Análisis de troyanos y #Phishing a Bancos Credicoop, Supervielle, ICBC/HSCB, BBVA Frances y Standardbank

Entre las 08:30 y las 14:34 del día de hoy hemos recibido decenas de denuncias a Segu-Info sobre correos electrónicos enviados desde cuentas de usuarios normales y con diversos asuntos referidos a supuestas fotos que involucra a los receptores del correo.

Todos los correos tienen enlaces a archivos ZIP y EXE dañinos que una vez descargados infectarán a los usuarios que los abran y posteriormente robaran datos bancarios de Banco Credicoop, Supervielle, ICBC/HSCB, BBVA Frances y Standardbank.

Los asunto de los correos pueden ser algunos de los siguientees:

• RV: Denuncia a su empresa
• Fwd: Mira como quedaron jajaja

En este caso se ha utilizado una técnica que desde Segu-Info hemos explicado varias veces y corresponde a la siguiente secuencia de hechos.

1. Un usuario de empresa se infecta y se roba su usuario y contraseña y a partir de este momento un delincuente tiene acceso a su cuenta de correo, que puede ser personal o empresarial (ver el listado al final del presente).

2. El delincuente accede a la cuenta de la persona y envía cientos de correos a sus contactos o a personas que el delincuente elija y cada uno de esos correos tiene con enlaces a descarga de otros malware bancario.
Los correos son como los siguientes y los enlaces aprovechan vulnerabilidades de Open Redirect que permite redireccionar una descarga a sitios previamente vulnerados.

Ejemplo de correo 1:

Ejemplo de correo 2:

Ejemplo de correo 3:

En este caso algunos de los enlaces han sido:

• http://pspcommu[ELIMINADO].org/utility/Redirect.aspx?U=http://www.isabelleeber[ELIMINADO].net/Fotos_Adobe_Illustrator-JPGs.zip
• http://www.shou[ELIMINADO].com/link.php?go=http://www.jaakkootaara.fi/asiak[ELIMINADO]//javascript/Fotos_Adobe_Illustrator-JPGs.zip
• http://avtomobili.na[ELIMINADO].si/click/click.jsp?redirect=http://www.hardenbergcit[ELIMINADO].nl/Fotos_Adobe_Illustrator-JPGs.zip

3. Cuando un usuario recibe uno de estos correos, descarga el archivo ZIP, lo descomprime y lo ejecuta en su sistema, pensado que se trata de una foto. Es importante destacar que si el usuario no hace eso, no resultará infectado. El archivo descargado "Fotos_Adobe_Illustrator-JPGs.exe" está comprimido con UPX y es detectado por muy pocos antivirus.
Si el usuario lo ejecuta, a partir de ese momento se encuentra infectado con un troyano que controla su equipo y descarga otros tipo de malware.

4. Este troyano descarga otro programa dañino Winzip2013.exe (también con baja tasa de detección) y lo ejecuta automáticamente. Los servidores desde donde se descarga este archivo corresponden a otros sitios previamente vulnerados por el delincuente:

• http://www.faculte-sophro[ELIMINADO].org/Scripts/winzip2013.exe
• http://aca[ELIMINADO].cl/dir/editor/winzip2013.exe
• http://smas.chemeng.n[ELIMINADO].gr/miram/files/winzip2013.exe

Este troyano por su parte, controla el sistema del usuario y cada vez que ingrese a su Home-Banking, este programa robará los datos de acceso de los bancos mencionados al comienzo del presente.
El programa se copia en "C:\Documents and Settings\USUARIO\Local Settings\Application Data\Dtools.exe" y adicionalmente se agrega al inicio de Windows con el nombre "teclado.exe", de forma tal de ejecutarse con cada inicio del sistema.

5. Este tipo de troyano conocido genéricamente como "Overlays", sustituye la pantalla de ingreso del Home-Banking por una ventana propia, que en realidad es una imagen del banco real.

