29 nov 2021

Estudio de las 200 contraseñas más utilizadas

Ha vuelto a llegar esa época del año en la que analizamos si la gente siguen usando las mismas contraseñas poco seguras. Nordpass presenta una lista de las 200 contraseñas más comunes [PDF] según su investigación de 2021. En la lista podrás ver cuántas veces se utilizó cada contraseña y cuánto tiempo se tardaría en descifrarla. Échale un vistazo.

La lista de contraseñas se ha creado en colaboración con investigadores independientes especializados en la investigación de incidentes de ciberseguridad que evaluaron una base de datos de 4 TB.

Los investigadores clasificaron los datos en varias verticales, lo que les permitió realizar un análisis estadístico basado en 50 países.

Fuente: Nordpass

Aprovechan Google Cloud para minar criptomonedas e infectar usuarios

Los actores de amenazas están explotando instancias de Google Cloud Platform (GCP) con seguridad inadecuada para descargar software de minería de criptomonedas en los sistemas comprometidos, además de abusar de su infraestructura para instalar ransomware, organizar campañas de phishing e incluso generar tráfico a videos de YouTube para manipular el recuento de vistas.

"Si bien los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, muchos ataques exitosos se deben a una falta de higiene y una falta de implementación de controles básicos", señaló el Equipo de Acción de Ciberseguridad (CAT) de Google como parte de su reciente informe Threat Horizons publicado la semana pasada. Informe PDF.

De las 50 instancias de GCP comprometidas recientemente, el 86% de ellas se utilizaron para realizar minería de criptomonedas, en algunos casos dentro de los 22 segundos posteriores a la infracción exitosa, mientras que el 10% de las instancias se explotaron para realizar escaneos de otros hosts de acceso público en Internet para identificar sistemas vulnerables, y el 8% de las instancias se utilizaron para atacar a otras entidades. Aproximadamente el 6% de las instancias de GCP se utilizaron para alojar software malicioso.

En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o nulas para cuentas de usuario o conexiones API (48%), vulnerabilidades en software de terceros instalado en las instancias en la nube (26%) y fuga de credenciales en proyectos de GitHub (4%).

Otro ataque notable fue una campaña de phishing de Gmail lanzada por APT28 (también conocido como Fancy Bear) hacia fines de septiembre de 2021 que implicó el envío de un correo electrónico masivo a más de 12.000 titulares de cuentas principalmente en los EE.UU., Reino Unido, India, Canadá, Rusia, Brasil y Los Estados unidos naciones con el objetivo de robar sus credenciales.

Además, Google CAT dijo que observó a los adversarios abusando de los créditos gratuitos de la nube mediante el uso de proyectos de prueba y haciéndose pasar por startups falsas para generar tráfico en YouTube. En otro incidente, un grupo de atacantes respaldado por el gobierno de Corea del Norte se hizo pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de Corea del Sur que venden soluciones antimalware.

"Los correos electrónicos incluían un PDF que supuestamente afirmaba ser una descripción de trabajo para un puesto en Samsung; sin embargo, los PDF tenían un formato incorrecto y no se abrían en un lector de PDF estándar", dijeron los investigadores. "Cuando los objetivos respondieron que no podían abrir la descripción del trabajo, los atacantes respondieron con un enlace malicioso a malware que pretendía ser un 'lector de PDF seguro' almacenado en Google Drive que ahora ha sido bloqueado".

Google conectó los ataques al mismo actor de amenazas que previamente puso su mirada en los profesionales de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades a principios de este año para robar exploits y organizar más ataques contra objetivos vulnerables de su elección.

Si bien los recursos alojados en la nube agilizan las operaciones de la fuerza laboral, los delincuentes pueden intentar aprovechar la naturaleza omnipresente de la nube para comprometer los recursos de la nube. A pesar de la creciente atención pública a la ciberseguridad, las tácticas de ingeniería social y el spear-phishing suelen tener éxito.

Fuente: THN

Aplicaciones Android vulnerables para practicar habilidades de pentesting móvil

Si es un investigador de seguridad o un entusiasta de la seguridad y desea aprender sobre las pruebas de seguridad de aplicaciones móviles o las pruebas de penetración móvil, su punto de partida debería ser establecer un laboratorio y practicar en él.

