Hackeados

malspam.png

Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa

La nueva generación de MalSpam, en lugar de una serie de archivos adjuntos maliciosos, contiene solamente una gran cantidad de enlaces que son los que te llevan directamente a los enlaces que te descargarán estos archivos. En el siguiente post te damos los detalles.

El MalSpam se adapta

Según la telemetría recopilada por la firma de ciberseguridad Proofpoint, la mayoría de los correos no deseados (MalSpam) enviados en la primera mitad del año contienen enlaces a archivos maliciosos, en lugar de archivos adjuntos.

Más precisamente, el 85% de todos los malspam enviados en el segundo trimestre de 2019 (abril, mayo y junio) contenían un enlace a una descarga de archivos maliciosos, en lugar del archivo malicioso real adjunto al correo electrónico.

Si la mayoría del contenido de malspam enviado en estos días aprovecha los enlaces maliciosos, esto significa que los operadores obtienen más clics e infecciones en comparación con la técnica clásica de adjuntar archivos a correos electrónicos.

Si bien la razón del dominio continuo de las URL puede deberse a una variedad de factores, es probable que la mayoría de los usuarios finales hayan sido condicionados a sospechar de los archivos adjuntos en correos electrónicos no solicitados. Las URL, por otro lado, son cada vez más comunes en el correo electrónico comercial, ya que regularmente recibimos notificaciones de archivos compartidos y actualizaciones de colaboración por correo electrónico a medida que las organizaciones se trasladan a la nube“, dijo Proofpoint.

Los hallazgos de Proofpoint deberían tener repercusiones en todo el mercado de ciberseguridad. Las empresas que proporcionan capacitación contra el phishing deben ser las que tomen notas y adapten los cursos en consecuencia, centrándose en preparar a los empleados para esta tendencia reciente.

Sin embargo, la educación y capacitación de los empleados ayuda. Y es que un informe anterior de Proofpoint descubrió que el 99% de todos los ataques cibernéticos basados ​​en correo electrónico requieren interacción humana, es decir, que el objetivo abre archivos, hace clic en enlaces o realiza algún otro tipo de acción. Con un poco de capacitación, se puede enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques. Otros hallazgos del Informe de amenazas Proofpoint Q2 2019, publicado a principios de este mes, incluyen:

  • El 57% de todos los MalSpam usan suplantación de dominio.
  • El malware basado en botnet fue la carga útil de malware más popular enviada a través de campañas de MalSpam, representando el 37% de todos los correos electrónicos.
  • El malware de botnet fue seguido por troyanos bancarios (23%), InfoStealers (16%), cargadores de malware (8%), troyanos de acceso remoto (6%) y troyanos backdoor (5%).
  • Como en los últimos trimestres, el ransomware estuvo prácticamente ausente en el segundo trimestre.
  • Ursnif representó el 80% de todas las cargas útiles de troyanos bancarios enviados por correo electrónico. Fue seguido por URLZone, The Trick y Dridex.
  • El ranking de InfoStealer tenía a Pony al frente, seguido de AZORult, Loki Bot y Formbook.

¿Qué es el MalSpam?

Ejemplo de phishing email.
Los enlaces ofuscan o modifican su destino.

MalSpam, o spam malicioso, es un método muy popular y efectivo para enviar correos electrónicos en masa que contengan archivos infectados o enlaces que redirigen a los usuarios a sitios web que contienen éstos kits de explotación.

Referencia: https://www.zdnet.com/article/most-malspam-contains-a-malicious-url-these-days-not-file-attachments/

leer más
Diarleth G.Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa
0.png

Los Malwares sin archivos se extienden sin parar

Según Microsoft y Cisco Talos, ha aparecido un nuevo Malware difícil de detectar el cual se está abriendo camino en miles de computadoras en Europa y Estados Unidos.

El malware, denominado Nodersok por Microsoft y Divergent por Cisco Talos, funciona convirtiendo tu computadora en un proxy para facilitar la propagación del malware, utilizando el framework Node.js y WinDivert, que es un paquete de captura y desvío de paquetes en modo usuario para diferentes versiones de Windows.

Parece que todo necesita una marca en estos días. Esto puede hacer que sea fácil referirse a algo que de otra manera sería difícil de identificar, por lo que muchos investigadores de seguridad han comenzado a nombrar sus descubrimientos. No obstante, también puede generar cierta confusión. Eso es exactamente lo que sucedió a principios de esta semana cuando el Equipo de Investigación de Protección contra Amenazas Avanzadas de Microsoft Defender y Cisco Talos, nombró al mismo malware con dos nombres diferentes.

