Malware para mobile alcanza niveles preocupantes

Los troyanos de banca móvil dispararon su presencia en el segundo trimestre de 2018 con un máximo histórico de 61.000, según informe de Kaspersky Lab.

Los troyanos de banca móvil son uno de los peores tipos de malware. Están diseñados para robar dinero directamente de las cuentas bancarias de los usuarios móviles y suponen un gran beneficio para los ciberdelincuentes. La forma de actuar es conocida, el malware se disfraza de aplicación legítima para atraer a las víctimas y conseguir instalarse. Una vez que se inicia la app, el troyano muestra su propia interfaz y cuando el usuario introduce sus credenciales, el malware robar la información.

Los 61.000 paquetes de instalación detectados suponen un hito histórico: un crecimiento tres veces superior al del primer trimestre de 2018, y con más del doble de instalaciones que en el primer trimestre de 2017.
Según los analistas de Kaspersky Lab, un número tan elevado podría ser parte de una tendencia global de crecimiento de malware móvil, ya que el número total de paquetes de instalación de malware móvil también aumentó en más de 421.000 paquetes en comparación con el trimestre anterior.

"El panorama de amenazas del segundo trimestre de este año nos da muchos motivos de preocupación con respecto a la seguridad de los usuarios de dispositivos móviles. El crecimiento general de los paquetes de instalación de malware móvil, especialmente asociados con la banca, demuestra que los ciberdelincuentes están constantemente creando nuevas modificaciones a su software malicioso para hacerlo más sofisticado y discreto para que los proveedores de ciberseguridad lo detecten. El usuario y la industria deberían ser extremadamente cautelosos y vigilantes en los próximos meses a medida que la tendencia continúa creciendo", señala Victor Chebyshev, experto en seguridad de Kaspersky Lab.

Cómo reducir el peligro de los troyanos de banca móvil

El proveedor de seguridad ha señalado algunas medidas para reducir el peligro de infección mediante este malware:

• Instalar aplicaciones que provengan solo de fuentes de confianza.
• Verificar los permisos solicitados por la aplicación.
• Utilizar una solución de seguridad robusta para protegerlo del software malicioso y sus acciones.
• No hacer clic en enlaces de correos electrónicos no deseados.
• No realizar el procedimiento de rooting del dispositivo que otorgaría a los ciberdelincuentes capacidades ilimitadas.

Fuente: Muy Seguridad

Seguir leyendo...

Credenciales de 69 proveedores OTT disponibles en la dark web

Un nuevo informe publicado por Irdeto muestra el descubrimiento de cientos de credenciales de populares servicios OTT como HBO GO, Netflix, DirectTV y Hulu que están siendo vendidas en la dark web, y que todo apunta a que habrían sido robadas.

Irdeto descubrió durante el mes de abril del presente año 845 conjuntos de credenciales listadas por 69 vendedores diferentes y en 15 mercados ubicados en la dark web. Los datos de acceso han sido robados de 42 servicios diferentes, entre los que se encuentran los mencionados en el párrafo anterior. De media, las credenciales de una cuenta está llegando a los 8,71 dólares para un solo uso, aunque también se están vendiendo paquetes de credenciales para varios servicios a precios más altos.

El problema de las credenciales robadas no es el hecho de que los cibercriminales puedan acceder a la cuenta de un servicio, sino que pueden probar los mismos nombre de usuario y contraseña en otros servicios, por lo que el daño puede terminar siendo mucho mayor. De hecho, Netflix lleva tiempo pendiente de estos posibles casos tras descubrir las credenciales de algunos de sus usuarios expuestas en Internet y hasta ha abierto un programa público de recompensas para reforzar la seguridad de su servicio ante los ciberataques.

Proteger las cuentas online es una tarea que puede resultar algo engorrosa, pero que termina siendo muy necesaria si se quiere evitar disgustos en lo máximo posible. Recomendamos la activación de la autenticación en dos pasos (en caso de soportarlo el servicio y mejor si no se apoya en SMS) y la utilización de un gestor de contraseñas para la generación de contraseñas fuertes y evitar su repetición.

Fuente: NakedSecurity

Seguir leyendo...

Ryuk: ransomware que realiza ataques dirigidos

Un nuevo ransomware amenaza a las organizaciones. Se llama Ryuk y, según informa la compañía de seguridad Check Point, durante el último par de semanas ha estado actuando contra varias compañías de diferentes partes del mundo.

Se caracteriza por implicarse en ataques dirigidos y operaciones a pequeña escala en vez de distribuirse a través de campañas de spam masivas. De hecho, la distribución la estarían realizando los atacantes de manera manual.

Su objetivo es infectar recursos que son cruciales para el atacado. Ha afectado a cientos de máquinas entre ordenadores, servidores y centros de datos en cada organización. Tres grandes compañías en Estados Unidos ya lo han sufrido.

Desde Check Point destacan que se ha pagado algún rescate "excepcionalmente grande". Y es que los ciberdelincuentes que operan con Ryuk ya habrían superado los 640.000 dólares en ganancias. Este ransomware se dirige, por tanto, a objetivos que pueden pagar cantidades abultadas de dinero (entre 15 BTC y 50 BTC).

Se sospecha que detrás de Ryuk pueden estar los creadores de otro ransomware, HERMES, que se ha asociado con Lazarus Group. También podría ser alguien que haya obtenido su código fuente.

"El ransomware Ryuk no se ha distribuido ampliamente", explica Check Point. "Al igual que su antecesor, HERMES, solo se ha utilizado en ataques dirigidos, lo que hace que sea mucho más difícil rastrear las actividades e ingresos del autor del malware".

Los expertos ven posible una operación coordinada con empresas objetivo elegidas con cuidado. Con "un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación"”, si bien técnicamente las capacidades de este malware serían "relativamente bajas".

Check Point también aventura que no estamos ante "el final de la campaña", sino que "es muy probable que otras organizaciones sean víctimas de Ryuk".

Fuente: CheckPoint

Seguir leyendo...

Confirmado nueva fuga de tarjetas de crédito en Chile

Durante la tarde de este lunes el supuesto grupo Shadow Brokers reapareció en redes sociales a través de una nueva cuenta de Twitter, luego de que la plataforma cerrara sus accesos tras el escándalo por filtración de datos bancarios el 25 de julio pasado.

En esa oportunidad, aparecieron más de 14 mil datos sensibles de tarjetas de crédito y débito de clientes nacionales.

Pese a que las entidades aseguraron que mejorarían sus protocolos de seguridad, esta tarde la Superintendencia de Bancos e Instituciones Financieras confirmó de una nueva posible filtración. "La SBIF tomó conocimiento de una nueva posible filtración de información financiera y estamos adoptando todas las medidas para proteger los datos de las personas".

Al mismo tiempo, la entidad aseguró que mantendrá información actualizada a través de sus redes sociales durante las próximas horas.

El grupo colgó un link en su cuenta, donde figuran los datos completos de más de 1.000 personas, entre los que se encuentran varios chilenos.

Esta nueva filtración incluiría a clientes del Banco de Chile, Scotiabank, Cencosud, BCI, CMR, Falabella, Banco Estado y otros.

Sin ir más lejos, CMR Falabella señaló que ya se están contactando con los 134 clientes perjudicados.

BCI, por su parte, aseguró que “ante nueva filtración de datos, informamos que hemos realizado el bloqueo inmediato de las 23 tarjetas de crédito cuyos datos fueron filtrados. Esto lo comunicamos vía SMS a nuestros clientes afectados, procedimiento habitual para evitar cualquier tipo de fraude. Se está investigando el origen de esta filtración y se continuará monitoreando permanentemente la situación con todos los protocolos de seguridad activados”.

La entidad agregó que "adicionalmente, queremos reforzar que no es necesario realizar cambio de clave de tarjeta o de acceso a nuestras plataformas digitales".

Banco de Chile, en tanto, aseguró que "respecto a la filtración de datos de tarjetas de crédito de varios bancos locales, 56 correspondían al Banco de Chile, las que ya fueron bloqueadas y nuestros clientes están siendo contactados".

Por su parte, Santander aclaró que "informamos que como medida preventiva procedimos a bloquear las tarjetas de 47 clientes, a quienes se está contactando".

En un comunicado luego de controlada la emergencia, la SBIF aseguró que "se trata de una filtración que no proviene de la banca. Lo anterior, pues ni los bancos ni las sociedades de apoyo al giro bancario que procesan transacciones almacenan el código de seguridad (CVV), ubicado al dorso de la tarjeta".

En ese sentido, la entidad aclaró que "sin perjuicio de lo anterior -y con el interés de velar por la seguridad de los clientes- los bancos han activado oportunamente sus protocolos de seguridad, procedido a bloquear las tarjetas vulneradas y se encuentran en proceso de emitir nuevas tarjetas".

La Superintendencia recalcó que "esta nueva filtración de información reservada de clientes titulares de tarjetas de crédito y todos los antecedentes que se desprendan de ella, serán entregados por la Asociación de Bancos (ABIF) a la Fiscalía, en el marco de la denuncia ya presentada el día 30 de julio pasado contra quienes resulten responsables".

Fuente: El Dinamo

Seguir leyendo...

Otra vulnerabilidad y otro exploit para Apache Struts2

Hace unos días se hizo pública otra vulnerabilidad en Apache Struts2, un popular framework para aplicaciones web en Java.

