone' de esa persona no estaba infectado, ni afectado por ningún comportamiento extraño de ninguna aplicación instalada. Llegué a esta deducción provisional tras casi una hora de 'trastear' con el dispositivo, que estaba más limpio que el cuello de un sacerdote.

Empiezo a intuir que esta posible amenaza procede de, o circula por, las entrañas del mismo servicio Yahoo. Tras revisar concienzudamente la configuración de su cuenta Yahoo, y eliminar cualquier correo mínimamente anómalo, descubro el registro de ¡un inicio de sesión realizado días atrás desde Turquía!

Estos indicios ne llevan a realizar una simple búsqueda en un conocido buscador de Internet, con los siguientes términos:

vulnerability yahoo spread malware

es decir "vulnerabilidad en Yahoo que propaga malware"

Y, vaya...

Encuentro algunos resultados llamativos, que no parecen sólo cosa del pasado. Hay alguno bastante representativo, p.e. éste (en inglés):

http://www.virusbtn.com/blog/2013/06_24.xml

de hace unos pocos meses, de la web 'Virus Bulletin' dedicada a analizar las amenazas corrientes en Internet.

Básicamente constatan que, de forma periódica, hay repuntes en la cantidad de 'spam' o de 'malware' enviado desde cuentas de correo legítimas contratadas con Yahoo. Tras analizarlo concienzudamente, constatan que esto ocurre desde dentro de esas cuentas, no del lado del cliente. Por lo tanto, concluyen que existen cuentas de correo 'comprometidas' en el interior del mismo servicio Yahoo Mail.

No es la primera vez que desde Virus Bulletin se advierte acerca de este riesgo/vulnerabilidad. (Ver también esta reseña).

Se trata de un ataque cuyo objetivo primero o intermedio es instalarse en dispositivos con S.O. Android. Sus particularidades son las siguientes:

  • Alguien recibe este tipo de correos porque consta en la Agenda o Lista de Contactos de la cuenta Yahoo comprometida de una amistad, es decir entre los contactos que se suponen más legítimos y confiables. Y suelen ser, además, los contactos con los que se tiene un intercambio más frecuente.
  • Los correos que se envían desde la 'cuenta comprometida' incluyen un 'asunto' breve y ambiguo, y a menudo tan sólo un enlace como cuerpo del mensaje. Ese enlace apunta hacia una web que probablemente es legítima -alojada en sistemas como Wordpress o Joomla-, pero que desgraciadamente ha sido infectada por algún código maligno debido a su descuidado mantenimiento, código que a su vez redirecciona a otra página 'basura' o 'maligna' con información acerca de cómo perder peso u otros problemas de salud (y quién sabe qué otro codigo oculto en ella).
  • Se ha identificado la descarga de un tipo específico de 'troyano' al visitar esas páginas con un dispositivo basado en Android. El troyano es bastante peligroso y se denomina 'NotCompatible', o una variante denominada 'Trojan.AndroidOS.NoCom.a'. Al hacer clic el usuario en algún enlace de esa falsa página, es redirigido a otra, aparentemente relacionada con la seguridad de Android, donde se le pide que instale la aplicación 'security.update.apk', o simplemente 'update.apk', la cual contiene el troyano. Pero no siempre tiene que clicar en un enlace, a veces simplemente visitando la página la aplicación se descarga automáticamente al dispositivo (aunque siempre será el usuario quien, en último término y tras el aviso de su 'smartphone', permitirá o no su instalación).
  • Algunos de los servidores 'finales' a los cuales redirecciona el enlace alojado en la web infectada aparecen como ubicados en Rusia, y muestran las siguientes direcciones e IPs:
official.androidsecurityhealth.ru
official.androidsecurityadded.ru
official.androidsecurityrow.ru
official.androidsecurityfix.ru
official.androidsecuritydata.ru
46.19.139.21
46.19.139.22

(El registrador oficial de esas direcciones no da ninguna respuesta cuando le preguntan los de Virus Bulletin).
  • El troyano, una vez dentro del dispositivo Android, conecta con un 'Centro de Mando y Control', un servidor ubicado en Rusia con la siguiente dirección web:
45362545233224.ru
(anteriormente era notcompatibleapp.eu)
  • que a su vez conecta con al menos un par de direcciones IP con las cuales intercambia datos y archivos encriptados sin que el usuario se dé cuenta. Se sospecha, por tanto, que pueden acabar instalándose otras aplicaciones en ese mismo dispositivo y realizar acciones maliciosas o delictivas, como servir de 'proxy' para infectar o acceder a redes privadas, protegidas o gubernamentales, repito sin que el usuario tenga conocimiento de ello.
  • El hecho de que para ese ataque se utilice una URL legítima pero comprometida, no debería llevar a que l@s técnic@s de Yahoo se despreocupen del asunto.