Nuevo malware con técnicas de supervivencia

Microsoft nombró al malware Nodersok; Cisco Talos lo llamó Divergente. Independientemente de cómo se llame, el nuevo malware utiliza “técnicas de supervivencia” que reutilizan herramientas legítimas para fines nefastos. Esas herramientas reutilizadas se denominan LOLBins y permiten que este llamado malware sin archivos evada las funciones de detección empleadas por la gran mayoría de los productos de seguridad de Windows.

Esto es lo que Microsoft dijo sobre el método de infección de Nodersok: “Al igual que la campaña de Astaroth, cada paso de la cadena de infección solo ejecuta LOLBins legítimos, ya sea desde la máquina (mshta.exe, powershell.exe) o descargados de terceros (node.exe, Windivert.dll / sys). Todas las funcionalidades relevantes residen en scripts y códigos de shell que casi siempre se cifran, luego se descifran y se ejecutan solo en la memoria. Ningún ejecutable malicioso se escribe en el disco“.

En el caso de este malware, instala Node.exe y WinDivert como sus LOLBins. Estas son aplicaciones legítimas: la primera es “la implementación de Windows del popular marco Node.js utilizado por innumerables aplicaciones web“, como lo expresó Microsoft, mientras que la segunda es una poderosa utilidad de captura y manipulación de paquetes de red. Ambos son típicamente inofensivos, pero sus características permitieron a los creadores de Nodersok establecer su malware sin archivos.

Microsoft dijo que vio los primeros indicadores de Nodersok a mediados de julio y que ha estado molestando a miles de máquinas en las últimas semanas, con la mayoría de los objetivos ubicados en Estados Unidos y Europa. La mayoría de los sistemas afectados son dispositivos de consumo.

El nombre del malware no es lo único en lo que Microsoft y Cisco Talos no pueden ponerse de acuerdo. Si bien acordaron que Nodersok / Divergente se propagó a través de anuncios maliciosos que forzaron una descarga en un sistema que luego podría instalar los LOLBins requeridos, diferían en el propósito del malware. Microsoft pensó que era para transmitir tráfico malicioso; Cisco Talos afirmó que los operadores del malware querían usarlo para el fraude de clics.

Microsoft aconseja a los usuarios que eviten ejecutar archivos HTA encontrados en sus sistemas y que estén atentos a los archivos no reconocidos, asegurándose de no ejecutar ninguno del que no pueda identificar el origen.

leer más
Diarleth G.Los Malwares sin archivos se extienden sin parar
2048x1152.jpg

Cómo un topo holandés ayudó a EEUU/Israel a infectar a Irán con el virus Stuxnet

Durante años, un misterio duradero ha rodeado el ataque del virus Stuxnet que tuvo como objetivo el programa nuclear de Irán: ¿cómo los EEUU e Israel introdujeron un malware en los sistemas informáticos de la altamente segura planta de enriquecimiento de uranio?

El primer virus de este tipo, diseñado para sabotear el programa nuclear de Irán, comenzó efectivamente la era de la guerra digital y se desató en algún momento en 2007, después de que Irán comenzó a instalar su primer lote de centrifugadoras en una controvertida planta de enriquecimiento cerca de la aldea de Natanz.

El mensajero detrás de esa intrusión, cuya existencia y función no han sido reportadas previamente, fue un topo interno reclutado por agentes de inteligencia holandeses a instancias de la CIA y la agencia de inteligencia israelí, el Mossad, según fuentes que hablaron con Yahoo News.

Un ingeniero iraní reclutado por la agencia de inteligencia holandesa AIVD proporcionó datos críticos que ayudaron a los desarrolladores estadounidenses a dirigir su código a los sistemas de Natanz, según cuatro fuentes de inteligencia. Ese topo luego proporcionó el acceso interno muy necesario cuando llegó el momento de deslizar Stuxnet en esos sistemas utilizando una unidad flash USB.

En 2004, se pidió a los holandeses que ayudaran a la CIA y al Mossad a acceder a la planta, pero no fue hasta tres años después que el topo, que se hizo pasar por un mecánico que trabajaba para una empresa de fachada que trabajaba en Natanz, entregó el arma digital. a los sistemas específicos. “[El] topo holandés fue la forma más importante de introducir el virus en Natanz“, dijo una de las fuentes a Yahoo.

