Noticias

2017_02_21_21946_1487651919.jpg

Hackers pueden modificar fácilmente tus archivos multimedia en WhatsApp, Telegram: Symantec

Isaul Carballar 22 julio, 2019

Las aplicaciones de mensajería instantánea WhatsApp y Telegram utilizan el sistema de cifrado como un escudo de seguridad de datos. Pero eso no significa que los datos recibidos o enviados estén a salvo de la piratería.

Investigadores de Symantec revelaron recientemente el potencial de ataques de malware que podrían infiltrarse en los mensajes de WhatsApp y Telegram. A través de esta brecha de seguridad, los hackers pueden editar de manera informal datos multimedia, como imágenes y audio.

De esa manera, la imagen enviada no será la misma que la imagen recibida, aunque los datos sean los mismos. Por ejemplo, la imagen de la cara se reemplaza con otra cara o podrían cambia el número en el comprobante de pago y así sucesivamente.

A continuación tres ejemplos de cómo se hace el cambio de media mediante WhatsApp.

Según Symantec, este malware ingresa a través del espacio de almacenamiento externo. Cuando los datos se almacenan en un almacenamiento externo, otras aplicaciones pueden acceder y manipular esos datos.

En WhatsApp, los datos se almacenarán de forma predeterminada en el almacenamiento externo cuando se descargan. Lo mismo sucede con Telegram cuando la función «Guardar en galería» está activada.

«WhatsApp ha detectado el problema sobre el impacto del almacenamiento de dispositivos móviles en el ecosistema de la aplicación», explicó el representante de WhatsApp. WhatsApp dice que proporcionará actualizaciones de software para teléfonos Android más tarde. Mientras que el telegrama no ha respondido a este problema.

¿Cómo prevenirse?

Hay formas en que puede hacerlo mientras esperas las actualizaciones de WhatsApp y Telegram. Los métodos de prevención se pueden iniciar cambiando la configuración de almacenamiento. En WhatsApp, puedes ir al menú de configuración y desactivar la descarga automática de medios. En Telegram, se puede hacer desactivando la opción «Guardar en la Galería».

Pero según WhatsApp, estas configuraciones pueden tener un impacto en las restricciones de las imágenes compartidas. Muchas aplicaciones tienen un menú de almacenamiento de imágenes, que almacena los datos en un espacio externo para mantenerlos almacenados cuando se elimina la aplicación.

Ataque a canales oficiales y no oficiales

Además de encontrar un agujero de seguridad, Symantec también encontró una aplicación de Telegram falsa y WhatsApp en Google Play Store. La aplicación falsa de Telegram llamada MobonoGram se promovió como una versión mejorada de Telegram con características más completas.

Esta aplicación puede dirigir a los usuarios a sitios web maliciosos y fraudulentos. Además, esta aplicación puede hacer que el teléfono sea lento y agotar la batería.

También está Whatsgram, una aplicación de imitación para WhatsApp que tiene la misma amenaza que MobonoGram. De hecho, los desarrolladores son los mismos. Symantec dijo que había bloqueado 1.200 aplicaciones relacionadas con el desarrollador de enero a mayo.

leer más
, , , , , , 2 comments
Isaul CarballarHackers pueden modificar fácilmente tus archivos multimedia en WhatsApp, Telegram: Symantec
Equifax-acuerda-pagar.jpg

Equifax cercana a acordar pago de US$700 millones por violación de datos

Isaul Carballar 21 julio, 2019

La agencia de informes crediticios Equifax está a punto de llegar a un acuerdo para pagar alrededor de US$700 millones a reguladores estatales y federales para resolver las investigaciones derivadas del hackeo de Equifax, el mayor robo de información crediticia de la historia, que expuso la información personal de casi 150 millones de personas, según dos informes publicados.

Los fondos del acuerdo se destinarán a compensar a los consumidores por el costo de la brecha de datos de 2017, informaron el Wall Street Journal y The New York Times el viernes, citando a personas cercanas al asunto.

