Estado de Louisiana afectado por ransomware

Hace unos meses fue la ciudad de Baltimore y hoy, el gobierno de Louisiana está recibiendo un ataque de ransomware coordinado a gran escala, que obligó al estado a desconectar varios servidores de agencias estatales, incluidos sitios web del gobierno, sistemas de correo electrónico y otras aplicaciones internas, para mitigar el riesgo de la extensión de la infección.

El ataque comenzó el lunes resultó en el cierre posterior de la mayoría de las grandes agencias estatales, incluida la Oficina del Gobernador, la Oficina de Vehículos Motorizados, el Departamento de Salud, el Departamento de Servicios para Niños y Familias, y el Departamento de Transporte y Desarrollo, entre otros.

El gobernador de Luisiana, John Bel Edwards, reveló el incidente en una serie de tuits, diciendo que había activado el equipo de seguridad cibernética del estado en respuesta al ataque y que el cierre de los servicios se debió a la respuesta del estado y no al ataque.

"Hoy, activamos el equipo de ciberseguridad del estado en respuesta a un intento de ataque de ransomware que está afectando a algunos servidores estatales. La Oficina de Servicios de Tecnología (OTS) identificó una amenaza de ciberseguridad que afectó a algunos, pero no a todos los servidores estatales. La interrupción del servicio se debió a la respuesta agresiva de OTS para evitar una infección adicional de los servidores estatales y no al intento de ataque de ransomware. Los servicios comenzaron a volver a estar en línea a la tarde, aunque la restauración completa puede llevar varios días", dijo el gobernador Edwards.


Edwards señaló que la Policía del Estado de Louisiana y varias agencias federales estaban investigando el ataque que afectó a casi todas las principales agencias estatales. Este es el segundo gran ataque de ransomware que Louisiana sufrió este año. En julio de 2019, Louisiana declaró el estado de emergencia luego de un brote coordinado de ransomware que interrumpió a casi media docena de distritos escolares. El gobernador confirmó que el ciberataque del lunes es similar al ataque de ransomware de julio.


En este momento, no está claro qué familia de ransomware se usó en el último ataque, cómo ingresó en los sistemas estatales y cuánto han exigido los atacantes como rescate. Sin embargo, el gobernador aseguró que "no había pérdida de datos y el estado no pagó un rescate".

Fuente: THN

Seguir leyendo...

Informe de actualidad de Phishing [Akamai]

Un informe de Akamai afirma que los delincuentes están utilizando las redes sociales y los canales SMS para propagar más phishing.

El informe detalla que el phishing ya no es solo una amenaza basada en correo electrónico, sino que se ha expandido para incluir redes sociales y dispositivos móviles, creando un problema de gran alcance que afecta a todas las industrias. Este método en evolución continúa transformándose en diferentes técnicas, una de las cuales son los ataques de compromiso de correo electrónico comercial (BEC). Según el FBI, los ataques BEC resultaron en pérdidas mundiales de más de U$S12 mil millones entre octubre de 2013 y mayo de 2018.

Los delincuentes se han enfocado principalmente en la industria de alta tecnología, sostiene Akamai, que analizó 6.035 dominios e identificó 120 variaciones de kits en la industria. El segundo sector más atacado fue el de los servicios financieros, con 3.658 dominios y 83 variantes de kits, seguido del comercio electrónico como tercer sector. Microsoft, PayPal, DHL y Dropbox fueron las principales marcas atacadas. Microsoft ocupó el 21,88 por ciento del total de dominios, seguido de PayPal con el 9,37 por ciento, DHL con el 8,79 por ciento y Dropbox con el 2,59 por ciento.

"El phishing es un problema a largo plazo. Los atacantes irán continuamente tras los consumidores y las empresas hasta que se pongan en marcha programas de formación de concienciación personalizados y técnicas de defensa en capas", dijo Martin McKeay, Director Editorial del informe sobre el Estado de Internet/Seguridad para Akamai.

A medida que las empresas mejoran sus defensas, los delincuentes buscan alternativas nuevas y creativas. Por lo tanto, la mayoría de los kits de phishing estuvieron activos durante 20 días o menos, para evitar ser detectados.
 
