Uncategorized

android-joker.jpg

The Joker: el nuevo malware que debería alertar a los usuarios de Android

Otro día mas y otro malware paseándose por la Google Play Store. El nombre del villano de Batman, The Joker es capaz de robar dinero a través de servicios de suscripción que los usuarios ni siquiera saben que se inscribieron.

Google ha eliminado la mayoría de las aplicaciones que fueron afectadas por el malware. Sin embargo, por razones de seguridad, revisa la lista y asegúrate de no tener instaladas aplicaciones infectadas. Además, sería una buena idea verificar tus extractos bancarios a partir de junio, ya que es el momento en que el malware comenzó a suscribirse automáticamente a los usuarios.

Aquí hay una lista de aplicaciones que fueron infectadas por el malware:

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Dado que el malware suscribe automáticamente a los usuarios a diferentes servicios, sería prudente verificar tu estado de cuenta bancario y asegurarte de que no estés suscrito a ningún servicio no autorizado.

¿Cómo actúa The Joker?

El malware se encuentra presente en las aplicaciones anteriormente mencionadas, y ofrece un componente de segunda etapa, que simula silenciosamente la interacción con sitios web de publicidad, roba los mensajes SMS de la víctima, la lista de contactos y la información del dispositivo.

La interacción automatizada con los sitios web de publicidad incluye la simulación de clics y la introducción de códigos de autorización para suscripciones de servicios premium.

El malware emplea tácticas especialmente sigilosas para realizar actividades bastante maliciosas en GooglePlay, mientras se esconde dentro de plataformas de publicidad, cuidando de no exponerse demasiado su código malicioso.

Google ha estado eliminando todas estas aplicaciones sin ninguna notificación a los usuarios.

Recomendamos prestar mucha atención a la lista de permisos en las aplicaciones que instale en su dispositivo Android.

¿Qué países fueron afectados?

Afortunadamente para algunos, el malware Joker solo ataca países seleccionados. La mayoría de las aplicaciones infectadas contienen una lista de Códigos de país móviles (MCC) y la víctima debe usar una tarjeta SIM de uno de estos países para recibir la carga útil de la segunda etapa.

La mayoría de las aplicaciones descubiertas apuntan a la UE y los países asiáticos, sin embargo, algunas aplicaciones permiten que cualquier país se una. Además, la mayoría de las aplicaciones descubiertas tienen una verificación adicional, que asegurará que la carga no se ejecute cuando se ejecute dentro de los EEUU o Canadá. La interfaz de usuario del panel de C&C y algunos de los comentarios del código del bot están escritos en chino, lo que podría ser una pista en términos de atribución geográfica.

La lista completa de 37 países seleccionados incluye: Australia, Austria, Bélgica, Brasil, China, Chipre, Egipto, Francia, Alemania, Ghana, Grecia, Honduras, India, Indonesia, Irlanda, Italia, Kuwait, Malasia, Myanmar, Países Bajos, Noruega , Polonia, Portugal, Qatar, Argentina, Serbia, Singapur, Eslovenia, España, Suecia, Suiza, Tailandia, Turquía, Ucrania, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Referencia: https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

leer más
Isaul CarballarThe Joker: el nuevo malware que debería alertar a los usuarios de Android
wordpress-plugin-hack.png

Sitios WordPress bajo ataque masivo vía populares plugins

Un grupo de hackers está explotando vulnerabilidades en más de diez plugins de WordPress buscando crear cuentas de administrador falsas en sitios usando WordPress, el sistema de administración de contenidos más popular en el Internet.

Los ataques son parte de una campaña de hacking que comenzó el mes pasado. Durante ataques anteriores, los hackers explotaron vulnerabilidades en los mismos plugins para plantar malware en los sitios pirateados. Este código estaba destinado a mostrar anuncios emergentes o redirigir a los visitantes entrantes a otros sitios web.