Dicha vulnerabilidad, CVE-2018-11776, permite a un atacante la ejecución remota de comandos. La versiones afectadas son Apache Struts 2.3 a 2.3.34 y 2.5 a 2.5.16.

Para poder aprovechar dicha vulnerabilidad, una acción (struts action) se debe definir sin namespace o usar algún carácter comodín, como por ejemplo /*. En estos casos, Struts usa OGNL (un lenguaje de expresiones de código abierto para Java) para determinar la acción a ejecutar basada en el namespace dado por el usuario, permitiendo así la posible ejecución de código remoto.

Existen pruebas de concepto pública para la explotación de esta vulnerabilidad, como por ejemplo en este repositorio. En el mismo, existen un par de scripts en Python, uno para comprobar si una aplicación web es vulnerable y el otro acepta comandos como parámetros que son ejecutados en el servidor donde corre nuestra aplicación. En dicho repositorio, hay algunas instrucciones para levantar un contenedor Docker con una aplicación usando Apache Struts2, más una serie de cambios en la configuración.

Para que el ataque se haga efectivo, se tienen que cumplir dos condiciones:

1. El parámetro 'alwaysSelectFullNamespace' debe estar a 'true' en la configuración de Struts.
2. El fichero de configuración de Struts contiene una etiqueta '<action ...>' que no especifica ningún espacio de nombres.

Cyberhades ha creado un contenedor que ya contiene dichos cambios de configuración. Si deseas probar por tí mismo como explotar esta vulnerabilidad, sólo tienes que ejecutar el siguiente comando (asumiendo que tienes Docker instalado):

docker container run -it --rm -p 8080:8080 tuxotron/cve-2018-11776

La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.35 o 2.5.17; disponibles desde: http://struts.apache.org/download.html#struts-ga

Fuente: Cyberhades

Seguir leyendo...

Exploit Zero-Day para una vulnerabilidad del programador de tareas de Windows

Un investigadora ha publicado en Twitter detalles sobre una vulnerabilidad en el sistema operativo Windows 10.

La vulnerabilidad es un problema de "escalamiento de privilegios locales" que permite a un atacante elevar el acceso de código malicioso desde un rol de usuario limitado a una cuenta de sistema (system) de acceso completo.

Poco después la investigadora borró su cuenta de Twitter después de revelar la vulnerabilidad.
Will Dormann confirma la vulnerabilidad

El ingeniero de CERT / CC, Will Dormann ha confirmado la vulnerabilidad y ha emitido una alerta oficial del CERT/CC anoche.

La vulnerabilidad se encuentra en ALPC

Esta la vulnerabilidad reside en el Programador de tareas de Windows, y más precisamente en la interfaz de la  Advanced Local Procedure Call (ALPC) y tiene un puntaje de CVE 6,8/10.

La interfaz ALPC es un mecanismo interno de Windows que funciona como un sistema de comunicación entre procesos. ALPC permite que un proceso de cliente que se ejecuta dentro del sistema operativo solicite a un proceso de servidor que se ejecute dentro del mismo sistema operativo que proporcione cierta información o realice alguna acción.

El investigador que se publicó ayer ese Twit con el nombre de usuario SandboxEscaper, ha lanzado un código de prueba de concepto (PoC) en GitHub para explotar la interfaz ALPC y obtener acceso al SISTEMA en un sistema Windows.

El investigador bajo el nombre de SandboxEscapera no ha Microsoft sobre la vulnerabilidad, lo que significa que no hay parche disponible para esta vulnerabilidad.

Las próximas actualizaciones de seguridad de Microsoft están programadas para el 11 de septiembre, la fecha del próximo parche de la compañía el martes.

Explotación

El problema principal es que en una instalación por defecto, muchos archivos críticos solo pueden ser modificados por un instalador confiable (ni siquiera por system).

Mediante el siguiente script en PowerShell se pueden enumerar archivos sobre los que puede tomar el control. Simplemente ejecuta ./enumerate.ps1> output.txt

$aapsid = 'NT AUTHORITY\SYSTEM'
ForEach($file in (Get-ChildItem -recurse -Path 'C:\windows')) {
   $acl = Get-Acl -path $file.PSPath
   ForEach($ace in $acl.Access) {
      If(($ace.FileSystemRights -eq
           [Security.AccessControl.FileSystemRights]::FullControl) -and 
            $ace.IdentityReference.Value -in $aapsid) {
               Write-Output $file.PSPath
      }
   }   
}

Fuente: THN

Seguir leyendo...

Estudio afirma que "Google recoge más datos a través de Android de lo que se creía"

Como era de esperar, Google recopila numerosos datos e información a través de los usuarios de Android. Pero más de lo que se creía. Así lo ha puesto de manifiesto un estudio de 55 páginas [PDF] elaborado por el profesor de Vanderbilt Douglas C. Schmidt y respaldado por el grupo de editores online Digital Context Next, cuyas conclusiones ha recogido CNET. Como era de esperar, Google ha rechazado las conclusiones a las que se ha llegado en el estadio, a las que ha tachado de "altamente engañosas".

En efecto, Google recoge todo tipo de datos de los que usan sus servicios a diario. Desde por dónde se desplazan y cómo lo hacen a la música que escuchan. Gran parte de estos datos se deducen a través de medios pasivos. Entre ellos, la información sobre la ubicación que se envía a Google aunque los móviles que la recogen, o el navegador Chrome, no se estén utilizando de forma activa. Así, un smartphone con Android inactivo envía a diario a Google información sobre la ubicación unas 340 veces en 24 horas, unas 14 veces cada hora. Así lo ha desvelado el estudio, que apunta a que gracias a la información que recoge, Google es capaz de identificar los intereses de los usuarios de Android con gran precisión.

Además, la compañía también es capaz de asociar los datos anónimos que recoge con cuentas de usuario, algo que puede hacer a través de sus herramientas publicitarias. Por ejemplo, con la cookie de identificación de DoubleClick.

La respuesta de Google no se ha hecho esperar, y al parecer, ha sido bastante dura. La multinacional pone en duda los resultados del estudio, argumentando que el autor podría tener algún conflicto de intereses al haber acudido como testigo en el caso que mantiene con Oracle por la disputa legal sobre el copyright de Java. Por otro lado, ha dicho que el estudio ha sido encargado por un grupo lobbista de Washington DC.

Este no es el único estudio que ha llegado a la conclusión de que Google recopila más información de la que se creía. La semana pasada, Associated Press hizo pública una investigación que demostraba que los servicios de los móviles con iOS, pero también los que tienen Android, rastrean y almacenan los datos de la ubicación de sus propietarios. Y que lo hacen aunque desactives la opción del historial de ubicación en la configuración de privacidad.

Fuente: Muy Computer

Seguir leyendo...

Glosario de términos de ciberseguridad

En este glosario de INCIBE encontrarás una explicación sencilla para los términos técnicos sobre ciberseguridad utilizados en los artículos del blog (y en español).

La terminología de seguridad, y en general la jerga utilizada por técnicos de las tecnologías de la información, es a menudo difícil de entender para los profanos en la materia. Como en otros campos, proliferan las siglas y acrónimos, extranjerismos, calcos y préstamos lingüísticos que dificultan la lectura y comprensión de los textos.

Con objeto de aportar claridad en los contenidos de la sección que inevitablemente utilizan estos términos, se han recopilado aquellos cuya comprensión puede resultar más compleja. Para ellos se ha redactado una definición que permita acercar el concepto al ámbito empresarial no tecnológico. Además se ha compilado un listado de glosarios y diccionarios que han servido de inspiración para este glosario.

El hlosario es un elemento vivo que será revisado periódicamente, por lo que las sugerencias son bienvenidas y serán consideradas para próximas ediciones.

Descargar: Glosario de términos de ciberseguridad de INCIBE:

Además, se pueden consultar los siguientes glosarios (en inglés):

• Glosario de SANS
• Glosario de NIST
• Glosario de CISA

Seguir leyendo...

Fallo en OpenSSH llevaba presente 19 años (Parchea!)

Los investigadores en seguridad de Qualys han descubierto una vulnerabilidad que llevan presente 19 años en OpenSSH, la implementación más conocida del protocolo SSH y cuyos responsables son los desarrolladores del sistema operativo OpenBSD (aunque también es muy utilizado en Linux, Mac y más recientemente ha llegado a Windows).

Entrando en detalles, se trata de un fallo en la enumeración del nombre de usuario (CVE-2018-15473) que permite a un atacante remoto adivinar nombres de usuario registrados en un servidor OpenSSH (un cliente accede al sistema del servidor con los privilegios determinados por la última parte). El escenario de ataque se basa en que un actor malicioso intenta autenticarse en un endpoint de OpenSSH a través de una solicitud de autenticación mal formada, que puede estar compuesta de un paquete truncado.

Luego, el servidor OpenSSH vulnerable puede reaccionar de dos maneras diferentes. En caso de que el nombre de usuario en la autenticación mal formada no exista, el servidor responderá con el típico error de fallo en la autenticación, sin embargo, en caso de estar ya registrado simplemente se cerrará la conexión sin dar ninguna respuesta. Este comportamiento de OpenSSH permite adivinar los nombres de usuario válidos para acceder de forma remota a un sistema, abriendo así la puerta a ataques de fuerza bruta para adivinar la contraseña. Siempre y cuando el usuario sea válido y la petición tenga un formato no válido, sabremos por el cierre de la conexión que el usuario existe en el sistema. Esto nos permite obtener un método de prueba y error para enumerar los posibles usuarios de un sistema.