El hackeo, considerado el más grande en la historia de los EEUU, expuso información confidencial, incluidos nombres, números de Seguro Social, números de licencias de conducir y direcciones.

El monto del acuerdo podría cambiar dependiendo de la cantidad de reclamos que aún deben presentar los consumidores, dijo el Journal.

El acuerdo con la Comisión Federal de Comercio, la Oficina de Protección Financiera del Consumidor y la mayoría de los fiscales generales del estado también requiere más cambios en la forma en que Equifax maneja los datos privados de los usuarios, según los informes. Se podría anunciar tan pronto como el lunes.

Equifax reveló el hackeo por primera vez en septiembre de 2017, tres meses después de que la compañía descubriera la brecha.

Los hackers aprovecharon una falla de seguridad en una herramienta diseñada para crear aplicaciones web para robar datos de clientes. Equifax admitió que estaba al tanto de la falla de seguridad dos meses antes de que la compañía publicara que los hackers accedieron a sus datos por primera vez.

Se ha dicho que sus daños superaron los US$350 millones.

La violación de datos provocó la renuncia del CEO Richard Smith y las investigaciones de los reguladores federales, los fiscales generales de varios estados y la compañía enfrenta una serie de demandas civiles.

leer más
2 comments
Isaul CarballarEquifax cercana a acordar pago de US$700 millones por violación de datos
FSB-Rusia.jpg

Agencia Secreta Rusa sufre el mayor hackeo de su historia

Isaul Carballar 21 julio, 2019

La noticia salió el día de ayer. Hackers han atacado con éxito al FSB, la principal agencia de seguridad de Rusia. Los hackers lograron robar 7.5 terabytes de datos de un contratista importante, exponiendo proyectos secretos del FSB para 1) anular el anonimato de la navegación de Tor, 2) extracción de datos privados de las redes sociales, así como 3) ayudar al estado a separar su internet del resto del mundo. Los datos se pasaron a los principales medios de comunicación para su publicación.

El FSB es la principal agencia de seguridad de Rusia, similar al FBI de los EEUU y al MI5 del Reino Unido. Su competencia también se extiende más allá de la inteligencia nacional para incluir la vigilancia electrónica en el extranjero y una importante supervisión de recopilación de inteligencia. Es la principal agencia sucesora de la infame KGB, y reporta directamente al presidente de Rusia.

Hace una semana, el 13 de julio, un grupo de hackers con el nombre 0v1ru$ que supuestamente había violado a SyTech, un importante contratista de FSB que trabaja en una variedad de proyectos de Internet en vivo y exploratorios, dejó un Yoba Face sonriente en la página de inicio de SyTech junto con imágenes que pretenden mostrar el incumplimiento. 0v1ru$ pasó los datos al grupo de hackers Digital Revolution, que compartió los archivos con varios medios de comunicación y los titulares con Twitter.

La BBC edición Rusia dio la noticia de que 0v1ru$ había violado los servidores de SyTech y compartió detalles de proyectos cibernéticos polémicos, proyectos que incluían raspado de datos en redes sociales (incluidos Facebook y LinkedIn) , recopilación dirigida y la «desanonimización de los usuarios del navegador Tor«. La BBC describió la violación como posiblemente «la fuga de datos más grande en la historia de los servicios de inteligencia rusos«.

Dime algo que no sepa

Además de desfigurar la página de inicio de SyTech con Yoba Face, 0v1ru$ también detalló los nombres de los proyectos expuestos: «Arion», «Relation», «Hryvnia», junto con los nombres de los gerentes de proyectos de SyTech. El informe de la BBC afirma que no se expusieron secretos de estado.

Los proyectos en sí parecen ser una mezcla de raspado en redes sociales (Nautilus), recopilación dirigida contra usuarios de Internet que buscan anonimizar sus actividades (Nautilus-S), recopilación de datos dirigidos a empresas rusas (Mentor) y proyectos que parecen estar relacionados con los proyectos en curso de Rusia.