Sin embargo, hace dos semanas, el grupo detrás de estos ataques cambió su táctica. Mikey Veenstra, analista de amenazas de la empresa de seguridad cibernética Defiant, dijo a ZDNet que a partir del 20 de agosto, el grupo de hackers modificó el malware plantado en sitios hackeados.

Pop-ups, Malware y Backdoors

En lugar de simplemente insertar ventanas emergentes (pop-ups) y redireccionamientos, el malware también ejecutó una función para probar si el visitante del sitio tenía la capacidad de crear cuentas de usuario en el sitio, una característica solo disponible para las cuentas de administrador de WordPress.

Básicamente, este malware esperaba que el propietario del sitio acceda a sus propios sitios web. Cuando lo hicieron, el malware creó una nueva cuenta de administrador llamada wpservices, utilizando la dirección de correo electrónico de wpservices@yandex.com y la contraseña de w0rdpr3ss .

Al crear estas cuentas, el grupo de hackers detrás de esta campaña cambió las tácticas de explotar sitios para obtener ganancias monetarias, para agregar también puertas traseras (backdoors) para uso futuro y para un punto de apoyo más persistente.

El ataque de los plugins

De acuerdo con Veenstra, estos ataques recientes apuntan a vulnerabilidades en los siguientes plugins de WordPress.

Los plugins están vinculados a sus respectivas vulnerabilidades, por lo que los lectores pueden determinar la versión que necesitan actualizar, para evitar ataques en caso de que estén utilizando uno de los plugins anteriormente mencionados.

Además de actualizar los anteriores plugins, también se recomienda a los propietarios de sitios que verifiquen los nombres de usuario de administrador registrados en sus sitios. La eliminación de estas cuentas previa a la actualización de los plugins es imprescindible, ya que su único propósito es crear un camino de regreso a los sitios web después de que los usuarios actualicen los plugins vulnerables.

Limpiar sitios infectados de WordPress puede ser bastante complicado, ya que los propietarios de sitios también tendrán que escanear sus sitios web con plugins de seguridad de WordPress en busca de otros mecanismos de puerta trasera que los hackers podrían haber dejado atrás. Se aconseja a los usuarios no técnicos que busquen ayuda profesional.

leer más
Isaul CarballarSitios WordPress bajo ataque masivo vía populares plugins
capital-one-san-francisco.jpg

Qué hacer si fue víctima del ataque de Capital One

Capital One dijo que notificará a los clientes y solicitantes de tarjetas de crédito cuyos datos fueron expuestos en la violación, y el Departamento de Justicia anunció que había acusado a un ingeniero de Seattle en el robo.

Aquí le mostramos cómo averiguar si se vio afectado por la violación de datos de Capital One y qué puede hacer para protegerse.

Cómo averiguar si su información fue robada

Capital One dijo que contactará por carta a las personas de EE. UU. Cuyos números de Seguro Social o números de cuentas bancarias vinculadas fueron parte del ataque. Las personas afectadas probablemente pueden esperar escuchar la semana del 5 de agosto. Por el momento, Capital One no tiene un sitio web que le permita verificarlo usted mismo, a diferencia de la herramienta Equifax lanzada para ver si usted fue parte de su violación de datos.

Esté atento a los correos electrónicos y llamadas telefónicas de estafadores que se hacen pasar por Capital One o representantes del gobierno que solicitan información de su tarjeta de crédito o cuenta, su número de Seguro Social u otra información personal.

¿Qué está haciendo Capital One sobre el hack?

Capital One dijo que ha solucionado la vulnerabilidad que el pirata informático usó para acceder a los datos y ha trabajado con la policía federal en la violación. La compañía bancaria dijo que contactará a los clientes que fueron parte del ataque y ofrecerá monitoreo de crédito gratuito y protección de identidad a aquellos clientes afectados por la violación.

Cómo monitorear su informe de crédito por fraude

No tiene que esperar a que Capital One se ponga en contacto con usted: puede seguir varios pasos ahora mismo para detectar fraude.