Afortunadamente, el fallo se encuentra en estos momentos totalmente parcheado en las versiones estables de OpenSSH 1:6.7p1-1 y 1:7.7p1-1. Los que quieran comprobar si su servidor es vulnerable pueden poner en práctica esta Prueba de Concepto y los que no puedan aplicar el parche por diversas razones tienen como alternativa la aplicación de mitigaciones como inhabilitar la autenticación a través de SSH y reemplazarlo por algún medio alternativo para inicia sesión, además de desactivar el método de "autenticación de clave pública" (que es donde se localiza el código vulnerable).

OpenSSH es una de las tecnologías más utilizadas del mundo cuando se trata de acceso remoto, por lo que se encuentra instalado en millones de servidores y dispositivos IoT. Esto quiere decir que una gran cantidad de dispositivos se han visto expuestos a un posible ataque masivo con terribles consecuencias.

Otra aplicación que también ofrecen la posibilidad de enumerar usuarios.

Hasta ahora, OpenSSH ha tenido otras vulnerabilidades relacionadas con este tipo de ataques, del tipo timming, donde se explota una diferencia en tiempo o cantidad de datos en la respuesta entre un usuario válido u otro que no exista. Posibilitando, por lo tanto, un método para derivar la existencia. Por ejemplo, esta, donde si un usuario existía en el sistema el servidor SSH respondía con dos segundos aproximados de retraso frente a la respuesta inmediata si el usuario no existía.

Se recomienda actualizar a OpenSSH 7.7 o superior.

Fuente: Bleeping Computer

Seguir leyendo...

Phishing de Facebook: "inicia sesión con un clic"

Expertos en seguridad de diferentes empresas han detectado que, desde hace varios días, se están enviando correos electrónicos spam con la finalidad de robar las credenciales de los usuarios. Para ser más precisos, se habla de la posibilidad de realizar un inicio de sesión mucho más rápido en Facebook. Esto es algo que existe, sin embargo, se está utilizando por parte de los ciberdelincuentes para sacar provecho.

Sobre todo, desde la red social envían este tipo de correos cuando se quiere informar al usuario de un intento de sesión en un equipo no habitual, o cuando se han realizado varios intentos incorrectos.

Entonces, el correo electrónico que el usuario recibe tiene una apariencia similar a la siguiente:

Este ejemplo sirve, entre otras cosas, para comprobar cuál es el correo legítimo utilizado por la red social para notificar a los usuarios. También sirve para comprobar cuál es la apariencia del mensaje recibido.

Fuente: Redes Zone

Seguir leyendo...

Certificados de Symantec serán "peligrosos" desdes octubre

Tanto Google como Mozilla van a hacer que, a partir de octubre de 2018, las advertencias de páginas web peligrosas que aparecen en el navegador sean aún más frecuentes. Esto se debe a que ambas compañías van a empezar a considerar como peligrosos todos los certificados web emitidos por Symantec a causa de las irregularidades en la emisión de estos por parte de la autoridad certificadora.

Ya se sabía desde hace tiempo que los principales navegadores web iban a empezar a marcar como peligrosos tarde o temprano estos certificados. El problema es que muchas más webs de las que pensamos utilizan certificados emitidos por Symantec, como, por ejemplo, PayPal.

En el caso del navegador de Google, estos avisos ya están disponibles en la rama Canary, y llegarán a todos los usuarios el próximo 16 de octubre de 2018, cuando se lance el próximo Google Chrome 70 en la rama estable.

En el caso de Firefox, el navegador de Mozilla, estos certificados ya se marcan como peligrosos en la rama Nightly, y esta nueva protección llegará a todos los usuarios el próximo mes de octubre de 2018, cuando Firefox 63 llegue a la rama estable del navegador.

No podremos desactivar estas advertencias

Normalmente, dentro de las opciones avanzadas de los navegadores podemos encontrar funciones que nos permiten saltarnos estas restricciones. Esta vez no va a ser así. Tras la llegada de estas nuevas versiones de los navegadores no va a haber forma de desactivar estos avisos, apareciendo siempre que vayamos a entrar en una página web que cuente con uno de estos certificados malos.

Además, nosotros no podemos hacer nada por solucionarlo. Son los propios administradores de las páginas web en cuestión quienes deben preocuparse de cambiar los certificados digitales por otros fiables para que las webs sigan funcionando. Seguramente habrá muchas webs que no cambien de certificado antes de la llegada de estas versiones de los navegadores.

No solo los certificados de Symantec van a entrar en la lista roja. Los certificados de otras CA adquiridas por Symantec en el pasado, como Thawte o RapidSSL, también deben ser actualizados, o a partir de octubre de 2018 las webs aparecerán como peligrosas.

Fuente: gHacks

Seguir leyendo...

Sora: variante de Mirai afecta a otras plataformas

Mirai es, sin duda, el malware más peligroso para el Internet de las Cosas. Este malware se aprovecha de diferentes debilidades en este tipo de dispositivos (contraseñas inseguras, vulnerabilidades, etc) para tomar el control del mismo, infectarlo y convertirlo en un "zombie" parte de una de las botnets más grandes y peligrosas de la historia, botnet que ya en más de una ocasión ha dado quebraderos de cabeza a investigadores y desarrolladores. Ahora parece que esta botnet quiere dar un salto más y llegar a un mayor número de dispositivos, y así nace el proyecto Sora, una variante de Mirai.

Sora es un malware basado en Mirai que fue detectado por investigadores de seguridad a principios de año, aunque llevaba un tiempo abandonado y sin desarrollo ni mantenimiento. Sin embargo, tal como muestran los investigadores de seguridad de NewSky, Sora está volviendo a la carga, aumentando considerablemente el número de infecciones desde el pasado mes de junio. Este nuevo malware basado en Mirai es diferente al que se vio a principios de año, y es que, según los expertos de seguridad, cuenta con importantes mejoras en el código para hacerlo mucho más agresivo y complicado de detectar antes de su infección.

El delincuentes que actualmente está detrás de Sora ha utilizado como compilador Aboriginal Linux, una herramienta que permite cargar el código y generar automáticamente binarios para una gran cantidad de plataformas diferentes. De esta manera, quienes estén actualmente detrás de Mirai Sora buscan infectar el mayor número de dispositivos y plataformas posible, incluso más allá de lo que se conoce como el Internet de las Cosas, infectando, por ejemplo, smartphones Android.

Cómo funciona Mirai Sora y cómo protegernos de este malware

De forma similar al malware Mirai original, cuando Sora encuentra un dispositivo compatible con la infección, lo que hace es intentar conectarse a él a través de SSH, utilizando fuerza bruta para adivinar la contraseña. Si lo consigue, entonces ejecuta una serie de comandos para descargar y ejecutar el binario óptimo para esta plataforma.

Según los expertos de seguridad, el malware basado en Mirai, como Sora, está aumentando otra vez. En este caso concreto, por ejemplo, desde el pasado mes de junio se han detectado cerca de 86.000 nuevas infecciones de dispositivos IoT, dispositivos que ahora forman parte de una botnet controlada por piratas informáticos y que puede ser utilizada para cualquier fin, como enviar SPAM o realizar ataques DDoS.

Como hemos explicado, Mirai, y sus variantes, se aprovechan generalmente de vulnerabilidades y de contraseñas inseguras en los dispositivos. Por ello, la mejor forma de protegerse de estas amenazas es asegurarnos de utilizar dispositivos del Internet de las Cosas con soporte, teniendo la última versión del mismo instalada, así como cambiar las contraseñas por defecto de los dispositivos por otras más seguras para evitar que puedan conectarse a él de forma remota y dar lugar a la infección como tal. Troy Mursch, un investigador de seguridad con sede en Estados Unidos que maneja un Mirai Tracker, le dijo hoy a Bleeping Computer en una conversación privada que Sora no es el único que está resurgiendo, y que el número de ataques Mirai ha estado aumentando constantemente durante todo el año.

Sora no es la única variante de Mirai que está resurgiendo, por lo que los expertos de seguridad nos recomiendan estar preparados, por lo que pueda pasar.

Fuente: RedesZone

Seguir leyendo...

Intel introduce parches contra Meltdown y Spectre a nivel del silicio en Cascade Lake

Intel ha anunciado en el simposio Hot Chips 2018 una serie de correcciones para Cascade Lake, una arquitectura de CPU orientada a servidores que será lanzada al mercado a lo largo de este año, que corregirán o mitigarán las polémicas vulnerabilidades que han sido descubiertas a partir de principios del presente año.

Para muchos usuarios y sobre todo empresas no solo preocupa la imposibilidad de poder parchear totalmente Spectre, sino también la pérdida de rendimiento que ocasiona la aplicación de los perches. Aunque esto es muy difícil de cuantificar debido a que depende la carga de trabajo, Intel ha estimado que podría estar entre 5 y un 10 por ciento, pudiéndose verse más afectados los procesadores viejos que los nuevos. Esto concuerda más o menos con los números ofrecidos por los desarrolladores de Linux tras aplicar el parche contra Meltdown en Linux 4.15.

