25 jun. 2018

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de "Inclusión de fichero Local" (Local File Inclusion, LFI) .

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidad del tipo "Inclusión de Fichero Local" (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.
La vulnerabilidad se encuentra en la función 'checkPageValidity', del fichero '/libraries/classes/Core.php' de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro 'target' de 'index.php' es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: '/index.php?target=db_sql.php%253f/etc/passwd'.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como "select '[?php phpinfo();exit;?]'", y obteniendo el id de sesión gracias a la cookie 'phpMyAdmin', puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:
'index.php?target=db_sql.php%253f/../../../../../../../../
var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e'
Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.
A día de hoy ya se encuentra disponible versión PhpMyAdmin 4.8.2. que soluciona el fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Auth con una conexión HTTPS.

Fuente: Hispasec

24 jun. 2018

Ex-empleado roba varios gigabytes a Tesla

El ataque ha sido confirmado por Elon Musk, siendo Martin Tripp el responsable del hackeo, filtración y robo de datos sensibles. El 17 de junio, Elon Musk envió un correo electrónico a los empleados de Tesla informándoles de los graves daños causados ​​por un sabotaje interno. Desde que se distribuyó el correo electrónico, Tesla identificó al ex empleado, Martin Tripp, como responsable de piratear, robar y filtrar información falsa.
Martin Tripp fue empleado técnico de un proceso en las batería de litio de Tesla, desde octubre de 2017 y su motivación declarada es que quería un ascenso que no recibió. Tripp empleó un software para vulnerar la seguridad en distintos ordenadores para culpar a otros empleados de Tesla. Este insider transfirió varios gigabytes de datos a recipientes de terceros, luego se distribuyeron varios datos como un video y por lo menos una docena de fotografías del MOS (Manufacturing Operative System), el cual consiguió vulnerar.

La demanda presentada por Tesla establece que "el ex-empleado hackeo el sistema operativo de fabricación (MOS) a través del software de hacking y tranfirió varios gigabytes de datos a destinatarios desconocidos. Algunos de los datos robados y distribuidos incluyen un video y al menos una docena de fotografías del sistema de fabricación".

Además, el interno hizo acusaciones falsas sobre el uso de celdas de batería perforadas en vehículos de Tesla. De acuerdo con Newsweek: "Tripp afirmó que las células de batería perforadas se habían utilizado en ciertos vehículos Modelo 3, aunque nunca se utilizaron células perforadas en vehículos de ningún tipo. Respaldado por la corte, Tesla solicitó acceso a las computadoras de Tripp, memorias USB, cuentas en la nube e historiales de mensajes para encontrar hasta qué punto los secretos comerciales de Tesla se tomaron o se enviaron a otros".

El software utilizado por Tripp funcionaba con tres computadoras separadas, que continuaron exportando datos confidenciales a terceros, incluso después de que Tripp abandonara Tesla. Al colocar el software en otras computadoras, quería señalar a otros usuarios como responsables de la extracción de datos.

De acuerdo con CNNMoney, Tripp ha declarado que sus acciones fueron alimentadas por su preocupación por los inversores y el público. Sentía que debían ser advertidos sobre los problemas dentro de Tesla. Además, dijo que estaba preocupado por el exceso de material de desecho almacenado de una manera peligrosa que será costoso de eliminar en el futuro.

Fuente: IT Security Central

22 jun. 2018

Vulnerabilidad de path traversal en Cisco ASA (Parchea YA!)

El 6 de junio se hizo pública la vulnerabilidad CVE-2018-0296 que afecta a la interfaz web de los Cisco ASA (Adaptive Security Appliance) y aunque el fabricante lo describe como una vulnerabilidad que "podría permitir a un atacante remoto no autenticado provocar que el dispositivo se reinicie (DoS) y, en ciertas versiones de software, ver información sensible del sistema sin autenticación mediante el uso de técnicas de path traversal", lo realmente importante es ésto último, la falta de de validación de entrada y control de acceso a algunas URLs:
  • "/+CSCOU+/../+CSCOE+/files/file_list.json?path=/"
  • "/+CSCOU+/../+CSCOE+/files/file_list.json?path=%2bCSCOE%2b"
  • "/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/"
  • "/+CSCOE+/logon.html"
  • ...
Sin embargo los polacos de Sekurak lo explican perfectamente en su artículo: "Error description CVE-2018-0296 - bypassing authentication in the Cisco ASA web interface":

ASA organiza sus recursos en dos directorios: /+CSCOU+/ y /+CSCOE+/ . Las subpáginas dentro de /+CSCOE+/ pueden requerir autenticación, mientras que las ubicadas en el medio /+CSCOU+/ autenticación nunca la requieren.