El Informe de Seguridad de Akamai 2019 está disponible para descargar aquí [PDF]

Fuente: Akamai 

Seguir leyendo...

Taller para escalar privilegios en Windows/Linux

Sagi Shahar es un ingeniero de Google que desde hace algunos años lleva impartiendo un taller para escalado de privilegios de forma gratuita en varios eventos públicos y privados en Australia:

• Sydney - PlatypusCon (2017)
• Perth - BsidesPerth (2017)
• Brisbane - CrikeyCon (2018)

El taller se basa en el árbol de ataque o mindmap que se muestra a continuación, que cubre todos los vectores de ataque conocidos (en ese momento) de escalada de privilegios de usuario local en los sistemas operativos Linux y Windows:

Y lo bueno y por lo que os escribimos esta entrada, es porque además Sagi ha creado un repo en Github con todo el material necesario para que podamos montarlo y seguirlo en nuestras propias casas: https://github.com/sagishahar/lpeworkshop

Material

• Workshop Slide Deck
• Exercise Worksheets (Linux, Windows)
• Lab VM for Linux Exercises (user:password321, root:password123)
• Kali VM for Linux/Windows Exercises (root:toor)
• Videos for Windows Exercises
• Tools for Windows Exercises (7z archive password: lpeworkshop)
• Windows exercises setup script

Instrucciones de instalación para Windows

1. Iniciar una máquina virtual de Windows propia
2. Iniciar sesión en la máquina virtual de Windows con una cuenta de usuario que tenga privilegios de administrador
3. Asegurarse de que la VM de Windows no tenga una cuenta de usuario llamada 'user'. Si existe, eliminarla.
4. Copiar el script de configuración (lpe_windows_setup.bat) en una ubicación que se pueda escribir en una máquina virtual de Windows (el directorio del escritorio está bien)
5. Hacer clic derecho en el archivo de configuración copiado y asegurarse de seleccionar en el menú desplegable 'Ejecutar como administrador'
6. Leer atentamente el resultado del script
7. Reiniciar la máquina virtual de Windows
8. Copiar el archivo Tool.7z en el escritorio y extraerlo
9. La configuración ahora se ha completado, enjoy!

El script fue desarrollado y probado en un host Windows 7 (SP1) x64 Build 7601 en inglés-estadounidense. Puede funcionar en otras instancias del sistema operativo, pero no está garantizado. Hay que prestar atención a la salida del script. Se omiten algunos ejercicios (por ejemplo, Kernel, etc.) ya que depende del nivel de parches de la VM.

NOTA: Al igual que con cualquier host intencionalmente vulnerable, asegúrate de que la VM de Windows no esté conectada a una red externa.

Fuente: HackPlayers

Seguir leyendo...

Vulnerabilidad permite hackear la cámara de Android para espiar

La cámara del móvil es probablemente uno de los elementos más sensibles que tenemos, ya que si no está protegida como es debido, un atacante puede hacer fotos y grabar vídeo cuando quiera. Ahora, un grupo de investigadores de la empresa Checkmarx ha descubierto una grave vulnerabilidad presente en la aplicación de la cámara.

Para encontrar posibles fallos, los investigadores de Checkmarx decidieron analizar las aplicaciones de la cámara de los Pixel (2 XL / 3), donde descubrieron todo tipo de fallos que permitían saltarse los permisos de acceso del sistema operativo. La vulnerabilidad, con código CVE-2019-2234, permite a un atacante tomar fotos o vídeo a través de una aplicación maliciosa que no tiene permisos para hacerlo, además de poder acceder a los archivos locales del móvil y a los datos de ubicación presentes en los metadatos de cada uno de esos archivos.

Mediante la aplicación maliciosa, los investigadores consiguieron que el móvil tomase fotos y vídeo cuando el móvil está bloqueado o con la pantalla apagada, o incluso en medio de una llamada de teléfono, grabando así todo el contenido de la llamada. Para ello, en lugar de intentar que el usuario concediera permiso a la app para usar la cámara, buscaron aprovecharse de la aplicación de la cámara en sí. Lo único que necesitaba la app maliciosa eran permisos de acceso al almacenamiento, lo cual piden muchas otras apps en la actualidad.