Por ejemplo en este caso, @Dkavalanche (gracias!) nos facilitó una captura en donde se ve superpuesta la pantalla de login real del banco Credicoop con la del troyano:

Aquí se aprecia otra captura del Banco Supervielle:

Otra del Banco BBVA Francés:

Y, una más de ICBC:

Es fácil notar que si el usuario no advierte el cambio de pantalla del banco real por la captura gráfica del troyano, estará ingresando sus datos de acceso en un formulario que será enviado a un sitio web controlado por el delincuente.
En este caso el sitio donde el atacante reciben los datos es http://www.ba[ELIMINADO]bowling.no/templates_c/cugar.php (XXX.188.130.110)

Finalmente, sólo mencionar que este caso es uno de cientos que aparecen día a día y la única herramienta capaz de detectar el engaño es nuestra educación al utilizar el correo electrónico.

Actualización: los dominios desde donde provienen los correos son los siguientes, todos ellos pertenecientes a empresas cuyos usuarios han sido comprometidos y en su mayoría de Argentina:

• blancoamor.com
• cylelectro.com.ar
• digitalfueguina.com
• estudiocaggiano.com.ar
• facecolor.com.ar
• gruporandazzo.com.ar
• intlcargo.com.ar
• maderasselectas.com.ar
• mymcom.com.ar
• naumcitroen.com.ar
• ngstoresrl.com.ar
• nuestroagro.com.ar
• pantanetti.com (solucionado)
• sistemailuminacion.com.ar
• sportscomplement.com.ar
• tealosophy.com
• tswork.com.ar 

Desde Segu-Info ya nos hemos contactado con ellos para que solucionen el problema a la brevedad.

Cristian y Raul de la Redacción de Segu-Info

Seguir leyendo »

Redes Sociales: 9 errores que deben evitar las empresas

Cualquier paso en falso puede acabar con la reputación digital de su empresa. Estos son los nueve errores más graves (y que deben ser evitados a toda costa) en los que puede caer su negocio.

Los medios sociales han supuesto una auténtica bendición para las empresas –tanto pequeñas como grandes-, pero también se están convirtiendo en un campo minado para los que no saben o pueden manejar la creciente complejidad de este nuevo paradigma.

Los errores en redes sociales pueden ocurrir con una rapidez increíble. Y es que, a pesar de los tuits y mensajes de Facebook se pueden eliminar, la prueba de su existencia puede ser capturada para la posteridad a los pocos segundos de que haya sido publicado. Diga algo mal en una red social y le perseguirá de por vida. ¿Pero qué entendemos por decir algo mal? He aquí nueve errores habituales y de gran gravedad en los que caen muchos negocios:

1. Entregar el mando a alguien que no está listo para gestionar las redes sociales

Es comprensible que, como propietario de una pequeña empresa, no quiera pasar sus días gestionando Twitter y sus páginas de Facebook. Es un trabajo que requiere un gran esfuerzo que a menudo tiene un impacto mínimo en la caja de la compañía, así que es muy tentador externalizar la tarea a otra empresa o dejárselo a un empleado de bajo nivel. Gran error. Estos profesionales suelen mezclar su cuenta personal con la de la empresa y no conocen los límites que se deben establecer a la hora de hablar en nombre de una compañía.

2. Despedir a la persona encargada de las redes sociales

Con el tiempo, las empresas pueden tener que despedir a parte de su personal si el negocio no termina de despegar. Pero, ¿qué ocurre si la persona a la que afectan los despidos es la que gestiona las redes sociales? Un minorista del entretenimiento, HMV, descubrió las consecuencias de esta acción cuando comenzó con una ronda de despidos en la que cayó el community manager de la compañía. Ese sujeto aprovechó la ocasión y publicó numerosos tuits en los que incluía acusaciones de prácticas ilegales contra la dirección de la empresa. Acuérdese, en caso de este despido sea necesario, de cambiar todas las contraseñas de sus perfiles oficiales y bloquear el acceso al exempleado para impedir potenciales “venganzas digitales”.