Como se muestra a continuación, si se intenta acceder a cualquier recurso /+CSCOE+/files/file_list.json de manera estándar se nos redireccionará a la página de logon:
Pero si se reemplaza en la petición /+CSCOE+/ por /+CSCOU+/ el resultado es sorprendente:
Así de sencillo. Esa a la manera de eludir la autenticación.

Como veis también, con file_list.json se pueden listar los archivos visibles desde la interfaz web. El catálogo de sesiones parece interesante, y después de entrar a una de esas sesiones, se puede averiguar cuál es el ID de usuario que está asociado, por lo que se puede averiguar fácilmente cual es la contraseña que hay que intentar romper.

Listado del contenido del directorio/sesiones:

Extracción del login del usuario conectado:
Podéis imaginaros que tratándose de Cisco existen numerosos dispositivos accesibles por Internet, sólo tenéis que buscar en Shodan o en Censys o usar un simple dork con /+CSCOE+/logon.html.

En cuanto a su explotación ya empiezan a surgir las primeras herramientas... Yassine Aboukir de HackerOne ya ha publicado un pequeño script en Python que vuelca a un archivo de texto tanto el contenido del directorio actual como lo de +CSCOE+:
Y Keith Lee (milo2012) ha liberado también otro script en Go que directamente extrae los nombres de usuario del dispositivo ASA.

Esta vulnerabilidad se aplica al tráfico HTTP IPv4 e IPv6 y afecta al software Cisco ASA y al software Cisco Firepower Threat Defense (FTD) que se ejecuta en los siguientes productos de Cisco:
  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • - Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)
Para confirmar si el dispositivo es vulnerable se recomienda seguir los pasos indicados por el mismo Cisco: CSCvi16029.

En cualquier de serlo es recomendable parchear inmediatamente.

Fuente: HackerPlayers

Aumento de los riesgos en seguridad asociados al Blockchain

Mcafee ha dado a conocer su último informe [PDF] en el que analiza los riesgos en seguridad asociados a las criptomonedas basadas en blockchain. La compañía insiste en la necesidad de hacer de la ciberseguridad una prioridad a la hora de implementar masivamente esta tecnología.

El pasado 13 de junio Github también lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.
La demanda de tecnología blockchain continúa creciendo entre algunas de las industrias con más relevancia mundial, tales como el sector financiero, las organizaciones gubernamentales, el sector retail, la industria sanitaria o el sector automoción. De hecho, la mayoría de estas industrias ya han invertido, adquirido o implementado tecnología blockchain. No obstante, a pesar de que se espera que el mercado del blockchain supere los 9.600 millones de dólares para 2024, McAfee prevé un aumento potencial de riesgos de seguridad que podrían amenazar el crecimiento y expansión de esta tecnología. Concretamente, la compañía apunta a posibles incidentes de seguridad relacionados con las criptomonedas, el área donde el blockchain ha experimentado un mayor despliegue y es utilizada por millones de personas.
Según McAfee, los atacantes han buscado la forma de aprovechar la rápida adopción de las criptomonedas para llevar a cabo sus amenazas. De esta manera, McAfee ha detectado cuatro vectores de ataque relacionados con esta actividad: phishing o fraude, malware, implementación de exploits y vulnerabilidades tecnológicas. Además, muchos de estos ataques aplican tanto técnicas antiguas como nuevas de cibercrimen y han demostrado ser enormemente lucrativas para los ciberdelincuentes.