Su objetivo es, pues, propagarse a otros contactos de la cuenta de Correo que utilicen Android, que éstos cliquen en el enlace o simplemente visiten la página, y de este modo descargarse e instalarse en sus dispositivos.

De los parámetros mencionados, parece claro que podría extraerse algún tipo de pauta para intentar identificar y localizar el código malicioso y su procedencia, lo cual está enturbiando el correcto y 'limpio' funcionamiento de los servidores de Yahoo Mail.

Señores ingenieros de Correo Yahoo: ¡Pónganse las pilas!

Afirman algunos expertos que este problema está yendo a peor. Y que empieza a ser crónico en el servicio de Correo Yahoo, pues viene ocurriendo al menos desde Mayo de 2012 y no lo han erradicado del todo, pese a haber implementado como opciones la autenticación en dos pasos y la comprobación de propiedad de la cuenta. Siendo comprensivos con ellos, parece que están 'al tanto' del problema, y que en verdad debe ser difícil de solucionar.

Esta técnica de propagación de spam/malware no es nueva. Ha afectado durante un tiempo a la mayoría de grandes servicios de correo electrónico. En Google Gmail lo han solventado de forma bastante eficiente, aunque también es cierto que el nivel medio de conocimientos técnicos de sus usuarios es mayor que en Yahoo.

Pero como digo, no es la primera ni la segunda vez que esto ocurre en Yahoo:

  • En Julio de 2012, el grupo de 'hackers' D33Ds Company afirmó haber penetrado un subdominio de Yahoo empleando un simple tipo de inyección SQL, un ataque que explota la falta de validación de entradas en campos de formulario de usuario. Yahoo no hizo demasiado para tranquilizar a su base de usuarios, y eso que cerca de medio millón pudieron resultar afectados.
  • En Enero de 2013 un tal Shahin Ramezany (@abysssec) colgó un video en YouTube -todo un escándalo en su momento- mostrando la forma de comprometer una cuenta de Yahoo mediante un sencillo 'exploit', basado en DOM, que aprovechaba una vulnerabilidad XSS usando casi cualquier navegador. Ese video ya fue retirado de los servidores de Google/Youtube -aún puedes descargarlo de aquí, aunque parece que es sólo una demostración, en inglés-, pero se calcula que una franja importante de al menos 400.000 usuarios de Yahoo fueron víctimas a ese ataque, principalmente en forma de 'phising'. En este nuevo episodio, una vez más Yahoo aplicó sólo remedios parciales para su dominio principal, pero no para sus subdominios.
  • Y aún hay un tercer ataque reciente del que se tiene constancia, y que viene a ser el mismo que describimos en este artículo: spam/malware enviado desde la propia lista personal de contactos de cuentas de Yahoo, incluso de aquellos más antiguos o confiables. Y accesos recientes a esas mismas cuentas desde ubicaciones 'exóticas' como Turquía, Bangladesh, Egipto, Malasia, Armenia, India, Polonia u otras, probablemente automatizados mediante 'botnets'.

Tenemos, pues, cuentas de Yahoo 'hackeadas', contraseñas robadas, envío de spam y malware desde esas cuentas comprometidas hacia los contactos, sin mencionar las molestias y daños causados a aquellos terceros que reciben y pueden propagar inadvertidamente esta amenaza...

Los responsables de Yahoo apenas dan escuetas respuestas a lo que vienen denunciando desde año y medio diversos expertos en seguridad informática. De vez en cuando afirman haber solucionado esta brecha de seguridad, pero el problema reaparece. No se entiende, p.e., que Yahoo todavía no esté aplicando la protección de encriptado HTTPS por defecto para todas sus páginas, lo que quizás ayudaría a mitigar el problema.

¿Qué puede hacer mientras tanto el usuario?