En primer lugar, crearon una aplicación que se hacía pasar por una del tiempo, que creaba una conexión persistente entre el móvil del usuario y el servidor de control en manos del atacante para recibir comandos e instrucciones. La aplicación mantenía esa conexión incluso aunque estuviese cerrada.

Esa aplicación podía saltarse las solicitudes de permisos y forzar a la aplicación de la cámara de Google a que tomase fotos y grabase vídeos en secreto. En el siguiente vídeo podemos ver cómo un atacante puede aprovecharse de la vulnerabilidad en un Pixel 2 XL con Android 9, donde podemos ver cómo con sólo pulsar "Take Photo" abre la cámara, hace una foto, y cierra la app. A los pocos segundos recibe la foto y su ubicación:

Google y Samsung han confirmado que sus aplicaciones de la cámara se encuentran afectadas, lo cual es lógico porque Google ofrece el código base de esas apps a los fabricantes. Por ello, es probable que otros muchos estén afectados. Ambos fabricantes ya han lanzado actualizaciones de seguridad para parchear el fallo.

Esto pone de manifiesto otro de los problemas de los permisos de Google, donde una aplicación sólo debería poder acceder a una carpeta relacionada con su uso (por ejemplo, la app de cámara sólo a DCIM), y luego crear un permiso adicional para poder acceder a todas las carpetas, como el que puede requerir un explorador de archivos.

Fuente: ADSLZone | Checkmarx

Seguir leyendo...

XORpass: herramienta para saltar filtros WAF

Se ha publicado una nueva herramienta que permite saltar los filtros WAF y lograr ejecución de código PHP en el servidor.

Daniel Púa (@devploit), del laboratorio de Hispasec, ha desarrollado una herramienta en PHP que aprovecha las operaciones XOR y las peculiaridades del propio lenguaje PHP para saltar las protecciones de aplicaciones WAF (Web Application Firewall).

Intentando hacer un bypass del firewall web o WAF, Daniel tuvo en cuenta las posibilidades que ofrecen las operaciones XOR, lo que, unido a la capacidad de ejecución de una función indicando el nombre como una cadena de texto, permitía realizar un bypass exitoso de las medidas de seguridad.

Intento de ejecución de código bloqueada por el WAF del reto

Analizando la base matemática sobre las que se apoya el funcionamiento de la herramienta, encontramos que realizando operaciones XOR con cadenas de texto en PHP somos capaces de pasar nombres de funciones prohibidas al servidor. De esta forma, podremos ejecutarlas.

El operador XOR, aplicado sobre cadenas, funciona como podemos observar en el siguiente ejemplo:

Teniendo en cuenta el funcionamiento de las operaciones XOR, podemos usar esta operación para, a partir de dos o más cadenas de texto, generar una nueva cadena que contenga la función prohibida que deseamos ejecutar, como si de un cifrado se tratase.

Adicionalmente, la herramienta aprovecha la posibilidad de indicar el nombre de las funciones utilizando cadenas de texto PHP, lo que permite utilizar la operación XOR para codificar/cifrar las palabras prohibidas y lograr la ejecución de cualquier función.

Ejecución de la función "system" de PHP utilizando cadenas de texto

Al unir el uso de operaciones XOR para codificar el nombre de las funciones no permitidas por el WAF, con la posibilidad de de ejecutar funciones utilizando cadenas de texto para referenciarlas, obtenemos una forma muy interesante de saltar las protecciones del firewall para lograr la ejecución de código.

Ejecución de la función "system" utilizando XORpass

XORpass, como podemos observar, es una idea muy interesante que nos puede ayudar mucho para la resolución de retos en CTFs, pero no sólo es útil en CTFs. También puede ser de gran utilidad en la explotación de vulnerabilidades en entornos reales en los que estemos realizando un test de penetración sobre infraestructuras protegidas por WAFs cuyo backend corra en PHP.