Aquí se ha recopilado una lista de aplicaciones de Android vulnerables que buscan ayudar a familiarizarse con la mayoría de las vulnerabilidades. En estos laboratorios, se pueden practicar la mayoría de las 10 principales vulnerabilidades de seguridad de OWASP para dispositivos móviles.

Algunas de estas apps son como CTF, otras son como escenarios del mundo real y otras simplemente muestran cómo explotar una vulnerabilidad específica.

  1. DIVA Android
  2. Android InsecureBank v2
  3. hpAndro Android AppSec (Kotlin)
  4. MSTG Hacking Playground
    1. InjuredAndroid
      1. AndroGoat
      2. OWASP Crackmes
      3. Sieve app
      4. Purposefully Insecure and Vulnerable Android Application(PIIVA)
      5. Damn Vulnerable Hybrid Mobile App (DVHMA)
      6. Damn Vulnerable Bank
      Fuente: The Dark Source

      28 nov 2021

      CronRAT: malware Magecart para Linux programa sus tareas para el 31 de febrero

      Investigadores de la firma holandesa Sansec Threat Research han descubierto un nuevo troyano de acceso remoto (RAT) para Linux que emplea una técnica de sigilo nunca antes vista que implica enmascarar sus acciones maliciosas programándolas para su ejecución el 31 de febrero, un día calendario inexistente.

      Apodado CronRAT, el malware furtivo "permite el robo de datos Magecart del lado del servidor y pasa por alto las soluciones de seguridad basadas en navegador", dijeron los investigadores. La firma dijo que encontró muestras de la RAT en varias tiendas en línea, incluida la tienda más grande de un país sin nombre.

      La característica más destacada de CronRAT es su capacidad de aprovechar la utilidad de programación de trabajos cron para Unix para ocultar cargas útiles maliciosas utilizando nombres de tareas programadas para ejecutarse el 31 de febrero. Esto no solo permite que el malware evite la detección del software de seguridad, sino que también le permite lanzar una serie de comandos de ataque que podrían poner en riesgo los servidores de comercio electrónico de Linux.

      "El CronRAT agrega una serie de tareas a crontab con una curiosa especificación de fecha: 52 23 31 2 3", explicaron los investigadores. "Estas líneas son sintácticamente válidas, pero generarían un error de tiempo de ejecución cuando se ejecutaran. Sin embargo, esto nunca sucederá ya que están programadas para ejecutarse el 31 de febrero. En cambio, el código de malware real está oculto en los nombres de las tareas y se construye utilizando varias capas de compresión y decodificación base64".

      El RAT, un "programa Bash sofisticado", también utiliza muchos niveles de ofuscación para dificultar el análisis, como comprimir y codificar el código e implementar un protocolo binario personalizado con sumas de verificación aleatorias para pasar los firewalls y los inspectores de paquetes, antes de establecer comunicaciones con un servidor de control remoto para esperar instrucciones adicionales.

      Las capacidades de sigilo de CronRAT representan una seria amenaza para los servidores de comercio electrónico de Linux:

      • Ejecución sin archivos
      • Modulación de tiempo
      • Sumas de comprobación anti-manipulación
      • Controlado a través de un protocolo binario ofuscado
      • Lanza RAT en tándem en un subsistema de Linux separado
      • Servidor de control disfrazado de servicio "Dropbear SSH"
      • Carga útil oculta en nombres legítimos de tareas programadas de CRON

      Armados con este acceso de puerta trasera, los atacantes asociados con CronRAT pueden ejecutar cualquier código en el sistema comprometido. "El skimming digital se está moviendo del navegador al servidor y este es otro ejemplo", dijo el Director de Investigación de Amenazas de Sansec, Willem de Groot. "La mayoría de las tiendas en línea solo han implementado defensas basadas en navegador, y los delincuentes aprovechan el back-end desprotegido. Los profesionales de seguridad realmente deberían considerar la superficie de ataque completa".

      Fuente: THN

      27 nov 2021

      RATDispenser: correos distribuyen malware a través de Javascript

      Se está propagando phishing utilizando un nuevo cargador de JavaScript sigiloso llamado RATDispenser para infectar dispositivos con una variedad de troyanos de acceso remoto (RAT).