El usuario de una cuenta de Correo Yahoo:

  • Ten mucho cuidado al manejar los correos recibidos, aunque provengan de contactos conocidos.
  • Nunca cliques o abras desde la misma bandeja de entrada o cuerpo del mensaje cualquier enlace que esos correos contengan. Si deseas probar ese enlace, siempre cópialo y pégalo posteriormente en la barra de direcciones del navegador web, mejor con la sesión de Correo ya cerrada.
  • Avisa al remitente del correo que contiene ese enlace 'spam' o malicioso, aunque sea alguien conocido de la Agenda de Contactos.
  • Dentro de Yahoo, ve arriba a la derecha, haz clic en el icono de la ruedecita y selecciona 'Configuración':

  • Luego en la barra de la izquierda selecciona 'Seguridad', y ahí marca la casilla 'Usar siempre HTTPS' que activa el encriptado https para todo tu Correo:

  • Desde el mismo desplegable de la ruedecita, entra ahora en 'Mi cuenta', la administración de tu cuenta de Correo Yahoo:

  • y cambia la contraseña. Ésta es una captura de imagen del 'núcleo' de cosas a revisar en los parámetros de tu cuenta, entre ellas verás 'Cambia tu contraseña':

  • No uses en la nueva contraseña nunca palabras, nombres, fechas, expresiones o frases reconocibles, en las letras usa mayúsculas y minúsculas, e incluye al menos unos pocos símbolos entre cualquiera de éstos:
?=)(/&%$·"!;:_-*+<>
  • Ve ahora a 'Gestionar otras cuentas para iniciar sesión' y comprueba que ahí no hay nada extraño. Si encuentras algo y no sabes qué es, quizás debas eliminarlo.
  • Ve al ítem siguiente, 'Gestionar las conexiones de aplicaciones y sitios web', y aplica el mismo consejo anterior, elimina lo que no veas claro.
  • Sigue dentro de la administración de tu cuenta de Yahoo. Haz clic ahora en el siguiente ítem 'Cambiar la configuración de inicio de sesión':



En 'Cerrar sesión cada' cámbialo de '2 semanas' a 'un día'. Esto parece un poco absurdo, pero lo que hace es muy importante: asegurarse que cada vez que entres directa o indirectamente a tu cuenta de Correo Yahoo, ésta se cierre al cabo de 24h, y que nadie siga 'accidentalmente' conectado a ella durante 14 días como viene por defecto.
  • Aún dentro de la administración de tu cuenta, comprueba que recientemente nadie haya entrado a ella desde una ubicación que claramente no es la tuya (para ello clica en 'Consulta tu actividad reciente de inicio de sesión'):

Puedes comprobar los inicios de sesión recientes y su lugar de procedencia, por país o por IP.

Toma nota: curiosamente, al realizar esta última comprobación en la cuenta de Yahoo de esa amistad mía, vi que uno de los últimos accesos a su cuenta se había realizado desde una IP ubicada en Turquía, y sé que esa persona no estuvo en ese país. Eso indica claramente que alguien o algo rompió la contraseña de su cuenta y entró en ella. ¿Para hacer qué? No se sabe, pero puede tener relación con todo este asunto. Lógicamente le cambié en seguida la contraseña por otra más fuerte y larga.

El usuario de un dispositivo 'smartphone' con S.O. Android:

  • Desconfia siempre de aplicaciones que se hayan descargado automáticamente a tu 'smartphone'. No las instales sin antes averiguar lo mejor posible qué son, de quién proceden y qué hacen. (Un consejo: nunca hagas caso de ninguna de tales descargas automatizadas, aunque lleven la expresión 'actualización', y elimínalas siempre en lo posible, ya sea de la carpeta Downloads o de la SD Card. Si parece tratarse de una actualización para Android o para el modelo de dispositivo, ve a los correspondientes centros oficiales y descárgalo de ahí).
  • Comprueba que esté siempre desmarcada la casilla 'Orígenes desconocidos' en Ajustes->Aplicaciones.
  • Deja de lado por un rato la aplicación de Correo del 'smartphone' y usa el navegador web para ingresar en tu Correo Yahoo. Aplícate los consejos y realiza las comprobaciones dadas en la sección anterior a ésta ('El usuario de una cuenta de Correo Yahoo'), enfocada a manejar tu cuenta de Correo Yahoo en su propia interfaz web (seleccionar HTTPS, cambiar la contraseña, configurar el inicio de sesión, comprobar inicios de sesión recientes, etc.).

    No hay comentarios:

    Publicar un comentario

    Resssopla aquí tu pregunta, tu respuesta, tu duda o tu fantasía...