Debido a que los procesadores Cascade Lake han venido después, incluyen parches a nivel del silicio contra las distintas variantes de Meltdown y Spectre. Hasta ahora Intel ha sido reacia a dar explicaciones sobre cuál es el impacto de estas modificaciones a nivel de silicio, pero ha terminado reconociendo que las mitigaciones tendrán un impacto en el rendimiento, pero que a nivel general se mejorará frente a generaciones anteriores de CPU.
La variante 1 (Spectre) todavía requerirá de protecciones a nivel de software, mientras que la variante 2 (ataque clásico de Spectre) requerirá de mitigaciones tanto a nivel de software como de hardware. Por su parte, las variantes 3 (Meltdown) y 5 (Foreshadow/L1 Terminal Fault (L1TF)) están mitigadas a nivel de hardware en Cascade Lake y la 3a (Meltdown) ha sido parcheada a través de firmware, mientras que la variante 4 (Spectre) también requerirá de parches a nivel de firmware y software.

Si bien los problemas derivados de Spectre están afectando a casi todas las CPU modernas, sobre todo si usan ejecución especulativa, Intel se está mostrando más golpeada que el resto debido a Meltdown y Foreshadow, que solo afectan a sus productos. El daño a su reputación podría estar siendo aprovechado por algunos de sus rivales directos, sobre todo en el sector corporativo.

Fuente: ExtremeTech

Seguir leyendo...

Skype incorpora cifrado End-to-End

El cifrado de extremo a extremo es una característica cada vez más extendida entre los servicios de mensajería de distinto tipo. Siendo posiblemente Signal la aplicación que popularizó dicha característica, ahora la encontramos implementada en otros servicios tan populares como WhatsApp.

Más recientemente ha sido Skype, el conocido servicio de VoIP propiedad de Microsoft, el que ha anunciado la incorporación del cifrado extremo a extremo (end-to-end) en las conversaciones, habiendo llegado esta posibilidad a los usuarios de iOS, Android, Linux, Mac y Windows tras ser anunciada hace meses.

Skype se ha basado en Protocolo Signal (sí, el del servicio avalado en su momento por Edward Snowden) para inclusión de cifrado de extremo a extremo. Para iniciar una conversación privada, el usuario puede seleccionar “Nueva conversación privada” en el menú de composición o en el perfil del destinatario, el cual recibirá una invitación para que todas las llamadas y mensajes intercambiados a partir ahí sean cifrados desde la emisión hasta el destino, solo pudiendo ser leídos/escuchados por las partes implicadas en la conversación.

Sin embargo, el cifrado extremo a extremo de Skype presenta una limitación, y es que los usuarios solo pueden participar en una conversación privada en un dispositivo a la vez. Siendo más precisos, se puede mantener una conversación privada a través de diversos dispositivos, pero todo lo enviado y recibido quedará con el dispositivo utilizado en ese momento.

Si bien el servicio de VoIP de Microsoft ya utilizaba cifrado, la inclusión de la uno que va de extremo a extremo sirve para reforzar todavía más la privacidad ofrecida por Skype, siguiendo así los pasos dados por otros competidores como el mencionado WhatsApp y Facebook Messenger.

Fuente: The Verge

Seguir leyendo...

Webinario Gratuito Reglamento General de Protección de Datos (RGPD) de Europa

El próximo jueves 30 de Agosto, se desarrollará un interesante Webinario Gratuito sobre el  Reglamento General de Protección de Datos (RGPD) de Europa, donde se podrá conocer qué obligaciones legales aplican a cada empresa, cómo se debe cumplir esta reglamentación y la importancia de esta norma en América Latina.

Fecha y hora:
Jueves 30 de Agosto de 2018
15hs Argentina - 15hs Uruguay
14hs Paraguay - 14hs Bolivia

Temario:

• Consentimiento. Información. Finalidad. Seguridad. Confidencialidad. Calidad del dato.
• Reglamento 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea (RGPD)
• Transferencia internacional entre grupos o entidades externas.
• Derechos de los titulares. Expectativa de privacidad. Portabilidad de datos.
• Medidas de Seguridad de acuerdo a la clasificación de los datos
• Privacidad desde el diseño (Privacy by Design)
• Redacción de cláusulas en cumplimiento de la Ley Nº 25.326.

Disertantes:

• Lic. Cristian Borghello - CISSP - MVP - CCSK
• Abog. Marcelo Temperini

Ver Webinario Online

Nuevo curso de RGPD

Seguir leyendo...

Fallo de deserialización en PHP pone en riesgo a millones de sitios web WordPress

El investigador en seguridad Sam Thomas, de la empresa Secarma, ha descubierto una nueva técnica que podría hacer más fácil a los atacantes la explotación de vulnerabilidades de deserialización en PHP mediante la utilización de funciones que eran consideradas como de riesgo bajo.

PHP es uno de los lenguajes de programación más populares, siendo la tecnología para el tratamiento de páginas web dinámicas desde el lado del servidor más utilizado del mundo. Además, muchos de los CMS más importantes lo utilizan, entre ellos WordPress, por lo que podría haber millones de sitios web vulnerables ante esta nueva técnica descubierta.

La deserialización en PHP fue documentada inicialmente en 2009 y abre la puerta a que atacantes puedan llevar a cabo diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función unserialize(), la cual es una característica oficial y legítima de la implementación oficial del lenguaje que nos ocupa. Básicamente, la función seriar (serialize()) permite convertir los datos de los objetos en texto plano, mientras que deserializar (unserialize()) ayuda al programa a recrear el objeto a partir de la cadena en texto plano.

Sam Thomas ha descubierto que un atacante puede usar funciones de bajo riesgo contra archivos Phar (un formato de fichero en PHP que almacena los metadatos en un formato seriado que se deserializa cuando una función de operación de ficheros intenta acceder a él) para realizar de ataques de deserialización sin requerir la utilización de la función unserialize() en una gran variedad de escenarios.

Para explotar el fallo con éxito, el atacante solo tiene que subir al servidor objetivo un fichero para su conversión a un Phar válido que contenga una carga maliciosa en forma de objeto. Después se tiene que hacer que la función que opera con el archivo acceda utilizando el wrapper de transmisión "phar://" para ejecutar el código arbitrario cuando el programa deserializa los metadatos. Por ejemplo, el investigador ha conseguido explotarlo con una imagen JPEG, la cual pasó de un fichero Phar a una imagen JPEG válida al modificar sus 100 primeros bytes, algo que ha podido realizar a través de la funcionalidad de miniaturas de WordPress, que "habilita a un atacante con privilegios para cargar y modificar elementos multimedia y obtener el control suficiente del parámetro utilizado en una llamada 'file_exists' para causar una deserialización".

Sam Thomas ha reportado la vulnerabilidad al equipo de WordPress a principios del presente año, pero a día de hoy todavía no hay un parche que neutralice al 100% la vulnerabilidad. También lo ha reportado a Typo3 el 9 de junio de 2018, aunque para este CMS sí hay un parche completo que ha llegado a las versiones 7.6.30, 8.7.17 y 9.3.

Fuente: The Hacker News

Seguir leyendo...

USBHarpoon: ataque que utiliza cables USB para comprometer sistemas operativos

Un grupo de expertos en seguridad informática han creado una versión maliciosa de un cable de carga USB con el objetivo de comprometer un dispositivo (teléfono, PC o Mac) en apenas segundos. Una vez el cable está conectado al dispositivo, se transforma en un dispositivo periférico que puede escribir código malicioso y ejecutar comandos.

La primera vez que se conoció un ataque de este tipo fue durante la conferencia Black Hat de 2014, cuando Karsten Nohl y Jakob Lell introdujeron el concepto BadUSB, para hacer referencia a un error de seguridad que permite a los atacante convertir un cable USB en una herramienta para comprometer el sistema.

Ahora, investigadores de la firma SYON Security ha construido un cable de carga USB modificado para ser aprovechado por un delincuente que podría introducir malware en cualquier dispositivo y sin notarlo. Evidentemente, detrás de este nuevo hallazgo está la vulnerabilidad BadUSB.
El nombre de este nuevo método de ataque basado en el cable es USBHarpoon, y el cable utiliza un chip alternativo y un firmware distinto. Detrás del proyecto USBHarpoon están Olaf Tan y Dennis Goh de RFID Research Group, Vincent Yiu de SYON Security, y Kevin Mitnick, quien catalizó toda la colaboración.

Este grupo de investigadores  utilizaron USBHarpoon para reemplazar la unidad USB por un cable de carga. Esto es algo con lo que los usuarios no tendrían demasiado cuidado. Ya sabemos que hoy en día podemos encontrar este tipo de cables en muchos aeropuertos, estaciones de tren, centros comerciales… Son útiles para cargar nuestros dispositivos en un momento de urgencia.

Según un informe de WinFuture, cuando el USB manipulado se conecta a través del HID, el atacante podría enviar diversas formas de malware a dispositivos Windows, Mac y Linux, ya que los tres sistemas operativos son vulnerables al ataque. En principio, el cable USB se utilizaba para detener la capacidad de carga luego de aprovechar BadUSB, lo que hacía que las víctimas pudiesen sospechar del ataque al cargar el móvil y observar el bajo rendimiento.

Este tipo de ataques tendría éxito en dispositivos que han sido desbloqueados. Esto permitiría descargar comandos y ejecutarse. Eso sí, todo este proceso es visible en la pantalla. El atacante, por tanto, tendría que ocultarlo de alguna manera.