Descarga la herramienta desde su repositorio de Github: https://github.com/devploit/XORpass

Fuente: Hispasec

Seguir leyendo...

Windows implementará DNS over HTTPS (DoH)

Microsoft ha anunciado que integrará DNS over HTTPS en Windows 10. Esto hace que cualquier medida que mejore la seguridad y privacidad va a afectar a muchos usuarios. Esto es algo que han ido agregando diferentes navegadores en los últimos tiempos.

Microsoft ha hecho este anuncio recientemente para mejorar la seguridad, privacidad y fiabilidad al cifrar las consultas DNS que se realicen y que hasta ahora se gestionan en texto sin formato.

DNS over HTTPS está cada vez más presente. Hemos visto que algunos de los principales navegadores como Mozilla Firefox han ido introduciéndolo poco a poco. Eso quiere decir que las consultas que realicemos en ese navegador van a estar cifradas. Algo que, como podemos imaginar, es positivo para nuestra seguridad y privacidad. Eso es lo que busca ahora Microsoft para su sistema operativo.

De momento Microsoft espera presentarlo en versiones de prueba para posteriormente, en un futuro, lanzarlo en versiones finales de Windows 10. También han abierto la puerta a otras opciones como DNS over TLS (DoT) en un futuro.

Microsoft, como parte del primer paso, cifrará automáticamente las consultas DNS para los usuarios si los dispositivos que utilizan vienen con soporte para el cifrado a través de HTTPS. La compañía ha indicado que no cambiará los servidores DNS en ningún dispositivo con Windows 10, dejando que los usuarios y los administradores del dispositivo o de la empresa elijan los servidores DNS que desean usar para resolver sus consultas DNS.

Indican que muchos usuarios pueden utilizar un filtrado de contenido DNS público y que el hecho de cambiar los servidores DNS podría ignorar ciertos controles de seguridad que puedan tener. Es por ello que creen que los usuarios deben controlar dónde va su tráfico.

Según informan los ingenieros de Windows Core Networking, Tommy Jensen, Ivan Pasho y Gabriel Montenegro, el hecho de que Windows agregue DNS over HTTPS va a cerrar una de las últimas transmisiones de nombres de dominio en texto sin formato en el tráfico web común.

Desde Microsoft aseguran que al adoptar ampliamente DNS over HTTPS hará que el panorama de Internet sea mucho más seguro y privado.

Fuente: Microsoft

Seguir leyendo...

Vídeos de la ATT&CKcon 2.0

Hace algunas semanas tuvo lugar la ATT&CKcon 2.0, The Att&ck Mitre Conference, una conferencia organizada por el Mitre y que se abre paso en el panorama internacional de la ciberseguridad, con un programa muy potente dedicado en exclusiva a ATT&CK:

 

Parece ser que las críticas del evento han sido muy positivas, por lo que es probable que se siga repitiendo en los próximos años.

Todas las charlas fueron retransmitidas en directo y se encuentran grabadas en Youtube, por lo que podréis verlas en cualquier momento. Os dejamos con los enlaces a continuación:

• Día 1: https://www.youtube.com/watch?v=xiUvOGr7Zfg
• Día 2: https://www.youtube.com/watch?v=L3KxKAGSJp4

Fuente: Flu-Project

Seguir leyendo...

Hackeo masivo afecta a banco y offshore de Islas de Man

Con un poco de poesía, canciones, menciones de Guy Fawkes, de Salvador Dalí, Fsociety,
y del Subcomandate Marcos, en las últimas horas se ha conocido un hackeo masivo que afecta al banco (y su fideicomiso #offshore) Cayman National Bank and Trust en la Isla de Man (UK), afectando a más de 1.500 cuentas consideradas como "opacas".
Periodistas de organizaciones de medios de todo el mundo han estado investigando los datos de esta filtración, y el 16 de noviembre se realizó la publicación definitiva.

Esta es una fuga de datos similar a PanamaPapers en 2016 (y muchos otros), a la firma de abogados Mossack Fonseca, debido a configuraciones erróneas en el portal web.