3. Confundir una respuesta con un mensaje directo en Twitter

Este fallo lleva con nosotros durante décadas. El precedente está en el correo electrónico: accidentalmente “responder a todos” en lugar de sólo al remitente original. Todos hemos cometido este error, pero Twitter ha agravado el problema. Cuando se envía un @reply a un mensaje en lugar del DM que correspondería, no sólo lo va a ver toda la empresa, sino que lo verá todo el mundo… al menos hasta que se elimine.

La publicación de comentarios lascivos por parte de congresistas norteamericanos o la salida al mundo del número de teléfono privado de Charlie Sheen y otros personajes del famoseo, español e internacional, son sólo algunos ejemplos de lo que puede pasar si se confunden estos dos términos.

4. Insensibilidad a la hora de obtener alcance en las redes sociales

Muchas empresas se aprovechan de las últimas tendencias o hashtags para publicar sus mensajes corporativos o para obtener unos pocos seguidores más. Sin embargo, si esta relación no es natural y se fuerza en exceso, esta táctica puede ser muy contraproducente.

Por ejemplo, hubo una gran cantidad de compañías norteamericanas que se aprovecharon del huracán Sandy para promocionar sus propios productos en las redes sociales lo cual, dado el sufrimiento humano que este suceso generó, no sólo no produjo ninguna mejora en las ventas de estos servicios sino que originó una oleada de recelo y rechazo en los medios sociales.

5. No entender la confidencialidad empresarial

Si usted es el director financiero de una empresa que cotiza en Bolsa, no asista a una reunión del consejo de la empresa y tuitee “reunión de la Junta. Buenos números = Junta feliz”. Parece obvio pero Gene Morphis, CFO de la tienda de ropa minorista Francesca, cayó en ese error el año pasado, causando una subida artificial del precio de las acciones del 15 por ciento. Este tipo de comportamiento es ilegal, ya que la ley lo puede calificar como divulgación selectiva, en la que la información privada se divulga a unos pocos -en este caso, 238 seguidores en Twitter- en vez de hacia el mundo en general.

6. Pida a los usuarios hostiles que participen en su red social

En este error cayó nada más y nada menos que el gigante de las hamburguesas, McDonalds. Esta cadena de comida rápida creó un hashtag (# McDstories) y alentó su uso entre McFanaticos para hablar de las bondades de sus restaurantes. Por supuesto, los McTrolls llegaron primero, con un torrente de tuits como “Pedimos una McDouble y algo en el maldito pan hizo saltar mi molar”.

Por ello, si piensa fomentar un concurso en Twitter a partir de un hashtag, tenga siempre en cuenta que una vez que se desata, no se puede deshacer. Asegúrese de que el sentimiento es pleno a su favor antes de intentar este truco para evitar sorpresas desagradables.

7. Posicionarse políticamente

Con un país, como España, polarizado y dividido de forma extrema en la mayoría de las cuestiones políticas, incluso el más inocente de los comentarios políticos es susceptible de ofender al 50% de sus clientes. Más aún en estos tiempos difíciles donde toda decisión política se mide con lupa.

8. No entender la mecánica de los medios sociales

Las interfaces de usuario de las redes sociales, como Facebook o Twitter, incluyen miles de opciones que, en ocasiones, pueden volver loco a cualquier usuario habituado a estas tecnologías. Sin embargo, cometer un error en este campo si se trata de una cuenta profesional (como tener el perfil de Twitter cerrado) puede generar mucho recelo entre la comunidad y, por ende, desconfianza hacia su empresa.

9. Descuidar la seguridad en social media

En caso de duda, afirmar que ha sido hackeado. Y es que, aunque muchos de los terribles comportamientos en los medios sociales son atribuidos a accidentes o trucos publicitarios (incluyendo todos los “desnudos” robados de celebridades), algunas de estas cosas en realidad se deben a la participación de piratas cibernéticos.

Así, la seguridad en los medios de comunicación social es un asunto serio y los ataques de phishing que intentan entrar en su Twitter y Facebook son insoportablemente comunes. Asegúrese de que cuenta con una contraseña segura y políticas de seguridad y confidencialidad para los que tengan acceso a las cuentas.