También se incluye una iniciativa para construir una opción para separar Internet interna de la red mundial (Hope and Tax-3). La BBC afirma que los proyectos de SyTech fueron en su mayoría contratados con la Unidad Militar 71330, parte de la 16ª Dirección del FSB que maneja inteligencia de señales, el mismo grupo acusado de enviar por correo electrónico software espía a los oficiales de inteligencia ucranianos en 2015.

Nautilus-S, el proyecto de desanonización de Tor, se lanzó realmente en 2012 bajo el mandato del Instituto de Investigación Kvant de Rusia, que está bajo el mandato del FSB. Rusia ha estado buscando formas de comprometer los nodos dentro de la estructura de Tor para prevenir comunicaciones fuera de la red o interceptar esas comunicaciones. Nada de lo cual es noticia nueva. Se cree que se han logrado algunos avances en este proyecto. Digital Revolution afirma haber hackeado el Instituto de Investigación Kvant antes.

Las actividades preparatorias para separar una «Internet rusa» siguen al acuerdo con el presidente ruso, Vladimir Putin, que firma las disposiciones para «el funcionamiento estable de la Internet rusa (Runet) en caso de que esté desconectado de la infraestructura global de la World Wide Web«. La ley establece planes de tren para un sistema de nombre de dominio (DNS) alternativo para Rusia en caso de que esté desconectado de la World Wide Web, o, se supone, en el caso de que sus políticos consideren que la desconexión es beneficiosa. Los proveedores de servicios de Internet se verían obligados a desconectarse de cualquier servidor extranjero, confiando en cambio en el DNS de Rusia.

No hay nada de interés periodístico en los proyectos expuestos aquí, todo fue conocido o esperado. El hecho de la violación en sí, su escala y aparente facilidad es lo de mayor importancia. Los contratistas siguen siendo el eslabón débil en la cadena de agencias de inteligencia de todo el mundo: para enfatizar el punto, la semana pasada, un ex contratista de la NSA fue encarcelado en los EEUU Por robar secretos durante dos décadas. Y las consecuencias de Edward Snowden continúan hasta el día de hoy.

Digital Revolution pasó la información a los periodistas sin que se editaran, eliminaron o modificaron nada, dijeron. Poco se sabe sobre 0v1ru $ y el grupo no ha hecho ningún comentario. Tampoco lo ha hecho la FSB.

Adaptación de un artículo publicado originalmente en Forbes.

leer más
, , , , , , , , 1 comment
Isaul CarballarAgencia Secreta Rusa sufre el mayor hackeo de su historia
2-1.jpg

¿FaceApp podría estar violando tu privacidad?

Diarleth G. 21 julio, 2019

Seguramente eres uno de esos millones de usuarios que al día de hoy está dándose una idea de cómo se verán de viejos. Esto gracias a la aplicación FaceApp, la cual ha dado mucho de qué hablar gracias a su exagerado realismo para modificar las fotografías. Sin embargo, noticias recientes han revelado una posible violación a la privacidad por parte de esta aplicación. ¿Sera cierto esto?

El pánico por privacidad ha caído sobre FaceApp, una aplicación móvil de edición fotografías que hace que las personas que salen en ellas se vean más jóvenes, más viejos o que simplemente les muestra cómo se verían si fueran del sexo opuesto. Sin embargo, este pánico parece haber sido exagerado.

FaceApp es una aplicación para iOS y Android desarrollada por la compañía rusa Wireless Lab, la cual no ha estado exenta de controversias en el pasado. Y ahora la empresa es acusada de desviar imágenes de los rollos de fotos móviles de los usuarios a servidores en Rusia. Pero, hasta ahora el resultado de esa afirmación en particular ha carecido de fundamento, ya que FaceApp solo recopila las fotos que seleccionas para editarlas y las envía a los servidores que se ejecutan en Google Cloud y Amazon Web Services.