En los datos filtrados figuran alrededor de 3.800 compañías, fideicomisos, cuentas individuales (de empresarios y posiblemente políticos) de todo el mundo. (Supuestamente) el ataque ha sido llevado adelante por Phineas Fisher, un reconocido hacktivista, que hasta ha publicado un manifiesto [TXT] del por qué atacar a bancos y empresas petroleras, un manual de cómo ha sido la explotación y las herramientas que se han utilizado para ello, haciendo referencia también al ataque a la empresa de espionaje Hacking Team, realizado en 2015. Hacking Team era una empresa de élite que se especializó en el desarrollo de malware hasta que Phineas Fisher los hackeo y publicó su código.

Distributed Denial of Secrets ha comenzado a publicar copias de los servidores del banco, un caché de documentos, así como comunicaciones entre banqueros y otros. Periodistas de todo el mundo están investigando y han comenzado a publicar historias.

El manifiesto se anuncia como "Una guía DIY para robar bancos". También incluye el uso de herramientas comunes, como Metasploit, y observaciones sobre hacks bancarios importantes anteriores, actividades sospechosas en SWIFT.

¿Quién es "Phineas Fisher"?

El autodenominado socialista libertario (o anarquista) "Phineas Fisher" se hizo público luego de un ataque a Gamma Group, una empresa que desarrollaba el software malicioso "FinFisher" que los gobiernos de todo el mundo han utilizado para atacar a la sociedad civil y periodistas.

El primer hack público de Phineas Fisher fue contra Gamma Group, antes de exponer a Hacking Team. En 2016, Fisher dio una entrevista con un títere y un actor que leía mensajes de chat. En 2018, Fisher discutió con Crimethinc, la estrategia detrás de la lucha contra las corporaciones de vigilancia.

El documento de HackBack también cita el trabajo del informático Jeremy Hammond como inspiración. Hammond anteriormente se declaró culpable de hackear Stratfor y exponer el trabajo de la corporación para recopilar información sobre activistas y grupos de la sociedad civil. Hammond está detenido como una táctica coercitiva para obligar a su testimonio ante un gran jurado en el Distrito Este de Virginia, que se cree que está investigando Wikileaks.

Fisher ha publicado previamente otros documentos que explican los motivos y métodos en torno a las campañas de estilo "hacktivismo" en español e inglés, así como un video que muestra paso a paso cómo aprovechar ciertas vulnerabilidades y entrar en la red de la policia de española.

Vice informó que Phineas Fisher dice que pagará hasta USD 100.000 en Bitcoin o Monero ha quien publique información (perjudicial) sobre empresas de alto perfil mundial. La recompensa, llamada "Hacktivist Bug Hunting Program" fue publicada el 15 de noviembre y está dirigida a grandes compañías, incluyendo el proveedor de software espía israelí NSO Group y la compañía petrolera estadounidense Halliburton. La idea de la recompensa es pagar a otros hackers que llevan a cabo ataques por motivos políticos contra las empresas, lo que llevaría a la divulgación de documentos de interés público. Otros objetivos son las empresas mineras y ganaderas de América del Sur.

¿Qué son Cayman National Bank y Trust Offshore Bank?

Cayman National tiene una sucursal en la Isla de Man, un pequeño dominio de la isla británica entre Inglaterra e Irlanda del Norte que se especializa en banca offshore, una sección de la industria global de servicios financieros que ayuda a los clientes, a menudo extremadamente ricos, a moverse e invertir grandes sumas de dinero con anonimato, mientras se evita la responsabilidad fiscal.

Distributed Denial of Secrets (DDoS) está publicando la información en dos archivos de un terabyte cada uno, para un total de aproximadamente 2.21 terabytes. DDoS ha comenzado a publicar el archivo, que llama Sherwood y pronto estará disponible a través de Hunter, un nuevo motor de búsqueda de caché de documentos moderno que facilita la investigación e indexando de correos electrónicos, bases de datos y otros elementos. También se ha publicado un archivo Torrent, ha sido publicado en archive.org y en Pastebin. ¡CUIDADO: el archivo puede contener malware!