Fuente: CIOAL

Seguir leyendo »

Operación Aurora, exfiltró información de espionaje desde Google

Recientemente se ha sabido que durante 2010, como parte de lo que se ha denominado como Operación Aurora, atacantes chinos se infiltraron en una base de datos de los sistemas de Google y tuvieron acceso datos confidenciales sobre objetivos de vigilancia estadounidenses. La Operación Aurora estuvo dirigida a al menos 34 empresas, entre ellas Google, Adobe, Juniper, Rackspace, Symantec, Northrop Grumman, Morgan Stanley y Yahoo!.

Google hizo público el ataque hace años, diciendo que "había sido el resultado de un ataque sofisticado y que se había robado propiedad intelectual de Google y se había comprometido parcialmente algunas cuentas de correo electrónico de activistas de derechos humanos de China".

Cuando la noticia apareció por primera vez en 2010, Google dijo que los atacantes robaron parte del código fuente de su motor de búsqueda y varias cuentas de correo electrónico específicas de activistas de derechos humanos. Sin embargo, recientemente descubrieron que también obtuvieron información de correos electrónicos que pertenecen a supuestos espías, diplomáticos y terroristas que estaban siendo vigilados por funcionarios del gobierno. Google informó esta violación al FBI, lo que resultó en una nueva investigación de seguridad nacional.

Según las fuentes, se obtuvieron los nombres de agentes de inteligencia chinos que eran el objetivo de la vigilancia estadounidense, pero el grado final de compromiso aún no se conoce.

Adicionalmente, el mes pasado, un alto funcionario de Microsoft sugirió que hackers chinos habían apuntado a sus servidores al mismo tiempo que a Google, lo cual sería parte de la misma operación de obtención de correos de espionaje.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

55% de los usuarios usa la misma contraseña en todos los sitios

Un estudio realizado por Ofcom, el organismo de control de comunicaciones del Reino Unido, ha descubierto algunas estadísticas terribles que ponen de manifiesto lo malo de las contraseñas para la seguridad y el motivo por el cual PayPal quiere deshacerse de las contraseñas en favor de la biometría.

Según el informe UK adults taking online password security risks [PDF], sobre una encuesta de 1.805 adultos, el 55% de ellos utiliza la misma contraseña para la mayoría de los sitios que visita y tiene al menos 237 contactos en las redes sociales.

¿Por qué es importante? Si eres miembro de los sitios web X, Y y Z y utilizas la misma contraseña en cada sitio, si X sufre una fuga de datos y se accede a su base de datos, entonces los malos tendrán acceso a tu cuenta de X, Y y Z.

Además, algo más de una cuarta parte (26%) dice que tienden a usar contraseñas fáciles de recordar, tales como su cumpleaños o los nombres de personas cercanas.
Si deseas fortalecer tu contraseña te recomiendo la lectura de los artículos ¿Por qué caen nuestras passwords? y el Método de creación de contraseñas.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Ataques dirigidos en Asia utilizan ejecutables firmados para conseguir su objetivo

Jean-Ian Boutin, investigador en los laboratorios de ESET, ha publicado un interesante artículo sobre una nueva amenaza dirigida a infectar ordenadores en Pakistán, aunque también se incluyen otros países, entre ellos España. Norman también ha publicado información al respecto.

En los últimos meses hemos analizado una campaña de ataques dirigidos que intentó robar información confidencial de diferentes organizaciones de todo el mundo, pero especialmente en Pakistán. Durante el transcurso de nuestras investigaciones descubrimos varias pistas que indicaban que esta amenaza tenía su origen en India y ha estado activa durante dos años por lo menos. Nuestra investigación empezó con un certificado de firma de código y un exploit, ampliándose el alcance de la investigación desde entonces.