      El nuevo cargador se apresuró a establecer asociaciones de distribución con al menos ocho familias de malware, todas diseñadas para robar información y dar a los actores control sobre los dispositivos de destino.

      En el 94% de los casos analizados por el equipo de investigación de HP, RATDispenser no se comunica con un servidor controlado por un actor y se utiliza en la primera etapa únicamente como un lanzador de cualquier malware.

      En contra de la tendencia de usar documentos de Microsoft Office, este cargador usa archivos adjuntos de JavaScript, que tienen tasas de detección muy bajas.

      Cadena de infección

      La infección comienza con un correo electrónico de phishing que contiene un archivo adjunto de JavaScript malicioso con una doble extensión '.TXT.js'. Como Windows oculta las extensiones de forma predeterminada, si un destinatario guarda el archivo en su computadora, aparecerá como un archivo de texto inofensivo.

      Este archivo de texto está muy ofuscado para evitar la detección por parte del software de seguridad y se decodificará cuando se haga doble clic en el archivo y se inicie. Una vez iniciado, el cargador escribirá un archivo VBScript en la carpeta %TEMP%, que luego se ejecutará para descargar la carga útil del malware (RAT).

      Estas capas de ofuscación ayudan al malware a evadir la detección el 89% de las veces, según los resultados del análisis de VirusTotal.

      Sin embargo, las puertas de enlace de correo electrónico detectarán el cargador si la organización ha habilitado el bloqueo de archivos adjuntos ejecutables, como archivos .JS, .EXE, .BAT, .COM.

      Otra forma de detener el desarrollo de la cadena de infección es cambiar el controlador de archivos predeterminado para archivos JS, permitir que solo se ejecuten scripts firmados digitalmente o deshabilitar WSH (Windows Script Host).

      Eliminar el malware

      Los investigadores de HP pudieron recuperar ocho cargas útiles de malware diferentes de RATDispenser en los últimos tres meses: STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader y Ratty.

      En 10 de las 155 muestras analizadas, el cargador estableció comunicación C2 para buscar malware de segunda etapa, por lo que, si bien esto es poco común, la funcionalidad está ahí.

      En general, RATDispenser parece adaptarse a la distribución de malware nuevo y antiguo, y actúa como un cargador versátil para los actores de amenazas de todos los niveles.

      Fuente: BC

      26 nov 2021

      Protegerse del Phishing, SMiShing y Vishing en Black Friday

      El conocido Black Friday, el Cyber Monday y las Navidades se llenan de descuentos y ofertas para activar el comercio electrónico, principalmente. En este contexto, es importante conocer los riesgos asociados al ecommerce con el fin de poder disfrutar de nuestras compras de una forma segura.

      Si queremos protegernos de la ciberdelincuencia, necesitamos saber qué les motiva a actuar y cómo funcionan. Lo que buscan es dinero y datos personales, básicamente, porque precisamente esa información también vale mucho. Y en cuanto a su modo de actuación, hay que tener en cuenta que cada vez son más creativos y proceden a través de técnicas de ingeniería social.

      Dentro de este tipo de técnicas, la más conocida es el phishing. Ésta consiste en que el ciberdelincuente suplanta una marca a través de un email, habitualmente, y ofrece una súper oferta que es el gancho para pinchar en el enlace que nos indican y al hace clic, ya hemos caído en sus redes porque ese link es malicioso e instalara malware en nuestro dispositivo.

      Desconfiar de descuentos descomunales y no clickear en enlaces desconocidos es fundamental. Si dudamos, antes de acceder a través de ellos, es recomendable visitar directamente la web de la marca y buscar la oferta desde ahí.

      Junto al phishing, resaltan otras técnicas cada vez más usadas, tales como:

      • El SMiShing es un tipo de phishing que usa como canal el mensaje por SMS, por Whatsapp u otras aplicaciones de mensajería instantánea.
      • El Vishing usa la misma técnica pero a través de la llamada telefónica o de Whatsapp
      • Social Media Phishing: cada vez es más común ver casos de suplantación de identidad en redes sociales.
      • Pharming: consiste en la creación de una página web maliciosa que ha creado el cibercriminal para que suplante la tienda online original y dejemos en ella nuestros datos y dinero.