De todo el conjunto de datos, el análisis de las ubicaciones de más de 1.500 cuentas de clientes incluye 780 de la Isla de Man, 272 de Chipre, 153 del Reino Unido, 107 de las Islas Caimán, 51 de las Islas Vírgenes Británicas, 12 de las Seychelles, 11 de los Estados Unidos, 7 de Belice, 7 de Irlanda y un pequeño número de otras jurisdicciones involucradas en la banca offshore, incluyendo Gibraltar, Jersey, Saint Kitts y Nevis, Barbados, Guernsey, Malta y Mauricio.

El archivo XLS también incluye información financiera detallada sobre más de 3.800 compañías, fideicomisos y cuentas individuales administradas por Cayman National para clientes de todo el mundo, incluidos los saldos de cuentas. El índice indica que hay 22 Personas Políticamente Expuestas (PEP), que incluye a algunos empresarios prominentes involucrados en controversias y sus familias.

El ex jefe de un banco ruso, Andrey Borodin y su esposa y madre están entre los mencionados. Borodin recibió asilo en el Reino Unido. Ariel "Ari" Emanuel, un agente de alto perfil en Hollywood y hermano del ex alcalde de Chicago Rahm Emanuel también se encuentra entre la lista de PEP, bajo la "entidad vinculada" de Progressive Games Partners LLC.

Fuente: Unicorn Riot

Seguir leyendo...

(Otra) vulnerabilidad crítica en WhatsApp

Facebook no ha dado detalles técnicos, pero acaba de arreglar un grave fallo de seguridad que permite la ejecución de código en cualquier plataforma en la que se ejecute WhatsApp con solo enviar un archivo MP4 a través de mensajería instantánea. Identificado como CVE-2019-11931, este no es un fallo cualquiera y es el segundo problema de ejecución de código en WhatsApp en este año.

Facebook ha confirmado otra vulnerabilidad de seguridad en la plataforma, lanzando un aviso de advertencia el 14 de noviembre para advertir que "se podría desencadenar un desbordamiento de búfer basado en pila en WhatsApp enviando un archivo MP4 especialmente diseñado a un usuario de WhatsApp". Si bien hay poca información adicional, la advertencia es seria: los sistemas comprometidos corren el riesgo de denegar el servicio o incluso ejecutar código remotamente en el dispositivo infectado e instalar malware. El uso de WhatsApp como el canal de entrega para una infección crea un vector de ataque notablemente fácil: después de todo, solo necesita un número de teléfono.

Facebook dice que el "problema potencial" fue descubierto internamente, no fue revelado por un investigador de seguridad ni fue encontrado in-the-wild. El bug afecta las siguientes versiones:

• Android versions < 2.19.274
• iOS versions < 2.19.100
• Enterprise Client < 2.25.3
• Windows Phone <= 2.18.368
• Business for Android < 2.19.104
• Business for iOS < 2.19.100

En mayo pasado, se arregló CVE-2019-3568 también en WhatsApp. Estaba siendo aprovechada y vendida por los israelitas NSO para atacar víctimas muy concretas. Se activaba enviando paquetes SRTPC del protocolo SIP especialmente manipulados. Facebook acaba además de demandar precisamente a la NSO por atentar contra sus usuarios.

Estas vulnerabilidades son tan jugosas, que resulta poco probable que se exploten a nivel de usuario corriente. Pero como ocurrió con EternalBlue, tras hacerse públicas y solucionarse, cabe la posibilidad de que se filtre un exploit que ponga en peligro a todos.

Como siempre, todos los usuarios de WhatsApp deben verificar para asegurarse de que están ejecutando la última versión de la aplicación en todas sus plataformas, y si no, deben actualizarse lo antes posible.

Fuente: Forbes

Seguir leyendo...

Advertencia oficial sobre el peligro del uso de cargadores USB públicos

El Fiscal de Distrito de Los Ángeles ha lanzado una alerta de seguridad aconsejando a los viajeros que eviten el uso de estaciones de carga de energía USB públicas en aeropuertos, hoteles y otros lugares porque pueden contener malware.