«Podríamos almacenar una foto cargada en la nube. La razón principal de esto es el rendimiento y el tráfico: queremos asegurarnos de que el usuario no cargue la foto repetidamente para cada operación de edición. La mayoría de las imágenes se eliminan de nuestros servidores dentro de las 48 horas posteriores a la fecha de carga”, explicó Wireless Lab.

También señalaron que los usuarios pueden solicitar que sus datos se eliminen de sus servidores, además de dejar claros que la mayoría de los usuarios no inician sesión cuando utilizan la aplicación, por lo que «no tienen acceso a ningún dato que pueda identificar a una persona». Finalmente y como era de esperarse, señalaron que no venden ni comparten ningún dato de usuario con terceros.

Con esto deberías sentirte tranquilo a la hora de usar FaceApp en tu dispositivo. Sin embargo, te diremos un par de cosas que deberías considerar antes de usar FaceApp y cualquier otra aplicación similar.

Siempre lee las políticas de privacidad y los términos de servicio (ToS) de la aplicación, ya que por ejemplo en lo que concierne a FaceApp, puedes encontrar que dice:

“Usted le otorga a FaceApp una licencia perpetua, irrevocable, no exclusiva, sin royalties, en todo el mundo, totalmente pagada y con licencia transferible para usar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, realizar públicamente y mostrar el contenido del usuario y cualquier nombre, nombre de usuario o imagen proporcionada en relación con el contenido del usuario en todos los formatos de medios y canales conocidos o desarrollados posteriormente, sin ningún tipo de compensación”.

Como ves, por lo general cuando descargas e instalas aplicaciones de este tipo estar otorgándoles el consentimiento a los creadores para que usen el contenido que les proporciones independientemente si allí se está incluyendo tu nombre o cualquier otro dato personal, tu voz o tu imagen. Ya lo que hagan con eso es criterio de ellos. Sin embargo, en la misma cláusula se especifica que lo único que no pueden hacer es algo que de alguna manera te perjudique. Desafortunadamente, a veces es difícil saber si algo te va a perjudicar hasta que esto sucede.

leer más
, , , , , , , , 4 comments
Diarleth G.¿FaceApp podría estar violando tu privacidad?
ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Diarleth G. 20 julio, 2019

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
, , , , , , , 2 comments
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador
3.jpg

Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas

Diarleth G. 19 julio, 2019

Con mucha facilidad podemos perder la cuenta de cuántos malware están operando en la actualidad, y es que día tras día salen infinidades de estos software maliciosos intentando dañar todo lo que quede en su paso. Uno de estos malware es TrickBot, que hasta el momento ha logrado comprometer la seguridad de más de 250 millones de cuentas de correo electrónico.

Se trata de un virus muy fuerte que no ha tenido ni la menor intensión de bajar su ritmo de ataque. Una variedad del malware conocido como TrickBot ha estado infectando una gran cantidad de usuarios desde el 2016. Y hoy en día sigue siendo extremadamente fuerte, de hecho, muchos expertos en ciberseguridad lo consideran la principal amenaza para las empresas en este momento. Los expertos creen incluso que TrickBot puede haber comprometido a más de 250 millones de cuentas de correo electrónico hasta el momento.

Los investigadores en DeepInstinct han estado siguiendo la actividad de TrickBot. En los últimos años, han visto evolucionar el malware y agregar nuevas capacidades que lo han hecho aún más peligroso. Una de esas adiciones es algo a lo que DeepInstinct se refiere como TrickBooster. Su trabajo: enviar correos electrónicos no deseados desde computadoras infectadas para aumentar la propagación de infecciones TrickBot.