      Claves fundamentales para realizar compras protegidas

      1. Acceder a la web de la tienda de forma manual. Poniendo directamente su dirección en el buscador.
      2. Revisar los perfiles de sus redes sociales oficiales para confirmar que las ofertas están anunciadas y son reales. Si no las encuentras, desconfía rápidamente.
      3. No comprar rápidamente por impulso y usar el sentido común.
      4. Optar por formas de pago seguras.
      5. Confirmar que la web comienza su dirección con el protocolo de seguridad “https”
      6. Poner en duda cualquier mensaje que nos llegue con ofertas demasiado grandes.
      7. Antes de comprar es aconsejable revisar las opiniones sobre esa web, las formas de pago, los datos fiscales, etc.
      8. Usar conexiones a Internet privadas, no comprar desde wifis públicas y tener siempre activo un antivirus.

      Fuente: Revista Cloud

      25 nov 2021

      Brecha en GoDaddy expone datos de 1,2 millones de clientes con WordPress

      La empresa de hosting GoDaddy ha declarado que alrededor de 1,2 millones deusuarios se han visto afectados por una filtración de datos en su servicio de hosting gestionado para WordPress. El hackeo habría dejado al descubierto direcciones de correo electrónico, números de clientes, credenciales de acceso administrativo y, en algunos casos, claves privadas SSL.

      El fabricante de complementos de seguridad de WordPress, Wordfence, confirmó que el hack se ha extendido a estos servidores web y publicó una cita de Dan Rice, vicepresidente de comunicaciones corporativas de GoDaddy, sobre el alcance del ataque:

      GoDaddy dice haber descubierto que un intruso accedió a su entorno de alojamiento gestionado de WordPress el 17 de noviembre, según declaró en una presentación ante la autoridad estadounidense de valores y seguros, SEC. El intruso utilizó una contraseña robada para acceder al sistema de aprovisionamiento del servicio.

      El hacer obtuvo así hasta los datos de 1,2 millones de usuarios activos y antiguos del servicio gestionado de la empresa. Las contraseñas administrativas originales de las cuentas gestionadas de WordPress también quedaron a disposición del hacker, lo que ponía en peligro las propias cuentas si las credenciales seguían en uso.

      También quedaron expuestos los nombres de usuario y las contraseñas de sFTP y de la base de datos, y un número no revelado de usuarios también tenía expuestas sus claves privadas de SSL.

      GoDaddy descubrió que el intruso había estado dentro del sistema desde el 6 de septiembre, lo que significa que el hacker tuvo acceso a los datos durante más de dos meses. La empresa dice haber contratado una empresa forense al descubrir el incidente, y que ha tomado medidas para salvaguardar sus sistemas, incluyendo el cambio de las contraseñas administrativas originales que todavía estaban en uso, el restablecimiento de las contraseñas sFTP y de la base de datos, y la instalación de nuevos certificados digitales para los clientes afectados.

      "Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes", dijo la compañía en su presentación. "Nosotros, la dirección y los empleados de GoDaddy, nos tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para reforzar nuestro sistema de aprovisionamiento con capas adicionales de protección."

      Fuente: DiarioTI

      24 nov 2021

      Apple demanda a NSO por spyware Pegasus para iOS

      NSO es una empresa legítima y su servicio Pegasus ha sido descrito como un software de grado militar y "la pieza más potente de software espía jamás desarrollada". El spyware funciona en todo tipo de teléfonos móviles, incluidos los iPhone, y por eso Apple ha emprendido acciones legales.

      La demanda, presentada en el Tribunal del Distrito Norte de California, División San José, parte calificando a NSO de "notorios hackers" y "mercenarios amorales del siglo XXI".

      Apple afirma que NSO perjudica a los usuarios de Apple para su propio beneficio comercial. La demanda recuerda que el Departamento de Comercio de Estados Unidos decretó a principios de este mes que las empresas estadounidenses tienen prohibido comprar, exportar o transferir cualquier herramienta de ciberseguridad desarrollada por NSO a menos que reciban una licencia especial para hacerlo.

      La demanda de Apple pretende impedir que NSO se dirija a los usuarios de Apple. Además, la demanda pretende impedir que NSO utilice cualquier producto o servicio de Apple.