Certificado de firma de código

Para realizar parte de esta campaña de ataques se utilizó un certificado de firma de código para poder firmar archivos ejecutables y mejorar su potencial para propagarse. Este certificado fue otorgado a finales de 2011 a una empresa India llamada Technical and Comercial Consulting Pvt. Ltd., con sede en Nueva Delhi.

Cuando empezamos nuestra investigación comprobamos que el certificado había sido retirado para aquellos archivos firmados después del 31 de marzo de 2012. Contactamos con VeriSign con pruebas de que este certificado había sido usado de forma maliciosa desde que fue generado y este se retiró de forma rápida e incondicional. En total, encontramos más de 70 ejecutables maliciosos que habían sido firmados usando este certificado.

Debido a que cada muestra firmada viene con una marca de tiempo autorizada, nos es posible dibujar una línea temporal que representa cuándo fueron producidos estos archivos.

Contenido completo en fuente original Blog Ontinet

Seguir leyendo »

Informe: "Detección de APTs"

El informe Advanced Persistent Threats (Amenazas Persistentes y Avanzadas) [PDF] pretende recomendar a profesionales de seguridad una serie de medidas a llevar a cabo de cara a detectar si estamos siendo víctimas de un ataque dirigido.

En los últimos 4 años el número de amenazas cibernéticas se ha multiplicado de manera exponencial produciéndose además un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticación, persistentes, y con objetivos muy concretos, surgiendo una nueva categoría de amenazas en el mundo del cibercrimen, las APTs.

Cuando hablamos de ataques de APT nos referimos a organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

La detección de estos ataques presenta una extrema dificultad. Muchos utilizan firmas de ataque único y novedoso, capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo. En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad, y son difícilmente evitables para la mayoría de las organizaciones. Por esta razón, la principal cuestión que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV e INTECO-CERT han colaborado en la elaboración de un informe titulado "Detección de APTs" que tiene, entre otros, los siguientes objetivos:

• Constatar la importancia e implicación que tienen las APT en la seguridad nacional.
• Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques.
• Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características.
• Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características.

Fuente: INTECO-CERT

Seguir leyendo »

CTF365: Capture The Flaf internacional por equipos

"El Mundo está inmerso en una silenciosa ciberguerra. Prepara tus herramientas y construye tu equipo. Defiende tu país mientras conquistas el mundo..."

Así comienza a anunciarse CTF365, un interesante torneo en formato CTF (Capture The Flag) en el que varios equipos de cada país lucharán entre sí por defender y atacar distintos servidores denominados fortalezas.

El Combatiente
Un combatiente es un usuario con cuenta en CTF365. El combatiente tiene que declarar el país que está luchando. Un combatiente sólo podrá ser parte de un equipo a la vez. Los combatientes pueden unirse y salir de diferentes equipos.

El equipo
Un equipo debe tener al menos 5 combatientes (hackers) y no más de 10. Esto proporcionará la flexibilidad suficiente para ambas actividades: las capacidades defensivas y ofensivas. Cada equipo se iniciará con al menos una fortaleza. Sin fortaleza no hay CTF.

Las alianzas
Los equipos pueden crear alianzas y estrategias de ataques comunes. Sin embargo, si un usuario reclama una victoria sobre la fortaleza del enemigo los puntos van al equipo, a menos que su alianza con otros equipos se declare y registre como una alianza, en cuyo caso los puntos van igualmente a los equipos que forman la alianza.

La fortaleza (servidor)
En la competición CTF este sería el servidor a proteger mientras se intenta hackear otros servidores (siempre dependiendo de las normas y diseños).

• Cada fortaleza (Base Camp) tiene que ejecutar una lista de los servicios mínimos necesarios como SMTP, POP, IMAP, FTP, etc.
• La fortaleza debe tener al menos un CMS (Content Management System) + plugins específicos (álbumes de fotos, cuota social media, programas de vídeo incorporado, etc.
• La fortaleza debe tener al menos dos navegadores diferentes.
• La fortaleza debe contener al menos 3 aplicaciones web.
• La fortaleza debe tener como mínimo de 2 bases de datos diferentes.