Ni la CIA ni el Mossad respondieron a las preguntas de Yahoo News sobre la información. La AIVD declinó hacer comentarios sobre su participación en la operación.

La ahora famosa operación encubierta conocida como “Juegos Olímpicos” fue diseñada no para destruir el programa nuclear de Irán directamente, sino para retrasarlo y ganar tiempo para que las sanciones y diplomacia surtieran efecto. Esa estrategia fue exitosa en ayudar a traer a Irán a la mesa de negociaciones, lo que finalmente resultó en un acuerdo con el país en 2015.

La revelación de la participación holandesa se remonta a una época en que todavía había una amplia cooperación y un fuerte acuerdo multilateral entre los EEUU y sus aliados sobre cómo lidiar con el programa nuclear iraní, una situación que cambió el año pasado después de que la administración Trump se retiró del acuerdo nuclear que tanto se ganó con Teherán.

Natanz 2010

La operación “Juegos Olímpicos” fue principalmente una misión conjunta de Estados Unidos e Israel que involucró a la NSA, la CIA, el Mossad, el Ministerio de Defensa israelí y la Unidad Nacional Israelí SIGINT, el equivalente israelí de la NSA. Pero Estados Unidos e Israel recibieron asistencia de otras tres naciones, de acuerdo con las fuentes, de ahí el nombre en clave encubierto que dio un guiño al símbolo de cinco anillos del evento deportivo internacional más famoso del mundo. Dos de los tres jugadores participantes fueron Holanda y Alemania. Se cree que el tercero es Francia, aunque la inteligencia del Reino Unido también jugó un papel.

Alemania aportó especificaciones técnicas y conocimientos sobre los sistemas de control industrial realizados por la firma alemana Siemens que se utilizaron en la planta iraní para controlar las centrifugadoras giratorias, según las fuentes. Se cree que Francia ha proporcionado inteligencia de un tipo similar.

El Padre de la Bomba Atómica Islámica

Pero los holandeses estaban en una posición única para desempeñar un papel diferente: brindar inteligencia clave sobre las actividades de Irán para adquirir equipos de Europa para su programa nuclear ilícito, así como información sobre las centrifugadoras. Esto se debe a que las centrifugadoras en Natanz se basaron en diseños robados a una empresa holandesa en la década de 1970 por el científico pakistaní Abdul Qadeer Khan.

Venerado en Pakistán como el “padre” de la bomba islámica, el Sr. Khan es considerado un paria en Occidente debido a su papel en el establecimiento de una red clandestina de comercio internacional que alimentó un mercado ilegal de tecnologías de armas nucleares y misiles balísticos. Khan robó los diseños para construir el programa nuclear de Pakistán, luego procedió a comercializarlos a otros países, incluidos Irán y Libia.

La agencia de inteligencia holandesa, conocida como AIVD, junto con la inteligencia de EEUU y Gran Bretaña, se infiltró en la red de suministro de consultores europeos y compañías líderes de Khan que ayudaron a construir los programas nucleares en Irán y Libia. Esa infiltración no solo involucró el oficio de la vieja escuela, sino que también empleó operaciones de hacking ofensivas que se desarrollaban como parte del floreciente campo del espionaje digital.

Las capacidades cibernéticas de AIVD son bien conocidas ahora: el año pasado se reveló que AIVD fue responsable de informar al FBI sobre el hackeo del Comité Nacional Demócrata (DNC por sus siglas en inglés) en 2016, conocimiento que había adquirido porque sus operativos habían hackeado computadoras pertenecientes al grupo de piratería ruso conocido como Cozy Bear en 2014 y estaban viendo en 2015 cuando los rusos irrumpieron en las computadoras del Departamento de Estado de los EEUU y el DNC.

Pero durante los primeros días del programa nuclear de Irán, el equipo de hackers de AIVD era pequeño y todavía estaba en desarrollo.

El programa iraní, que había estado en segundo plano durante años, se puso en marcha en 1996, cuando Irán compró en secreto un conjunto de planos y componentes de centrífuga de Khan. En 2000, Irán comenzó a construir en Natanz con planes de construir una instalación que albergaría 50,000 centrífugas para enriquecimiento del gas de uranio.