En esencia, TrickBot es un troyano bancario. Normalmente, el malware se distribuye a través de correos electrónicos fraudulentos, como por ejemplo, currículos falsos enviados a recursos humanos o facturas enviadas al personal de cuentas. Esos archivos normalmente se adjuntan en forma de archivos de Microsoft Word o Excel.

TrickBot puede propagarse a través de una organización de diferentes maneras. Una forma es explotar las vulnerabilidades en SMB, un protocolo que permite a las computadoras con Windows compartir y acceder fácilmente a archivos y carpetas en otros sistemas en la misma red.

El malware que se propaga a través de SMB puede propagarse rápidamente en una organización donde las configuraciones de hardware y software tienden a ser bastante homogéneas. Esa uniformidad tiende a conducir a un gran número de computadoras que cuentan con las mismas vulnerabilidades, lo que hace mucho más fácil la propagación de malware como TrickBot.

Una segunda forma altamente efectiva de propagar la infección es enviando correos electrónicos desde direcciones confiables dentro de una organización, allí TrickBot aumenta las probabilidades de que una posible víctima abra uno de sus archivos adjuntos troyanos.

DeepInstinct logró echar un vistazo a una base de datos conectada a las operaciones de TrickBot. Los investigadores de la compañía descubrieron un tesoro de casi 250 millones de direcciones de correo electrónico que habían sido recogidas por TrickBot. De manera alarmante, DeepInstinct notó que esas direcciones no parecen provenir de violaciones previamente conocidas.

En la larga lista se encontraron, más de 25 millones de cuentas Gmail, 21 millones de Yahoo, y 11 millones de Hotmail. Otros 10 millones pertenecen a usuarios de AOL y MSN. Si bien esos seis servicios enfocados en el consumidor representan aproximadamente 70 millones del total de entradas en la base de datos, DeepInstinct también detectó decenas de direcciones pertenecientes a trabajadores del gobierno. A la fecha se desconoce el alcance total que está teniendo este malware, pero lo que sé se sabe es que está resultando ser indetenible.

leer más
, , , , , , , 1 comment
Diarleth G.Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas
0.jpg

Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos

Diarleth G. 18 julio, 2019

¿Te imaginas estar en la mira de un pirata informático? Uno podría pensar cosas como, ¿para que querrían hackearme? Pero la verdad es que los hackers pueden causarle dolores de cabeza a cualquiera sin que tenga que existir una razón muy importante. Sin embargo, es cierto que cuando suelen atacar buscan objetivos más claros.

En el siguiente post, por ejemplo, te hablaremos de cómo un atacante sofisticado se infiltró exitosamente dentro de diversos proveedores de celulares para recopilar información sobre usuarios muy específicos. Se cree que al menos 20 personas estuvieron en la mira de un astuto hacker, pero no te preocupes, seguramente tú no estás en esa pequeña lista.

Roban años de registros de llamadas de redes celulares hackeadas

Los piratas informáticos han interrumpido sistemáticamente a más de 10 redes celulares en todo el mundo en los últimos siete años para obtener cantidades masivas de registros de llamadas, incluidas las fechas y los tiempos de las llamadas, así como también sus ubicaciones pero todo esto solo en un grupo muy selecto de personas,  hablamos de no más de 20 víctimas.

Ante esto, investigadores de Cybereason dijeron que detectaron estos ataques por primera vez hace aproximadamente un año. Los investigadores creen que el objetivo de  estos piratas informáticos era obtener y descargar registros de la base de datos del proveedor de los celulares sin tener que desplegar algún malware en el dispositivo de cada objetivo.

Adicionalmente los investigadores descubrieron que los piratas informáticos entraron en una de las redes celulares al explotar una vulnerabilidad en un servidor web conectado a Internet para obtener un punto de apoyo en la red interna del proveedor. Desde allí, los hackers continuaron explotando cada máquina que encontraron robando credenciales para obtener un acceso mucho más profundo.

¿Quiénes son los culpables?