El informe analiza un caso de estafa de phishing en 2017 en el que un cibercriminal creó una ‘cartera’ o ‘wallet’ de criptomonedas fraudulenta. Tras recopilar información de autenticación de los usuarios del servicio durante seis meses, el ladrón gastó 4 millones de dólares de diferentes cuentas de clientes desprevenidos.

Otro dato interesante es que los investigadores de McAfee han encontrado varios ejemplos de cibercriminales que usan malware que ha sido potenciado por la proliferación de criptomonedas. La explosión del ransomware en los últimos años ha sido operacionalmente posible gracias, en gran parte, al uso de criptomonedas, que ocultan la identidad de los ciberdelincuentes en las transferencias de pago por rescate. Además, el informe señala la creciente tendencia a utilizar mineros maliciosos y cryptojacking, creando un vector para la infección a través del malware y permitiendo la monetización a través de la minería. De acuerdo a McAfee Labs, el malware total de minería de monedas ha crecido un 629% en el primer trimestre de 2018. De esta forma, se ha producido un incremento de alrededor de 400.000 muestras en el Q4 de 2017 a más de 2.9 millones de muestras en el primer trimestre de este año.

Los ataques relacionados con el intercambio de criptomonedas sugieren que las medidas de seguridad deben ser un aspecto fundamental en el desarrollo de la tecnología blockchain, en su implementación y en los procesos operacionales de los que depende. A principios de este año, Coincheck, una de las mayores plataformas de intercambio de criptomonedas de Japón, perdió 532 millones de dólares, afectando a más de 260.000 inversores. Desde McAfee señalan que existen costes perjudiciales relacionados con la rápida implementación de blockchain y que han sido causados por no adoptar las medidas de seguridad adecuadas.

"Al igual que otras grandes tecnologías, el blockchain puede tener un enorme impacto a la hora de resolver problemas de negocio reales, siempre y cuando la seguridad no sea tratada con urgencia", afirma Raj Samani, chief scientist at McAfee. "Dado el potencial que tiene el blockchain para crear valor y el tremendo entusiasmo por implementar esta tecnología, los ciberdelincuentes buscarán todas las oportunidades posibles para atacar cualquier vulnerabilidad tanto humana como técnica en el ecosistema del blockchain. Los gobiernos, proveedores de seguridad y empresas deben concienciarse de estas amenazas y tratar de minimizar los riesgos. Sin una educación adecuada, la adopción del blockchain por parte de las principales industrias y gobiernos podría terminar costando miles de millones de dólares y afectando a millones de personas".

Fuente: CyberSecurity

Oracle lanza un mapa de las amenazas a Internet en tiempo real

Oracle ha revelado esta semana el lanzamiento de una herramienta llamada Internet Inteligence Map (Mapa de Inteligencia de Internet), una representación gráfica de la posición de las cortes masivos del servicio de Internet, de los cambios en el tráfico de indagación y de de las amenazas emergentes. Todo ello en tiempo real.
En palabras de Kyle York, vicepresidente de Oracle, "Internet es la red más valioso del mundo, pero es increíblemente volátil. Las interrupciones en Internet pueden dañar profundamente a empresas, gobiernos y operadoras de telecomunicaciones. Como efecto de ello, todas las partes interesadas requieren visualizar mejor el gobierno de la red global".

Durante una década, los integrantes del grupo de Inteligencia de Internet de Oracle (nacido hace unos años según Renesys, despues rebautizado según Dyn Research) han tenido un papel clavé a la hora de medir el golpe (técnico, comercial y geopolítico) de unos de los primordiales acontecimientos relacionados con Internet, desde el herida del cable que proporcionaba conexion a toda Armenia por parte de una ladrona de cobre inclusive los cierres gubernamentales de la red decretados mientra la Primavera árabe, los datos y análisis publicados por este grupo han ayudado a proveer de indagación fiables sobre el gobierno y funcionamiento de Internet. Una indagación que actualmente pasa a estar libre para cualquier internauta armado de curiosidad.