      Voice of America señala que la demanda, si tiene éxito, sería un "golpe masivo para la compañía que vende a los gobiernos la capacidad de hackear iPhones y teléfonos Android con el fin de obtener un acceso completo". Este sería un nuevo golpe luego que EE.UU. decidiera sancionar a la empresa.

      El interés de Apple en NSO y su demanda, se remonta a que NSO es una de las pocas empresas que han logrado comprometer los dispositivos de Apple con éxito. Después de que se revelara el fallo ForcedEntry en iOS en agosto, Apple actualizó su software para bloquear el exploit en septiembre. Es posible que NSO haya encontrado un nuevo exploit en iOS para aprovecharlo mientras tanto.

      Fuente: Muy Seguridad

      23 nov 2021

      Exploit para Microsoft Exchange RCE (Actualiza!)

      Durante el fin de semana se publicó un código de explotación de prueba de concepto para una vulnerabilidad de gravedad alta explotada activamente y que afecta a los servidores de Microsoft Exchange.

      El error de seguridad registrado como CVE-2021-42321 afecta a Exchange Server 2016 y Exchange Server 2019, incluidos los utilizados por los clientes en el modo híbrido de Exchange y Microsoft lo corrigió durante el martes de parches de este mes.

      La explotación exitosa permite a los atacantes autenticados ejecutar código de forma remota en servidores Exchange vulnerables.

      El domingo, casi dos semanas después de que se lanzara el parche CVE-2021-42321, el investigador Janggggg publicó un exploit de prueba de concepto para el error de RCE posterior a la autenticación de Exchange.

      "Este PoC simplemente ejecuta mspaint.exe en el objetivo, se puede utilizar para reconocer el patrón de firma de un evento de ataque exitoso", dijo el investigador.

      Se advierte a los administradores que apliquen el parche de inmediato.

      "Somos conscientes de los ataques dirigidos limitados en la naturaleza utilizando una de las vulnerabilidades (CVE-2021-42321), que es una vulnerabilidad posterior a la autenticación en Exchange 2016 y 2019", dijo Microsoft.

      Si aún no se ha parcheado esta vulnerabilidad en servidores locales, se puede generar un inventario rápido de todos los servidores de Exchange en el entorno que deben actualizarse utilizando la última versión del script del comprobador de estado de Exchange Server.

      Para verificar si alguno de sus servidores Exchange vulnerables ya ha sido afectado por intentos de explotación CVE-2021-42321, se debe ejecutar esta consulta de PowerShell en cada servidor Exchange para verificar eventos específicos:

      Get-EventLog -LogName Application -Source "MSExchange Common"
      -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

      Los administradores de Exchange se han enfrentado a dos oleadas masivas de ataques desde principios de 2021, dirigidas a las vulnerabilidades de seguridad de ProxyLogon y ProxyShell.

      Con esta última vulnerabilidad (CVE-2021-42321), los investigadores ya están viendo cómo los atacantes buscan e intentan comprometer los sistemas vulnerables.

      Fuente: BC

      Ofrecen acceso y edición a base de datos del gobierno argentino

      Los delincuentes informáticos autodenominados Everest ransom team, puso a la venta un paquete de accesos a diferentes dependencias del gobierno nacional.

      Según informó DarkTracer, la plataforma de inteligencia sobre la dark web, el grupo de ransomware estaría vendiendo los accesos a diferentes plataformas y sistemas oficiales por la suma de U$S 200.000. La oferta asegura que el paquete que llegará a los compradores incluye, además, la posibilidad de editar la información.


      No es la primera vez que datos oficiales de Argentina son robados. Hace una semanas se denunció el robo de información del Registro Nacional de las Personas (RENAPER) y del Ministerio de Salud de la Nación.

      Sin embargo, esta vez, la situación parece más complicada. No sólo es acceso a datos que están bajo la esfera estatal, sino que el grupo Everest Ransomware ofrece la posibilidad de poder editar la información y modificarla a discreción, lo que cual lo hace más peligroso y vulnerable.

      Everest es un grupo de delincuentes especializado en ataques a perfiles de alto nivel, como entidades gubernamentales o personajes de elite como empresarios o abogados.

      Fuente: DarkTracer