Premios
Cada campaña tendrá un premio distinto que se anunciará al mismo tiempo que la propia campaña.

Fuente: HackPlayers

Seguir leyendo »

Desarrollando para Nmap Scripting Engine (NSE)

Hace 5 años Nmap dió luz a su propio motor de scripts que facilita a administradores de sistema y pentesters ha realizar una variedad impresionante de tareas como recolección de información, detección de servicios y hasta explotación de vulnerabilidades.

Su flexibilidad y poder lo han convertido en una herramienta indispensable, no solo para escaneo de puertos, sino durante todas las etapas de una prueba de penetración.
En este taller de Paulino Calderón (calderpwn) los asistentes se familiarizarán con el motor de scripts de Nmap, aprenderán casos de uso avanzado y crearán sus propios scripts. Los participantes desarrollarán módulos para diversos fines incluyendo escaneo, análisis de tráfico y explotación web y de otros dispositivos.

Fuente: GuadalajaraCon

Seguir leyendo »

Libro "Por una red más segura" presentado por La Guardia Civil

El libro "Por una red más segura", ha sido escrito por Ángel-Pablo Avilés, componente del Grupo de Delitos Telemáticos de la Unidad Central Operativa (UCO) de la Guardia Civil.

Con este libro el autor pretende transmitir sus conocimientos y experiencias sobre menores, seguridad y estafas en la Red con objeto de hacer la navegación de los usuarios más segura.

Con este libro el autor pretende transmitir sus conocimientos y experiencias sobre menores, seguridad y estafas en la red con objeto de hacer la navegación de los usuarios más segura.

Este libro surgió a raíz de la gran acogida que tuvo el blog titulado elblogdeangelucho.com, creado hace un año y desde el que difunde consejos para padres, consumidores y profesionales sobre el mundo de la seguridad informática, el cual ha sido clasificado en el puesto número 11 de los Premios Bitácora, en la categoría de “mejor blog de seguridad informática de habla hispana”.

El agente Ángel-Pablo Avilés recopiló las entradas y artículos más relevantes publicados en su blog para convertirlo en un libro y poder plasmar todos sus conocimientos adquiridos en experiencias vividas, tanto a nivel profesional como personal. Esta publicación no habría sido posible sin el apoyo desinteresado de la Fundación Guardia Civil, de AiukenSolutions y Smart hc.

Ángel Pablo Avilés ingreso en la Guardia Civil en el año 1989, tras prestar servicio en la Embajada de París y en la Dirección General, es destinado al Grupo de Delitos Telemáticos en el año 2006, aportando sus conocimientos autodidactas y sus ganas por aprender y ayudar a sus compañeros.

Se puede descargar la primera parte del libro en la que se puede ver la portada, índice y declaración de intenciones.

Fuente: La Guardia Civil

Seguir leyendo »

22 millones de direcciones de mails de Yahoo! expuestos

Yahoo! Japón advirtió a 200 millones de usuarios de que cambien sus contraseñas porque han detectado un intento de obtener acceso no autorizado a sus sistemas administrativos el jueves pasado y han accedido a un documento con 22 millones de direcciones de correo. Este es un nuevo ataque exitoso a Yahoo! en los últimos meses.

Aunque dicen que la información tomada de los servidores de Yahoo! no contiene contraseñas u otra información de identificación personal, el sitio ha decidido que los usuarios deben restablecer sus contraseñas de todos modos.

En un comunicado de prensa publicado en el sitio web de Yahoo! Japón, se hace hincapié en que "no se ha confirmado que los datos definitivamente han sido filtrados al mundo exterior".

Suponiendo que sólo los ID de usuario fueron expuestos, ahora los delincuentes cuentan con una base de datos de 22 millones de direcciones de correo electrónico de Yahoo! Japón y seguramente los usuarian para próximas campañas de spam y ataques de phishing a usuarios de Yahoo!, haciéndose pasar por correos electrónicos legítimo de la compañía.

Cristian de la Redacción de Segu-Info

Seguir leyendo »