Al acceder a la herramienta, el consumidor se encontrará con un mapa que ofrece estadísticas a nivel de país relativas a los protocolos DNS y BGP, ademas de indagación sobre la vía de los paquetes de datos. Los valores de cero a 100 indican la gravedad de las amenazas individuales: cuanto grande sea el número, grande será el golpe en la infraestructura de ©Internet en la región.

Fuente: VentureBeat

21 jun. 2018

Los APK "offline" podrán verificarse a través de sus metadatos y firma

Google ha anunciado que está añadiendo una capa de seguridad adicional a la firma de aplicaciones y sus APK, de modo que se pueda comprobar la autenticidad de una APK y el sistema la tratará igual que si hubiera sido instalada desde Google Play.
Android ya sabe si has instalado una aplicación desde Google Play o desde su APK (lo pone en las propiedades de la aplicación) pero lo que no sabe es si este APK es el mismo que hay en Google Play. Con los nuevos metadatos añadidos, los APK que instalas se añadirán a la librería de Google Play.

APK que cuentan como apps de Google Play

Las aplicaciones Android están firmadas con un certificado único que cada desarrollador debe guardar y proteger, pues en caso de perderlo no se puede actualizar más la aplicación en Google Play, y tampoco crear nuevas versiones que se instalen y mantengan los datos. Esta firma garantiza que la app está creada por el mismo desarrollador, pero no que el APK en sí sea exactamente igual al que está en Google Play.

Hasta ahora, las aplicaciones instaladas desde Google Play y aquellas que instalas desde un APK se mantenían separadas. Si instalas una aplicación desde su APK, no se añade a tu librería de Google Play y tampoco se actualiza automáticamente. Esto es útil pues algunos desarrolladores distribuyen un APK distinto dentro y fuera de Google Play, probablemente, saltándose así las limitaciones de la tienda.

Esto cambia con los nuevos metadatos que Google ya está empezando a añadir a las aplicaciones añadidas a Google Play. Con ellos se puede verificar que una app es la que dice ser, y si pasas el APK a otra persona (algo común en lugares con mala conexión a Internet), la otra persona podrá instalar la aplicación, que se seguirá actualizando desde Google Play, como si nada.

Fuente: Android Developers

Vista previa de MacOS expone archivos cifrados

Es algo que, aunque no se había dado a conocer de forma pública, según han explicado expertos, se conoce desde hace varios años. El sistema operativo de Apple para dispositivos de escritorio, macOS, deja "al descubierto" archivos de unidades cifradas. Es algo que no debería ocurrir, evidentemente, y que está ligado a la vista rápida de archivos del sistema operativo. Esta función crea una vista previa en caché de todos los archivos, incluso de unidades cifradas, y lo almacena en una ubicación del sistema operativo que no está cifrada, luego se puede ver fácilmente.
La función en cuestión permite a los usuarios dede Apple ver una vista previa de cualquier archivo –almacenado en una determinada unidad- al pulsar sobre la barra espaciadora. Cuando hacemos esto, el sistema abre automáticamente una ventana emergente en la que se pueden ver una miniatura del archivo en cuestión, así como algunos detalles de información esencial sobre el mismo. El problema de seguridad en este sistema de vistas previas está en que esa miniatura, la imagen, se guarda en una ruta del sistema que no está cifrada, aunque la unidad de origen del archivo sí cuente con un sistema de cifrado para su protección.

La compañía de Cupertino no ha dado una respuesta oficial al problema, y por tanto no hay anunciada una solución al fallo de seguridad. Según han mostrado los expertos en seguridad informática, dado este problema de seguridad en macOS se pueden exponer contenidos de unidades USB. Lo más preocupante en todo esto es que, aunque la unidad externa en cuestión se elimine del dispositivo, es decir, que se desconecte, el archivo se mantiene almacenado en la ruta de ficheros temporales del sistema operativo. Por lo tanto, incluso cuando la unidad se ha extraído ya, los achivos se quedan expuestos.

Este problema de seguridad se mantiene en la versión más reciente de macOS. Según han señalado, ahora es cuando se ha hecho público, pero es un problema que lleva acompañando varios años a los sistemas operativos de escritorio de la compañía de Cupertino.