Cybereason afirma con una «muy alta probabilidad» que los hackers estuvieron respaldados por un estado-nación. Los investigadores se mostraron reacios a hacer cualquier tipo de acusación formal.

El reporte indica: «Las herramientas y las técnicas, como el malware utilizado por los piratas informáticos, parecían ser el ‘libro de texto APT10’, en referencia a un grupo de hackers que se cree que está respaldado por China» también dijeron que era APT10, «o alguien que quiere digamos que es [APT10] «.

Los informes indican lo siguiente:

El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.

El actor de las amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, como datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.

Las herramientas, así como sus TTP (Tácticas, Técnicas y Procedimientos) utilizados se asocian comúnmente con los actores de amenazas chinos. Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas. Pero, las herramientas y las técnicas, así como el malware utilizado por los piratas informáticos, indicaba que estos ataques habían sido realizados por APT10, un grupo de piratas informáticos que se cree que está respaldado por China.

leer más
, , , , , , , , , , 1 comment
Diarleth G.Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos
00-1.jpg

Anubis está descontrolando las plataformas bancarias

Diarleth G. 15 julio, 2019

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
, , , , , 2 comments
Diarleth G.Anubis está descontrolando las plataformas bancarias
1.jpg

Si usas Zoom en tu computadora Mac, podrían estarte espiando

Diarleth G. 12 julio, 2019

El software de videoconferencia Zoom para Mac se ha visto afectado por una falla que podría permitir a los atacantes tomar el control de las cámaras web cuando los usuarios visitan un sitio web.

El experto en ciberseguridad Jonathan Leitschuh reveló el nivel de vulnerabilidad que existe dentro del software Zoom para computadoras Mac, un software para realizar video conferencias. Según Jonathan, esta falla de seguridad crítica podría desencadenar problemas muchos mayores en el futuro si no se corrige cuanto antes. De hecho, la falla podría usarse para controlar la cámara web de un usuario cuando visita cualquier página web.

Jonathan Leitschuh reveló el 26 de marzo de este año 2019 la falla al proveedor de manera responsable, pero la compañía no pudo resolver el problema, exponiendo a sus usuarios al riesgo de piratería.

“Una vulnerabilidad en Mac Zoom Client permite que cualquier sitio web malicioso habilite tu cámara sin tu permiso. La falla expone potencialmente hasta 750,000 compañías en todo el mundo que usan Zoom para realizar día a día toda clase de negocios”, afirma Leitschuh.

Zoom  es el líder en comunicaciones de video para empresas, de hecho, es una de las plataformas en la nube más populares y confiables para conferencias de video, audio, chat y seminarios web. Esta falla los pone en riesgo a todos por igual.

La falla aprovecha la función de hacer clic para unirse del software Zoom que permite activar automáticamente la aplicación instalada en el sistema para unirse a una reunión de video a través de tu navegador web con un simple clic en un enlace de invitación.

«En Mac, si alguna vez has instalado Zoom, verás que hay un servidor web en tu máquina local ejecutándose en el puerto 19421. Puedes confirmar que este servidor está presente ejecutando lsof -i: 19421 en tu terminal», explicó el experto.

«En primer lugar, permítanme comenzar diciendo que tener una aplicación instalada que ejecuta un servidor web en mi máquina local con una API totalmente no documentada se siente increíblemente incompleto para mí. En segundo lugar, el hecho de que cualquier sitio web que visite pueda interactuar con este servidor web que se ejecuta en mi máquina es una gran señal de alerta para mí como investigador de seguridad».

El experto creó una reunión personal con una cuenta diferente, analizó los parámetros utilizados en la solicitud GET utilizada para iniciar automáticamente una reunión de Zoom al hacer clic en el enlace de invitación.

“Al  configurar una reunión, descubrí que cualquier persona que se uniera a mi reunión tenía automáticamente su video conectado. Cuando regresé a mi máquina personal, probé esta misma funcionalidad y descubrí que funcionaba exactamente igual”, explicó Leitschuh.