De momento, el equipo de SYON Security, está trabajando en nuevas formas que desencadenarían el ataque mientras los usuarios no están usando el dispositivo. Más allá de cualquier recomendación de seguridad, como actualizar el software de todos tus dispositivos, la manera más coherente de evitar ataques de este tipo es utilizar tu propio cargador y evitar usar cables USB en cualquier lugar público.

Fuente: TekCrispy

Seguir leyendo...

Cryptojacking: técnicas de distribución de malware de minado de criptomonedas

FireEye publica un informe en el que se explica el interés de los actores de amenazas por el malware para minar criptomonedas o cryptojacking, por qué Monero es la moneda de preferencia para estas operaciones, los países y sectores más afectados, las tácticas empleadas, etc.

Para maximizar sus beneficios, los cibercriminales diseminan ampliamente su malware de minado usando varias técnicas, como incorporar módulos de cryptojacking en redes bot (botnet) existentes, ataques de criptominería por descarga, uso de aplicaciones móviles que contienen código para el cryptojacking y distribución de herramientas de cryptojacking a través de spam y utilidades de propagación automática.

Los actores de amenazas pueden usar el cryptojacking para afectar a numerosos dispositivos y extraer secretamente su potencia de computación. Algunos de los dispositivos que FireEye ha observado que son objetivo de ataque por estos esquemas de cryptojacking son:

• Equipos endpoint de usuarios
• Serivdores corporativos
• Sitios web
• Dispositivos móviles
• Sistemas de control industrial

Las principales técnicas de distribución de malware de minado de criptomonedas son:

• Cryptojacking en la nube. Recientemente se han observado varias operaciones que atacan específicamente las infraestructuras en la nube, lo que será un objetivo creciente del cryptojacking, ya que ofrece a los actores de amenazas un entorno con gran potencia de computación en el que ya se espera que el uso de CPU y los costes de electricidad sean elevados, por lo que permite que sus operaciones permanezcan potencialmente inadvertidas.
• Incorporación del cryptojacking a redes bot existentes. FireEye iSIGHT Intelligence ha observado numerosos botnets destacados como Dridex y Trickbot incorporar la minería de criptomonedas a sus operaciones existentes. Muchas de estas familias son modulares y tienen la capacidad de descargar y ejecutar archivos en remoto. Aunque estas operaciones se han centrado normalmente en el robo de credenciales, añadir módulos de minado genera otra vía de beneficios con poco esfuerzo.
• Cryptojacking al navegar. FireEye iSIGHT Intelligence ha examinado varios informes de clientes de minería de criptomonedas basada en navegadores de Internet. Se ha visto scripts de minado en sitios web comprometidos, plataformas publicitarias de terceras partes y sitios que los han colocado legítimamente. A pesar de que los scripts de minado de criptomonedas pueden ser emebidos directamente en la fuente de código de la página web, frecuentemente son cargados desde sitios web de terceras partes. Identificar sitios web con código para minar embebido puede ser difícil puesto que no todos los scripts de minado son autorizados por los editores de los sitios, como en el caso de un sitio web con su seguridad comprometida. Además, incluso en casos en los que los scripts de minado sean autorizados por el propietario de un sitio web, no siempre se comunica de forma clara a los visitantes del sitio. En estos momentos, el script más popular desplegado es Coinhive. Se trata de una librería de código abierto de JavaScript que, cuando se descarga en un sitio web vulnerable, puede minar Moner usando los recursos de la CPU del visitante del sitio, sin su conocimiento, mientras navegan por él.
• Malvertising y Exploit kits. El malvertising (anuncios maliciosos en sitios web legítimos) normalmente redirige a los visitantes de un sitio a una página de inicio de un exploit kit. Estas páginas están diseñadas para escanear un sistema en busca de vulnerabilidades, explotar esas vulnerabilidades y descargar y ejecutar códigos maliciosos en el sistema. Cabe destacar, que los anuncios maliciosos pueden ser situados en sitios legítimos y los visitantes pueden infectarse con poca o sin interacción por su parte. Esta táctica de distribución se usa normalmente por actores de amenazas para distribuir malware de forma amplia y ha sido empleado en varias operaciones de minado de criptomonedas.
• Cryptojacking para móviles. Además de atacar servidores empresariales y equipos de usuarios, los actores de amenazas también se han dirigido a dispositivos móviles para sus operaciones de cryptojacking. Aunque esta técnica es menos común, probablemente debido a la limitada capacidad de procesamiento que ofrecen los dispositivos móviles, esta técnica es una amenaza, ya que el consumo mantenido de energía puede dañar los dispositivos y reduce de forma drástica la vida de la batería. Se ha observado a los actores de amenazas atacar los dipositivos móviles albergando aplicaciones maliciosas de cryptojacking en tiendas populares de apps y a través de campañas de malvertising en navegador que identifican los navegadores de usuarios móviles.
• Campañas de spam de Cryptojacking. FireEye iSIGHT Intelligence ha detectado varias compañas de malware de minado distribuidas a través de campañas de spam, lo que es una táctica muy utilizada para difundir malware indiscriminadamente. Prevemos que los actores maliciosos continuarán utilizando este método para diseminar código de cryptojacking siempre que la minería de criptomonedas siga siendo rentable.
• Gusanos de Cryptojacking. Tras los ataques de WannaCry, los actores comenzaron a incorporar de forma creciente funcionalidades de autopropagación en el malware. Algunas de las técnicas de autodistribución observadas incluyen la copia en discos removibles, registros SSH por fuerza bruta y la utilización del exploit filtrado de la NSA EternalBlue. Las operaciones de minería de criptomonedas se benefician en gran medida de esta funcionalidad, ya que una distribución más amplia del malware multiplica la cantidad de recursos de CPU disponibles para minar. En consecuencia, estimamos que más actores continuarán desarrollando esta funcionalidad.

Métodos para evitar la detección

Otra tendencia que hay que destacar es el uso de proxys para evitar la detección. La implementación de proxys para minar es una opción atractiva para los cibercriminales porque les permite evitar el pago de comisiones o al desarrollador de un 30 por ciento o más. Al evitar el uso de servicios comunes de cryptojacking, como Coinhive, Cryptloot y Deepminer y, en su lugar, albergar scripts de cryptojacking en una infraestructura controlada por el actor de la amenaza, puede eludir muchas de las estrategias más comunes usadas para bloquear esta actividad a través de las listas negras de dominios o ficheros. Además de usar proxys , los actores también pueden establecer sus propias aplicaciones para minar alojadas por sí mismos, ya sea en servidores privados o basados en la nube que soporte Node.js. La combinación del uso de proxys y de malware para minar albergado en una infraestructura en la nube controlada por el actor de la amenaza representa un obstáculo significativo para los profesionales de seguridad, ya que ambos hacen que las operaciones de cryptojacking sean más difíciles de detectar y bloquear.

Fuente: CyberSecurity

Seguir leyendo...

Cómo protegerse de los ataques "SIM swap", cada vez más habituales

El SIM swap es un tipo de ataque que, en realidad, es posible desde hace muchos, muchos años; sin embargo, ahora ha empezado a ponerse de moda y generalizarse. Consiste en algo tan sencillo como es conseguir un duplicado de la tarjeta SIM de la víctima, a través del propio operador que presta los servicios de telefonía móvil, para interceptar SMS y así poder saltarse los sistemas de seguridad de autenticación en dos pasos. Se ha utilizado, por ejemplo, para robar centenares de cuentas de Instagram.

Y está en crecimiento. De acuerdo a la Comisión para el Comercio de los Estados Unidos, hubo 1,038 incidentes de SIM swap (se traduce en algo como "cambio de SIM") en enero del 2013. En enero de 2016, se reportaron 2.658 casos.

¿Qué es el SIM swap?

La tarjeta SIM de un celular guarda los datos del usuario en teléfonos GSM. Son utilizados principalmente para autentificar las suscripciones a algún operador móvil. SIM swap es un tipo de robo de identidad que explota la vulnerabilidad más grande de las tarjetas SIM: el hecho de que puede funcionar en cualquier plataforma.

Según información brindada a Digital Trends por Andrew Blaich, un investigador de seguridad en Lookout, existen casos en los cuales los maleantes convencen a los representantes en la tienda que les den una tarjeta SIM para una cuenta que el atacante no posee.

Según Emma Mohan-Satta, una consultora en Kaspersky Labs entrevistada por Digital Trends, el hecho de que la autenticación de celular dependa de las tarjetas SIM, ha hecho que esta modalidad de fraude sea lucrativa.

Para efectuar una SIM swap, se requiere recolectar la mayor cantidad de información sobre la víctima. Pueden enviar emails de phishing que emulan los usualmente enviados por empresas reconocidas como tarjetas de crédito o seguros. La idea es tener acceso a sus nombres legales, fechas de nacimiento y números telefónicos. Infortunadamente, no muchas personas saben reconocer la diferencia entre los emails auténticos y los fraudulentos. Pueden también buscar información en las redes sociales.

Con un ataque SIM swap se podría perjudicar a un usuario generando cargos adicionales consumiendo servicios de telefonía móvil, por ejemplo, pero este tipo de ataque está generalizándose en las últimas semanas para interceptar SMS de verificación en sistemas de autenticación en dos pasos. Como adelantábamos, uno de los casos más preocupantes ha sido el robo de centenares de cuentas de Instagram; porque Facebook podría usar un generador de códigos de único acceso, pero se basa en la autenticación por SMS, para el doble factor.