Fuente: Softpedia

20 jun. 2018

Flightradar24 hackeado y roban usuarios y contraseñas

Flightradar24 es uno de los servicios más populares del mundo en su campo, nos permite controlar la trayectoria de vuelos enseñando a tiempo real toda la información en un mapa. Este famoso servicio se ha visto comprometido en la filtración de aproximadamente 230.000 emails y contraseñas de sus clientes. Los afectados son tods aquellos usuarios registrados antes del 16 de marzo de 2016.

La compañía informó recientemente esta semana por email, sin emplear redes sociales, a los usuarios de que cambiaran sus contraseñas proporcionándoles un link único a cada uno levantando sospechas de un ataque masivo de phising. Sin embargo, Flightradar24 mediante el foro y Twitter afirma que los datos de los clientes no fueron comprometidos durante el envio de los emails y que la filtración afectó únicamente a un servidor, el cual apagaron automáticamente tras darse cuenta de la intrusión además de forzar un reset de contraseña de las cuentas afectadas.

La empresa recomienda cambiar también las credenciales en distintos servicios y plataformas en caso de ser las mismas. El artículo comenta que las contraseñas robadas fueron hasheadas.

Fuente: Vulners

Automóviles "smart": por qué la llave inteligente puede resultar mortal

Alarma en Estados Unidos por las muertes tras el descuido de dejar el motor arrancado en el garaje.

El conocido como arranque sin llave es una tecnología muy implantada ya en el sector del automóvil, presente en modelos de prácticamente cualquier segmento. La llave inteligente comenzó a utilizarse a finales del pasado siglo (Mercedes-Benz en 1998), permitiendo el acceso al vehículo sin necesidad del accionamiento de la clásica cerradura de las puertas y ni siquiera la del arranque, ya que se realiza pulsando un botón situado en el salpicadero.

Sus ventajas de comodidad parecen indiscutibles y por ello se encuentra cada día más en coches de todo tipo, aunque en Estados Unidos se está produciendo un cierto alarmismo a causa de negligencias de usuarios de esta tecnología que provocan muertes por inhalación de monóxido de carbono en espacios cerrados.

The New York Times se ha referido a una cifra de 28 fallecimientos y 45 heridos desde 2006 por este motivo, aunque su análisis también señala que la cantidad podría ser incluso superior ya que ninguna agencia federal lleva un registro preciso de los casos. Investigados oficialmente se catalogan cuatro desde ese año, a los que habría que sumar otros conocidos por informaciones periodísticas, denuncias e intervenciones de policía o bomberos.

El proceso de los incidentes sigue un patrón bastante común: el conductor estaciona el coche en el garaje particular de su domicilio, lo deja aparcado sin percatarse de que el motor sigue funcionando y la emisión de monóxido de carbono durante horas provoca una intoxicación que puede acabar en la muerte.

Se trata, obviamente, de casos puntuales y relacionados con una concatenación de circunstancias que desembocan en tan fatal desenlace. Se producen en garajes con conexión directa con la vivienda (algo frecuente en las unifamiliares), los afectados suelen ser personas de avanzada edad que no se percatan de que el motor continua funcionando desde el exterior a causa de su baja rumorosidad, con modelos que no realizan advertencias claras sobre esta circunstancia y que se mantienen en marcha cuando la llave de radiofrecuencia se encuentra a cierta distancia del vehículo.

La preocupación al respecto es la que recoge el prestigioso medio estadounidense, que recuerda que la Sociedad de Ingenieros de la Automoción de aquel país ya solicitó hace siete años que todos los modelos dotados de tal tecnología emitieran una serie de señales acústicas cuando sus propulsores siguieran en marcha sin la llave en su interior.

De hecho, la mayoría de las marcas disponen de estos sistemas de aviso e incluso algunas programan que el motor se pare automáticamente cuando no exista ningún tipo de actividad durante un determinado periodo. Son los modelos más antiguos, los de finales de la década de los noventa y principios de 2000, los que se muestran más propicios a situaciones como las descritas.