El experto explicó que también se puede abusar de la falla para desencadenar una condición DoS enviando un gran número de solicitudes GET repetidas al servidor local.

«Zoom terminó parcheando esta vulnerabilidad, pero todo lo que hicieron fue evitar que el atacante encienda la cámara de video del usuario», dijo Jonathan. «No deshabilitaron la capacidad de un atacante para unirse a una llamada a cualquier persona que visite un sitio malicioso”. La falla afecta a la versión 4.4.4 de la aplicación Zoom para Mac.

Leitschuh también habló sobre la vulnerabilidad con los equipos de desarrollo de Chromium y Mozilla, pero estos explicaron que no pueden hacer nada porque el problema no reside en sus navegadores web. Para mitigar la falla, los usuarios pueden desactivar manualmente la configuración que permite que Zoom encienda automáticamente la cámara web al unirse a una reunión.

Actualización: Apple actualiza silenciosamente las Mac para eliminar la vulnerabilidad de la cámara web Zoom

Apple ha emitido una actualización silenciosa y automática de macOS que elimina el servidor web utilizado para agilizar el acceso a la aplicación de videoconferencia. La actualización no es completamente necesaria cuando Zoom ya ha emitido su propio parche, pero esto garantiza que las personas que ejecutan versiones anteriores de Zoom no serán vulnerables.

Se sabe que Apple ofrece actualizaciones silenciosas para bloquear malware. Sin embargo, esta es otra historia: la compañía está impulsando una actualización para solucionar un problema con un desarrollador superior que tiene más de cuatro millones de usuarios. Ni Apple ni Zoom querían arriesgarse, incluso si la amenaza práctica de alguien que utiliza el exploit es escasa.

leer más
, , , , , , 1 comment
Diarleth G.Si usas Zoom en tu computadora Mac, podrían estarte espiando
mobile_payment_transaction_money_transfer_thinkstock_847164462-100749266-large.jpg

La campaña automatizada de Magecart afecta a más de 960 tiendas en línea

Isaul Carballar 12 julio, 2019

Hoy en día, la empresa de investigación de seguridad Magento Sanguine Security descubrió una campaña de limpieza de tarjetas de pago a gran escala que rompió exitosamente 962 tiendas de comercio electrónico.

La campaña parece estar automatizada de acuerdo con el investigador de Sanguine Security, Willem de Groot, quien le dijo a BleepingComputer que el script de raspado (data skimming) de la tarjeta se agregó dentro de un plazo de 24 horas. «Sería casi imposible violar más de 960 tiendas manualmente en tan poco tiempo«, agregó.

Si bien Sanguine Security no comparte la información sobre cómo funcionarán los ataques automatizados de Magecart contra los sitios web de comercio electrónico, el procedimiento probablemente implicaría buscar y explotar fallas de seguridad en la plataforma de software de las tiendas.

«Aún no he recibido la confirmación, pero parece que a varias víctimas les faltaban parches contra las vulnerabilidades de inyección de objetos PHP», también dijo de Groot.

Si bien los detalles sobre cómo se violaron las tiendas en línea aún son escasos, dado que los registros aún se están analizando, el script de skimmer de datos de pago basado en JavaScript fue descifrado y cargado por la compañía de seguridad a GitHub Gist.

Como se muestra en su código fuente, los atacantes usaron el skimmer para recopilar la información de pago de los clientes de comercio electrónico en las tiendas violadas, incluidos los datos completos de la tarjeta de crédito, nombres, teléfonos y direcciones.

De todas las tiendas infectadas repartidas por todo el mundo, «la mayoría de las víctimas son pequeñas, pero hay una serie de tiendas empresariales entre ellas», como lo detalla De Groot.

Como el jefe de investigaciones de amenazas de RiskIQ, Yonathan Klijnsma, le dijo a BleepingComputer después de que se publicó esta historia, el grupo detrás de esta campaña es Magecart Group 7, un equipo que se sabe que ha utilizado «ataques automatizados para errores conocidos» en ataques anteriores.