Los sistemas de seguridad de doble autenticación son vulnerables a estos ataques cuando usan SMS de verificación, y no un generador de códigos únicos por otras vías como, por ejemplo, una app independiente. La clave, en todo esto, está en que lo primero que necesitan es la contraseña de tu red social –o de otros servicios online-. Por lo tanto, el primer paso, y principal, es usar una contraseña alfanumérica larga –cuanto más mejor- y cambiarla frecuentemente, además de no compartirla con otros servicios online.

Por otro lado, también deberíamos revisar la factura del operador. La mayoría aplican un cargo adicional por los duplicados SIM. Y si no es el caso, contactar con el operador lo más rápido posible si detectamos que dejamos de tener línea o determinados servicios, como el acceso a Internet. Esta es una de las medidas que aplican algunos operadores cuando se solicita un duplicado sobre la misma numeración. No obstante, los expertos alertan de que la mejor medida debería venir de parte de Facebook –en el caso de Instagram- y otras compañías, y pasa por no usar los SMS para la autenticación en dos pasos.

Fuente: Wired

Seguir leyendo...

Los SDK de terceros ponen en riesgo millones de apps y datos personales

El número de aplicaciones que utilizan estos SDK asciende a varios millones y la mayoría transmite sin cifrar al menos uno de los siguientes datos: información personal, del dispositivo y ubicación.
Los datos se envían sin cifrar y utilizando HTTP, lo que significa que no están protegidos cuando viajan por los servidores.

Al analizar las aplicaciones populares de citas, los expertos de Kaspersky Lab descubrieron que algunas, al utilizar el protocolo inseguro HTTP, transmiten datos de usuario sin cifrar, con el peligro de dejarlos a la vista. Esto sucede porque algunas aplicaciones utilizan SDK (Software Development Kit) publicitario "ready-to-go" y forman parte de algunas de las redes de anuncios más populares. Las aplicaciones examinadas se han instalado en miles de dispositivos en todo el mundo y un error de seguridad grave significa que los datos privados pueden llegar a ser interceptados, modificados y utilizados en ataques futuros, dejando a muchos de sus usuarios indefensos.

Un SDK es un conjunto de herramientas de desarrollo de software, a menudo distribuidas de forma gratuita, que permite a los autores centrarse en los principales elementos de la aplicación, al tiempo que confían las otras funciones a los SDK listos para su uso. Los desarrolladores usan generalmente códigos de terceros para crear parte de la aplicación, ahorrando así tiempo al reutilizar las funcionalidades existentes. Por ejemplo, los SDK publicitarios recopilan datos de los usuarios para mostrar anuncios que puedan ser relevantes, lo que ayuda a los desarrolladores a monetizar sus productos. Los kits envían datos del usuario a los dominios de las redes publicitarias populares para lograr una visualización de anuncios mucho más concreta.

Pero un análisis más profundo de las aplicaciones ha demostrado que los datos se envían sin cifrar y utilizando HTTP, lo que significa que no están protegidos cuando viajan por los servidores. Debido a esa ausencia de cifrado, los datos pueden ser interceptados por cualquiera, ya sea por usar una conexión Wi-Fi no protegida o un proveedor de servicios de Internet, o por la presencia de malware en el router de casa. Y peor aún, los datos interceptados pueden modificarse, lo que supone que la aplicación pueda llegar a mostrar anuncios maliciosos en lugar de anuncios legítimos. De esta forma, los usuarios pueden verse tentados a descargarse una aplicación promocionada, que a su vez se convertirá en malware y les pondrá en peligro.

Kaspersky Lab ha analizado los registros y el tráfico de red de las aplicaciones utilizando el Sandbox interno de Android para descubrir qué aplicaciones son las que transmiten datos de usuario no cifrados a través de las redes HTTP. En su trabajo los analistas identificaron una serie de dominios principales, la mayoría de ellos parte de las redes de publicidad más populares. El número de aplicaciones que utilizan estos SDK asciende a varios millones, y la mayoría de ellas transmite sin cifrar al menos uno de los siguientes datos:

• Información personal, principalmente el nombre del usuario, edad y sexo. Incluso pueden incluir sus ingresos personales.
• El número de teléfono y la dirección de correo también pueden ser filtrados (las personas suelen compartir mucha información personal en las aplicaciones de citas, según demostró Kaspersky Lab en otro estudio).
• Información del dispositivo, como el nombre del fabricante, modelo, resolución de pantalla, versión del sistema operativo y nombre de la aplicación.
• Ubicación del dispositivo.

"Al principio pensamos que eran apenas algunos casos, pero el descuido en el diseño de las aplicaciones alcanza una dimensión abrumadora. Millones de aplicaciones incluyen SDK de terceros, exponiendo datos privados que pueden ser interceptados fácilmente y modificados, lo que se deriva en infecciones de malware, chantajes y otros vectores de ataque en sus dispositivos altamente efectivos", dice Roman Unuchek, analista de seguridad en Kaspersky Lab.

Los analistas de Kaspersky Lab aconsejan a los usuarios seguir las siguientes medidas: verificar los permisos de nuestras aplicaciones. No dar acceso a algo si no entendemos por qué lo debemos hacer. La mayoría de las aplicaciones no necesitan acceder a nuestra ubicación, así que lo mejor es no darlo.

Utilizar una VPN cifrará el tráfico de red entre nuestro dispositivo y los servidores. Permanecerá sin cifrar detrás de los servidores de la VPN, pero al menos el riesgo de fuga se ve reducido durante el proceso.

Fuente: CyberSecurity

Seguir leyendo...

0day en VBScript explotado por APT Darkhotel/Blockbuster/Double Kill

Una vulnerabilidad en el motor VBScript está siendo usada por crackers que trabajan para Corea del Norte para comprometer sistemas que son objetivos de la operación Darkhotel.

VBScript está disponible en las últimas versiones de Windows y en Internet Explorer 11.

En recientes versiones de Windows, Microsoft deshabilitó la ejecución de VBScript en la configuración por defecto de su navegador, haciéndolo inmune a la vulnerabilidad.
Pero hay otros métodos para ejecutar estos scripts. Por ejemplo, las aplicaciones del paquete Office dependen del motor de Internet Explorer para cargar y renderizar contenido web.

Los investigadores de seguridad de Trend Micro han comprobado que una vulnerabilidad de VBScript está siendo explotada al azar un día después de que Microsoft lanzara las actualizaciones para Windows en Julio.

Siendo ahora monitorizado con el identificador CVE-2018-8373, el bug ha sido incluido en los parches de este mes.

Se trata de un ataque de corrupción de memoria después de liberar la misma, que permite al atacante ejecutar shellcode en el ordenador comprometido.

Después de analizar el código del exploit, los investigadores vieron que compartía la técnica de ofuscación usada por los exploits para una vulnerabilidad antigua de VBScript que se parcheo en Mayo, CVE-2018-8174.

También conocida como Double Kill, la vulnerabilidad fue reportada por los expertos de la compañía de seguridad china Qihoo 360.

Al tener similitudes, les llevo a considerar a los investigadores de Trend Micro, que este exploit tenía el mismo origen.

Los investigadores de Qihoo 360 ofrecieron argumentos adicionales en apoyo de esta teoría en un post en su propio blog publicado hoy, donde hacen referencia al análisis de CVE-2018-8373 realizado por Trend Micro y que hace referencia al mismo dominio embebido en los documentos de Office para descargar el exploit Double Kill. De vuelta a mayo, los expertos de Qihoo 360 analizaron Double Kill y confirmaron su asociación con el grupo Darkhotel (APT-C-06).

Su firme y confiada atribución del exploit al grupo fue por las herramientas y métodos que conocían que fueron usadas por el mismo autor de la amenaza. Kaspersky Labs mostro el modus operandi de Darkhotel en 2014, ya que siguieron sus actividades desde 2007.

Los expertos lo calificaron como una operación a largo plazo donde tenían como objetivo ejecutivos y representantes de organizaciones gubernamentales que se alojaran en hoteles asiáticos de lujo.

El uso de vulnerabilidades 0-Day en productos de renombre sugirió que Darkhotel era un grupo muy profesional o que estaban siendo financiados por un patrocinador con mucho dinero.

Una investigación conjunta entre McAfee y Interzer realizada este mes dejo claro que Darkhotel tiene relación con la Republica de Norcorea.

La investigación conjunta analizó malware de varias campañas asociadas a los norcoreanos.

Comprobando el código de las herramientas usadas entre 2009 y 2017, los investigadores crearon un mapa que conecta familias de malware conocidos.

De acuerdo con esta investigación, Darkhotel está directamente relacionado con el malware Dark Seoul, que está ligado a la Operación Blockbuster.

Fuente: BleepingComputer

Seguir leyendo...

SMBetray: herramienta para interceptar y modificar las conexiones SMB inseguras

SMB/CIFS es un protocolo desarrollado por Microsoft para permitirnos compartir fácilmente archivos, impresoras y otros recursos a través de la red con otros equipos conectados a la misma. Este protocolo, aunque es muy sencillo de utilizar y apenas requiere configuraciones, la verdad es que es un protocolo bastante inseguro, especialmente en sus versiones más antiguas, por lo que, además de no se recomienda utilizar SMB en WAN, incluso cuando lo utilicemos en local debemos extremar las precauciones, ya que la seguridad de este protocolo se puede poner fácilmente en entredicho utilizando herramientas como SMBetray.