En algunos de los casos constatados en Estados Unidos se encontraron acumulaciones de monóxido de carbono en el lugar del suceso 30 veces superiores a las que el organismo humano puede superar. El peligro de este gas es que es incoloro e inodoro, por lo que es difícil de detectar aun siendo altamente tóxico.
Sus características nocivas son bien conocidas en el entorno doméstico por mala combustión de calderas de calefacción, un riesgo que se extiende ahora al mundo del automóvil por estos casos que bien siendo puntuales no dejan de resultar preocupantes. Las primeras víctimas por esta causa en Estados Unidos datan de 2006, cuando un matrimonio de Florida falleció después de dejar funcionando el motor de su Toyota Avalon con llave inteligente en el interior de su garaje.

La Administración Nacional para la Seguridad del Tráfico (NHTSA) ya había publicado hace dos años una serie de recomendaciones al respecto, acompañadas del siguiente vídeo en el que de forma gráfica se informa de los riesgos de este tipo de dispositivos.

La industria del automóvil se esfuerza para que las advertencias al respecto resulten más efectivas y evidentes, con indicadores específicos en el tablero de instrumentos en el interior del vehículo y señales sonoras una vez que se abandona el mismo, duplicando incluso el número de pitidos para que cualquier persona pueda atender a ellos.

Los coches híbridos presentan la particularidad de poder quedarse conectados en modo eléctrico, para posteriormente accionar el motor de combustión en caso de alguna solicitud mayor de energía, por ejemplo al conectarse la climatización por una caída de temperatura. De ahí que cada día sean más las marcas que optan por un sistema de desconexión total del vehículo tras cierto tiempo sin actividad.

Fuente: Motor El País

MirageFox: APT de procedencia china

La reutilización de código entre distintas familias de malware, ha permitido identificar un nueva variante compuesta por código de Mirage y Reaver, APT's viejas conocidas y asociadas a la organización APT15, presuntamente vinculada al gobierno chino.

Reutilizar código es lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir buen código, ya que escribir código reutilizable no tiene como única ventaja que sea reutilizable. Al tener la reutilización como meta final, debes esforzarte en que el código sea modular y legible, por lo que básicamente tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines reusándolo, y por supuesto por las ventajas adicionales ya comentadas que acarrean esta buena práctica.

No es de extrañar que sea una práctica extendida entre los programadores de malware [PDF]. Al fin y al cabo, la creciente complejidad del malware ha hecho que el esfuerzo estimado para producir un único malware se incremente, aproximadamente, en un orden de magnitud cada década. Por tanto, la creación de código reutilizable es imperativa a estas alturas. El término malware no significa otra cosa que "software malicioso", que únicamente hace referencia a la intención del software. No nos pueden sorprender por tanto cosas como que el malware comparte con el goodware (software benigno) un nivel de calidad del código similar, o el tamaño de los equipos dedicados a la programación de éstos.

Y reutilizar código es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de espionaje informático contra compañías y organizaciones de distintos países, atacando a diversos sectores como la industria del petróleo, contratistas de gobiernos, los militares... Una empresa israelí llamada Intezer, que basa su modelo de negocio en la identificación de reutilización de código en malware, ha sido la que ha reconocido esta evolución de Mirage que ha bautizado como MirageFox.

En resumen, las características técnicas de esta nueva versión no son algo a destacar. Es una herramienta de administración remota (RAT) que recopila información del equipo infectado y espera órdenes de un servidor central (C&C). Lo que llama la atención de esta versión es que las muestras encontradas hacen referencia a un servidor central en la misma red local del equipo infectado. Basándose en el modus operandi de APT15 en un ataque anterior, los investigadores de Intezer han concluido que probablemente esta muestra fue configurada especialmente para ejecutarse en una red ya comprometida, concretamente una VPN (red virtual privada) cuya clave privada fue robada previamente por APT15.
Probablemente lo más interesante de esta noticia es que pone el foco de atención sobre métodos alternativos de detección de malware, por contraposición a las clásicas firmas que identifican muestras de familias concretas. Detectar nuevas muestras que han reutilizado código de malware anterior precisamente por detectar la reutilización de código parece una aproximación bastante buena, debido a la tendencia a reutilizar código por parte de los programadores de malware.

Fuente: Hispasec