Las conexiones USB fueron diseñadas para funcionar como medios de transferencia de datos y energía, sin una barrera estricta entre los dos. A medida que los teléfonos inteligentes se hicieron más populares en la última década, los investigadores de seguridad descubrieron que podían abusar de las conexiones USB que un usuario podría pensar que solo estaba transfiriendo energía eléctrica para ocultar y entregar malware. Este tipo de ataque recibe el nombre de "juice jacking".

A lo largo de los años, se crearon varias pruebas de concepto. El más notorio es Mactans [PDF], presentado en la conferencia de seguridad Black Hat 2013, que era un cargador de pared USB malicioso que podía descargar malware en dispositivos iOS.

Tres años más tarde, en 2016, el investigador de seguridad Samy Kamkar llevó el concepto más allá con KeySweeper, un dispositivo sigiloso basado en Arduino, camuflado como un cargador de pared USB que funciona, hace "sniffing", registra e informa de forma inalámbrica y pasiva (a través de GSM) todo pulsaciones de teclado desde cualquier teclado inalámbrico de Microsoft en las proximidades.

Luego del lanzamiento de KeySweeper por parte de Kamkar, el FBI envió una alerta nacional, advirtiendo a las organizaciones contra el uso de cargadores USB y pidiendo a las compañías que revisen si tenían algún dispositivo en uso.

Además, en 2016, otro equipo de investigadores desarrolló otro cargador de pared USB malicioso. Este podía grabar y reflejar la pantalla de un dispositivo que estaba enchufado para carga. La técnica se conoce como "video jacking".

La advertencia del Fiscal de Distrito de Los Ángeles [PDF] cubre muchos vectores de ataque, porque hay diferentes maneras en que los delincuentes pueden abusar de los cargadores de pared USB.

La forma más común es a través de cargadores de pared USB "conectables". Estos son dispositivos de carga USB portátiles que se pueden enchufar a una toma de CA, y los delincuentes pueden dejar fácilmente algunos de estos "por accidente" en lugares públicos, en estaciones de carga públicas.

También hay cargadores USB encerrados directamente dentro de las estaciones de carga de energía instaladas en lugares públicos, donde el usuario solo tiene acceso a un puerto USB. Sin embargo, los funcionarios de Los Ángeles dicen que los delincuentes pueden cargar malware en estaciones de carga públicas, por lo que los usuarios deben evitar usar el puerto USB y, en su lugar, seguir usando el puerto de carga de CA.

Pero la advertencia también se aplica a los cables USB que se han dejado en lugares públicos. Los microcontroladores y las piezas electrónicas se han vuelto tan pequeños en estos días que los delincuentes pueden esconder mini computadoras y malware dentro de un cable USB. Un ejemplo de ello es el cable O.MG Algo tan benigno como un cable USB puede ocultar el malware hoy en día.

Teniendo todo esto en cuenta, los funcionarios de Los Ángeles recomiendan que los viajeros:

• Usar un tomacorriente de CA, no una estación de carga USB.
• Llevar cargadores de CA y de automóvil para sus dispositivos.
• Considerar comprar un cargador portátil para emergencias.

Pero también hay otras contramedidas que los usuarios pueden implementar. Uno de ellos es que los propietarios de dispositivos pueden comprar cables USB "sin transferencia de datos", donde se han eliminado los pines USB responsables del canal de transferencia de datos, dejando solo el circuito de transferencia de energía en su lugar. Tales cables se pueden encontrar en Amazon y otras tiendas en línea.

También existen los llamados "condones USB" que actúan como intermediarios entre un cargador USB no confiable y el dispositivo de un usuario.

Dos de estos dispositivos son SyncStop (anteriormente conocido como USB Condom) y Juice-Jack Defender. También existen muchos otros, y en un momento, incluso los investigadores de Kaspersky intentaron construir uno, llamado Pure Charger, pero no se logró recaudar los fondos necesarios en Kickstarter.

Fuente: ZDNet

Seguir leyendo...