Cuando se establece una conexión a través del protocolo SMB, los sistemas de seguridad utilizados para preservar la integridad del tráfico son el cifrado de los datos y la firma de los paquetes SMB. La firma de las conexiones se crea en función de una serie de datos de la sesión, así como con la contraseña. Por ello, si conocemos la contraseña del servidor es posible recrear esta firma digital y, por lo tanto, se podrían modificar sin muchos problemas los paquetes para que, de cara al cliente y el servidor, parezcan legítimos. Además, el cifrado y la firma de las conexiones suele estar desactivado por defecto en las conexiones, por lo que el proceso de capturar y modificar los paquetes a menudo suele ser mucho más sencillo.

SMBetray; así de fácil es poner en peligro las conexiones SMB entre dos ordenadores

SMBetray es una nueva herramienta de seguridad, gratuita y de código abierto, creada para demostrar con qué facilidad un atacante podría interceptar y modificar las conexiones SMB inseguras, así como modificar prácticamente cualquier conexión SMB si conocemos los credenciales de la misma. Esta herramienta busca demostrar con qué facilidad puede hacerse un ataque MiTM a una conexión SMB para poderla en peligro y poder atacar a un cliente a través de archivos maliciosos que se inyecten en las conexiones.

Las principales características de SMBetray son:

• Descargar automáticamente cualquier archivo transmitido a través de la red sin ningún tipo de cifrado.
• Fuerza el uso de NTLMv2 en vez de Kerberos.
• Inyecta archivos en los directorios del cliente.
• Reemplaza archivos y ejecutables para que se ejecuten otros diferentes cuando se ejecutan a través de la red.
• Reemplaza igualmente archivos con extensiones determinadas y sensibles a las mayúsculas por otros.

A continuación, sus desarrolladores nos muestran dos vídeos de cómo funciona esta herramienta y cómo se puede utilizar para exponer conexiones, tanto SMB sin seguridad como con las conexiones firmadas.
das.

Podemos conocer más sobre esta herramienta, cómo funciona y la inseguridad del protocolo SMB en su página web.

Fuente: Redes Zone

Seguir leyendo...

Aplicaciones y servidores Javascript (nodeJS) vulnerables a ataques ReDoS

Las aplicaciones web Javascript y los servidores web son susceptibles a un tipo específico de vulnerabilidad/ataque llamado ReDoS (Denegacion de servicio mediante expresión regular -regex-).

Estas vulnerabilidades tienen lugar cuando un atacante envia trozos largos y complejos de texto a un campo de entrada de texto de un servidor web o app basado en Javascript.

Si el servidor o una librería de la app no esta especificamente diseñada para tratar varios casos, la entrada de texto del atacante puede acabar bloqueando la aplicación o el servidor por algunos minutos o segundos, mientras que el servidor analiza e intenta concordar con el patrón la entrada de texto.

Varios lenguajes de programación y tecnologías de servidores web tienen fallos parecidos con el rendimiento de las operaciones de análisis del patrón y ataques ReDoS, pero algunos son muy exagerados en el caso de JavaScript por el modelo de ejecución de un solo hilo de la mayoría de servidores JavaScript, donde cada petición es procesada por el mismo hilo de ejecución.

Cuando se recibe un ataque ReDoS, esto acaba por colapsar el servidor al completo, en vez de ralentizar una operación en concreto.

Los ataques ReDoS en caso de los servidores JavaScript fueron detallados en una investigación publicada en 2012, pero antes, Javascript y Node.js, en particular, no eran tan populares como lo son ahora en el mundo del desarrollo web, de ahí pues, que se ignorara este problema por media decada.

Otra investigación realizada que fue publicada en 2017 [PDF], revelpo que el 5% del total de las vulnerabilidades encontradas en librerías y aplicaciones de Node.js eran vulnerabilidades ReDoS.

Pero de acuerdo a la investigación presentada en DEFCON la ultima semana, el problema con ReDoS esta cogiendo pulso entre la comunidad de JavaScript por que se dejó desantendida por muchos años.

Cristian-Alexandru Staicu y Michael Pradel, dos académicos de la Universidad Técnica de Darmstadt, Alemania, dicen que han encontrado 25 vulnerabilidades en modulos conocidos de Node.js.

Los dos dijeron que un atacante podría realizar paquetes especiales con exploits y atacar sitios web o servidores que usen cualquiera de estas 25 librerías. El equipo de investigación de TU Darmstadt informó todas las vulnerabilidades a los desarrolladores de módulos respectivos, algunos de los cuales abordaron los problemas. Este repositorio de GitHub contiene exploits de prueba de concepto para probar las bibliotecas vulnerables pero también enlaces a las correcciones apropiadas para los módulos afectados.

Mandar un exploit causaría a cualquiera de estos servidores o webs vulnerables a congelarse durante unos segundos o incluso minutos, mientras el servidor trata de concordar el texto contenido en el exploit con un patron de expresion regular para decidir que hacer con la entrada de texto.

Estas expresiones regulares son  comunes en campos de introducción de texto, como base para prevenir ataques XSS.

Pero cuando un ataque es erroneo, enviando varios paquetes de exploit a la vez contra el mismo servidor, puede causar tiempos prolongados de caída del mismo.

Staicu y Pradel dicen que la razón primaria de estos fallos es la falta de atención en el rendimiento de la comprobación de las expresiones regulares, ya que muchos desarrolladores se centran en que sea lo más acertado posible, dejando grandes huecos en su código que los atacantes pueden explotar utilizando estos ataques.

Los dos tambien dieron un paso adelante con su investigacion: encontraron un metodo de detectar estas vulnerabilidades en sitios web online sin tener que usar un exploit.

Usaron este método para escanear 2846 sitios web populares realizados con Node.js, revelando que 339 eran vulnerables a al menos una de las vulnerabilidades ReDoS.

El equipo de investigacion de la universidad de Darmstadt reporto todas las vulnerabilidades a los desarrolladores de los respectivos módulos, a los cuales les comentaron los respectivos problemas de estas.

Más detalles sobre las vulnerabilidades de ReDoS que afectan a JavaScript están disponibles en un documento titulado "Freezing the Web: A Study of ReDoS Vulnerabilities in JavaScript-based Web Servers". El documento está disponible para su descarga desde aquí o aquí, y también fue presentado en el 27º Simposio de Seguridad Usenix celebrado la semana pasada en Baltimore, EE.UU.

Además de JavaScript, también se sabe que Java se ve afectado por los ataques ReDoS. En 2017, investigadores de la Universidad de Texas en Austin crearon una herramienta llamada Rexploiter [PDF], que utilizaron para encontrar 41 vulnerabilidades ReDoS en 150 programas Java recopilados de GitHub.

Fuente: Bleeping Computer

Seguir leyendo...

Vulnerabilidad de Chrome permitía robar información sensible

El investigador Ron Masas, ha reportado esta incidencia bajo el código CVE-2018-6177 a Google. A finales de Julio, con la llegada de Chrome v68.0.3440.75 se arregló esta vulnerabilidad. Imperva ha publicado un paso a paso de cómo sería el ataque.

Engañando a la víctima para que entre en un sitio web malicioso, el atacante puede explotar la vulnerabilidad en versiones antiguas del navegador. Aunque también es posible inyectando código malicioso en sitios web legítimos o mediante publicidad.

El ataque consiste en cargar contenido de la página web legítima dentro de tags de vídeo y audio con código malicioso. Por el uso de eventos de "progreso", se puede deducir el tamaño de las respuestas de webs externas y adivinar distintos tipos de información.

Normalmente, esto no sería posible por la existencia CORS, una característica del navegador que previene que páginas web carguen recursos de otras. Sin embargo, este ataque hace un bypass de esta característica.

Al manipular webs como Facebook, es posible extraer grandes cantidades de datos de la víctima aunque, Mike Gualteri, otro investigador de ciberseguridad, afirma que este ataque puede usarse para algo más llamativo. Unos ejemplos claros serían para recopilar datos de intranets u otras aplicaciones de corporativas.

Además de ser eficaz en estas situaciones, Gualteri piensa que podría funcionar con APIs. El bug permite hacerles peticiones cuando habitualmente no se tendría acceso a ellas.

Este ataque puede resultarnos familiar, siendo bastante parecido a Wavethrough (CVE-2018-8235), el ataque que afectó a Firefox y Edge. La diferencia entre ambos está en que Wavethrough usa un servicio de trabajador y un rango de respuesta para extraer datos, mientras que en la nueva se observa el progreso de los eventos lanzados de nuestro elemento para estimar el tamaño de los recursos del control de acceso.

Ambos ataques son bastante similares, pero el bug se basa más en el tiempo. Wavethrough consigue todos los datos posibles burlando CORS, pero el fallo encontrado por Masas intenta adivinar constantemente el contenido a través de varias peticiones.

A primera vista, parece un ataque complejo pero es bastante sencillo ejecutarlo. No hay límite tampoco de usuarios a los que se les puede atacar, haciendo que intente adivinar los datos de varios usuarios a la vez.

Recomendamos actualizar a la nueva versión de Chrome para evitar que nuestros datos se vean comprometidos.

Fuente: Bleeping Computer

Seguir leyendo...