Además, como se explica en el informe «Inside Magecart» de RiskIQ, el Grupo 7 «no tiene un modus operandi bien definido que no sea para comprometer cualquier sitio de comercio electrónico que pueda encontrar» y «no va para sitios web de primer nivel, pero no se aleja de los grandes sitios de nivel medio «

Además, al igual que en el caso de estos ataques, este grupo de Magecart «no usa servidores, agregando la etiqueta de script directamente en el sitio web, por lo que una víctima normalmente se encuentra con este skimmer como un pequeño fragmento de script en su sitio web».

Otro investigador de seguridad, Micham, descubrió otro ataque de Magecart, quien detectó la inyección de un skimmer malicioso en el sitio de The Guardian a través del antiguo depósito de AWS S3 y el uso de wix-cloud [.] Com como puerta de skimmer.

Jérôme Segura, de Malwarebytes, dijo ayer que esto era parte de una campaña de Magecart que abusa del CDN de Amazon CloudFront descubierto en junio , con «una serie de compromisos en Amazon CloudFront, una red de distribución de contenido (CDN), donde las bibliotecas de JavaScript alojadas fueron manipuladas e inyectadas. skimmers web. «

Los grupos de magecart están diversificando sus ataques.

Los grupos de Magecart están pirateando equipos que han estado activos desde alrededor de 2015 y representan una amenaza continua para lanzar ataques contra compañías internacionales como British Airways , Ticketmaster , OXO y Newegg , y negocios de menor tamaño como MyPillow y Amerisleep .

Las campañas de Magecart diseñadas para robar datos de tarjetas de pago de los clientes de las tiendas en línea están tan activas como siempre, y su actividad rara vez muestra mínimos.

Klijnsma también dijo en un informe que detallaba la expansión de la actividad de Magecart a las tiendas motorizadas de OSCommerce y OpenCart que «por cada ataque de Magecart que aparece en los titulares, detectamos miles más que no revelamos. Una parte considerable de estas infracciones menos conocidas implica una tercera parte«.

«Actualmente se están centrando en los datos de pago, pero ya estamos viendo movimientos para deslizar las credenciales de inicio de sesión y otra información confidencial. Esto amplía el alcance de las posibles víctimas de Magecart más allá del comercio electrónico solo«, explicó Klijnsma en una declaración/análisis en profundidad de una operación a gran escala contra las tiendas en línea OpenCart .

Como prueba adicional de esto, la firma de inteligencia sobre amenazas Group-IB encontró 2.440 tiendas comprometidas a principios de abril que se infectaron con analizadores de datos de pago por parte de varios grupos de Magecart.


A fines de abril, Segura también descubrió que cientos de tiendas Magento fueron inyectadas activamente con scripts de skimmer alojados en GitHub, mientras que los atacantes también infectaron la tienda en línea del equipo de baloncesto Atlanta Hawks de la NBA al ser descubierta por De Groot .

A principios de mayo, otro grupo de Magecart desarrolló un guión de skimmer Magecart polimorfo que ofrecía soporte para un número impresionante de 57 pasarelas de pago de todo el mundo que se pueden inyectar en casi cualquier página de compra de cualquier tienda en línea para raspar la tarjeta de crédito de los clientes e información personal sin necesidad de personalización.

También en mayo, TrendMicro descubrió que las páginas de pago de cientos de tiendas de campus impulsadas por PrismWeb de EE. UU. Y Canadá fueron violadas y comprometidas por un grupo de Magecart llamado Mirrorthief.

Artículo originalmente publicado en https://www.bleepingcomputer.com/news/security/automated-magecart-campaign-hits-over-960-breached-stores/

leer más
, , , 2 comments
Isaul CarballarLa campaña automatizada de Magecart afecta a más de 960 tiendas en línea