VORACLE: ataque capaz de recuperar datos HTTP de conexiones de VPNs

El ataque llamado VORACLE tiene la capacidad de recuperar el trafico HTTP enviado via una conexión cifrada de VPN a través de ciertas condiciones. Este ataque fue descubierto por Ahmed Nafeez, un investigador de ciberseguridad que presentó sus hallazgos en las conferencias de Black Hat y DEF CON.

VORACLE no es un nuevo ataque de por sí, si no, una variación y mezcla de otros ataques criptográficos más antiguos como CRIME, TIME, y BREACH.. En los ataques ya mencionados, los investigadores eran capaces de recuperar datos de conexiones cifrada de TLS en caso de que los datos estuvieran comprimidos antes de ser cifrados, siendo parcheados en 2012 y 2013.

Nafeez se percató de que ciertos puntos teóricos de estos ataques seguían siendo válidos cuando hablamos de trafico de VPN. Los servicios/clientes de VPN que comprimen el trafico web HTTP antes de ser encriptado son todavía vulnerables a estos ataques tan antiguos.

Según Nafeez, VORACLE es únicamente funcional contra servicios/clientes VPN que esten construidos encima de un protocolo de OpenVPN. Esto es porque el código libre del protocolo de OpenVPN usa como configuración predeterminada y comprime todos los datos antes de cifrados via TLS y después los envía por el tunel VPN.

El atacante sólo tiene que engañar al usuario para que entre en un sitio HTTP dónde el atacante pueda ejecutar código malicioso, siendo legítima o bajo el control de la víctima. Esto permite al atacante robar y descifrar información sensible del sitio web, como podrían ser las cookies de sesiones.

¿Cómo se puede prevenir el ataque VORACLE?

Hay varias formas de evitar este tipo de ataque, además de que OpenVPN ha decidido modificar su página de docs para advertir sobre los peligros de este ataque.

Hay 3 puntos distintos a seguir para evitar VORACLE, simplemente con cumplir 1 podemos prevenirlo:

1. Muchos servicios/clientes de VPN permiten a sus usuarios cambiar el protocolo de VPN, permitiendo a los usuarios cambiar a un protocolo distinto.
2. Los usuarios pueden alejarse de HTTP, usando HTTPS como tráfico enviado a través de cualquier servicio/cliente de VPN, siendo inmune a VORACLE.
3. El ataque no funciona en navegadores basados en Chronium, dónde las peticiones HTTP se dividen en múltiples partes: la cabecera y el cuerpo. Aunque se use un servicio/cliente de VPN basado en OpenVPN, no tendría efecto. Navegadores como Firefox son vulnerables debido a que envían las peticiones de datos de HTTP en un gran paquete.

Se ha publicado un código PoC en Github para poder hacer tests de este ataque.

Fuente: BleepingComputer

Seguir leyendo...

Equipos de comunicaciones a la venta y con la configuración sin eliminar

Normalmente las empresas tienen procedimientos y diversos controles para evitar la fuga de su valiosa informacion, se incluyen tanto softwares de Prevencion de Perdida de Datos (DLP por sus siglas en inglés) como también procedimientos que deben ejecutar antes de donar o vender equipamiento que pueda contener informacion de la empresa.

Casi siempre todos estos procedimientos los tienen enfocados a los equipos de los usuarios ya sea notebooks o equipos de escritorio como también a los servidores que alojan aplicaciones de negocio, bases de datos y documentos. Pero, muchas veces se olvidan de la información y las contraseñas alojados en los archivos de configuración de los dispositivos de comunicaciones.

Sí, esos mismos equipos de comunicaciones que permiten el acceso a toda la red. Si bien la mayoría de empresas, cuando compran un switch simplemente lo sacan de la caja, lo amuran al rack y lo energizan; hay otras empresas que le dedican un gran esfuerzo a la configuración de los mismos e incluso implementan VLANs, seguridad de puertos, y otras medidas de seguridad para la red.

Hace unos días, ante mi necesidad de conseguir algunos switches económicos para armar un laboratorio decidí comprar algunos usados mediante una popular platarforma online, como soy docente del CCNA desde hace varios años me incline por unos CISCO que estaban a buen precio.

Siendo que el vendedor estaba a 800 kilometros de mi casa me los despachó por correo y a los pocos dias tuve los equipos en mi poder, todos bien embalados y ¡con proteccion de burbujas! Mi primer sorpresa fue que aún conservaban la etiqueta con el código de inventario del dueño original, pero pense que probablemente lo dejaron para cumplir con el procedimiento de retirar los equipos para darlos de baja correctamente.

Hasta ahi todo normal. Conecto el primer equipo a mi cable de consola y veo que el acceso esta protegido por usuario y contraseña... Es decir que olvidaron borrar la configuracion del equipo, por lo que realizo el procedimiento de recuperación para tomar control. El segundo equipo estaba limpio, sin configuración...Pense que fue un error que solo cometieron con el primer equipo pero no, los restantes 8 equipos aún conservaban su configuración, usuarios y passwords!

Al acceder a la vieja configuracion de los equipos veo que protegieron el acceso al modo privilegiado de forma correcta y cifraron el password mediante el comando "enable secret" y que también intentaron proteger los passwords de los usuarios habilitados en los equipos pero de forma incorrecta... o al menos vulnerable ya que el metodo de encripcion que utilizaron para los passwords tanto del acceso mediante SSH como del usuario local lo hicieron mediante el metodo de Cisco "Level 7" que posee un algoritmo propietario de Cisco, que es muy débil y que a diferencia de un hash, es reversible facilmente, incluso online sin tener que instalar ninguna herramienta.

La debilidad del algoritmo se conoce desde el año 2000 y eh visto varias configuraciones que aun lo utilizan. Mi recomendacion, dentro de las posibilidades que nos da el sistema, es utilizar "Level 5" que realiza un hash MD5 y si bien para passwords débiles podremos encontrar el hash asociado, el proceso del hash no es reversible y si utilizamos passwords fuertes tendrán mucha mas seguridad que utilizando Level 7.

Otra cosas que quedaron al descubierto en la configuraciones que no fueron eliminadas son las configuraciones de las VLANs, las MAC autorizadas en cada puerto, las IPs autorizadas en las Listas de Control de Acceso (ACLs) las comunidades SNMP y mucha informacion valiosa de la empresa.

Respecto a los passwords utilizados, la más segura tenía apenas 10 caracteres y el más débil sólo 6.

Recomiendo con mucho enfasis tener en cuenta que es necesario eliminar la configuración de los equipos antes de donarlos, venderlos o enviarlos a reparar e incluir estos pasos dentro del proceso correspondiente.

Adolfo Fioranelli para Segu.Info
Consultor de Seguridad Independiente 

Seguir leyendo...

¿Cómo consiguen los delincuentes cambiar los criptomonedas por moneda corriente?

Parte del éxito del ransomware radica en que las transacciones con criptomonedas son anónimas y permiten el intercambio de fondos sin dejar huella.

Una vez conseguidos los rescates, ¿cómo consiguen canjearlos por moneda corriente (léase euros, dólares, etc.) sin ser detectado? De acuerdo al informe realizado por tres investigadores de Google y presentado en BlackHat [PDF], más del 95% de todos los pagos recibidos fruto de ataques de ransomware desde 2014 han sido cambiados usando el sistema de cambio de criptomodenas ruso BTC-e.

De acuerdo al reporte, estudiaron 34 familias de ransomware y los investigadores estiman que al menos 20.000 personas hicieron pagos en los últimos dos años, con un costo de U$S 25 millones, aunque el total de pago real es probablemente mucho mayor. 

Trazando el camino de las criptomonedas

Los investigadores de Google han seguido el camino de las criptomonedas paso a paso analizando los tipos de ataques ransomware llevados a cabo los últimos dos años que han supuesto que los ciberdelincuentes se hicieran con al menos U$S25 millones:

1. Las familias de Ransomware más dañinas: Locky y Cerber son, de acuerdo al estudio, las familias de ransomware que más beneficios han reportado a los delincuentes.
2. Los lugares favoritos para comprar bitcoins: la mayor parte de las víctimas de los ciberataques necesitan comprar bitcoins para pagar los rescates y lo hacen principalmente usando LocalBitcoins, Bithumb y CoinBase. En estas plataformas el 90% de las víctimas pagan utilizando una sola transacción.
3. La plataforma de cambio de bitcoins: más del 95% de las cantidades en criptomoneda se cambió en la plataforma BTC-e, operativa desde el año 2011.
4. Empleo de Necurs para distribuir el ransomware de manera masiva: Necurs es un malware (troyano) que ataca los dispositivos con sistema operativo Windows. Los ordenadores infectados con este malware pasan a ser parte de una botnet (red de ordendores zombi) que distribuyen el ransomware a nivel masivo. 
5. Los surcoreanos son impactados desproporcionadamente por las campañas de y el análisis revela que U$S 2,5 millones de los U$S16 millones en pagos de ransomware rastreado por los investigadores fue pagado en Corea del Sur. 
6. Solo el 37% de los usuarios realiza backup

Justo dos días antes de que se publicara el informe de Google, realizado en conjunto con la New York University y la University of California San Diego, uno de los fundadores de BTC-e, Alejandro Vinnik, fue arrestado por la policía griega acusado de blanquear $4.000 millones en bitcoins.

Fuente: CiberSecurity

Seguir leyendo...