  1. Monitoree sus informes de crédito. Obtiene un informe de crédito gratuito al año de las tres principales agencias de crédito: Equifax, Experian y TransUnion. (Tenga en cuenta que Equifax se está recuperando de su propia violación de datos). En su informe, busque actividades inusuales o desconocidas, como la aparición de nuevas cuentas que no abrió. Y observe las cuentas de su tarjeta de crédito y los extractos bancarios en busca de cargos y pagos inesperados.
  2. Regístrese para un servicio de monitoreo de crédito. Elija un servicio de monitoreo de crédito que supervise constantemente su informe de crédito en las principales agencias de crédito y avise cuando detecte actividad inusual. Para ayudar con el monitoreo, puede configurar alertas de fraude que le notifiquen si alguien está tratando de usar su identidad para crear crédito. Un servicio de informes de crédito como LifeLock puede costar entre $ 10 y $ 30 por mes, o puede usar un servicio gratuito como el de Credit Karma. Capital One dijo que proporcionará monitoreo de crédito gratuito y protección de identidad a todos los clientes afectados.

Qué hacer si sospecha que es víctima de fraude o robo de identidad

Tan pronto como sospeche que le han robado su identificación, puede tomar medidas para detener los cargos no autorizados y comenzar a recuperar su identidad.

  1. Coloque una alerta de fraude. Si sospecha de fraude, coloque una alerta de fraude con cada una de las compañías de informes de crédito: Equifax, Experian y TransUnion. La alerta notifica a los acreedores que usted ha sido víctima de fraude y les informa que verifiquen que realmente está haciendo nuevas solicitudes de crédito en su nombre. Puede colocar una alerta de fraude inicial, que permanece en su informe de crédito durante 90 días, o una alerta de fraude extendida, que permanece en su informe de crédito durante siete años. Colocar una alerta de fraude no afecta su puntaje de crédito.
  2. Póngase en contacto con los departamentos de fraude. Para cada negocio y compañía de tarjeta de crédito donde cree que se abrió o se cargó una cuenta sin su conocimiento, comuníquese con su departamento de fraude. Si bien no es responsable de los cargos fraudulentos a una cuenta, debe informar la actividad sospechosa de inmediato.
  3. Congela tu crédito. Si desea evitar que alguien abra crédito y solicite préstamos y servicios a su nombre sin su permiso, puede congelar su crédito. Deberá solicitar una congelación con cada una de las tres compañías de informes de crédito, que nuevamente son Equifax, Experian y TransUnion. Para solicitar un nuevo crédito, debe descongelar su crédito, nuevamente, a través de cada una de las compañías de informes de crédito. Puede solicitar un levantamiento temporal de la congelación o descongelarla permanentemente.
  4. Documenta todo. Guarde copias de todos los documentos y gastos y registros de sus conversaciones sobre el robo.
  5. Crea un plan de recuperación. La Comisión Federal de Comercio tiene una herramienta valiosa que lo ayuda a denunciar el robo de identidad y recuperar su identidad a través de un plan de recuperación personal.
leer más
Isaul CarballarQué hacer si fue víctima del ataque de Capital One
capital-one-san-francisco.jpg

Hackeo de Capital One involucra 100 millones de solicitudes de tarjetas de crédito en EEUU y Canadá

Los datos robados también incluyeron 140,000 números de Seguro Social y 80,000 números de cuentas bancarias.

Capital One dijo el pasado 29 de Julio que los datos de más de 100 millones de ciudadanos estadounidenses y 6 millones de residentes canadienses habían sido robados por un hacker .

Si solicitó una tarjeta de crédito del banco de EE. UU. Entre 2005 y 2019, es probable que su información sea parte de esta violación , dijo Capital One en un comunicado. Los datos incluyen aproximadamente 140,000 números del Seguro Social de los EE. UU. Y alrededor de 80,000 números de cuentas bancarias, según Capital One. El hacker también robó aproximadamente 1 millón de números de seguro social canadienses en la violación.

¿Qué es Capital One?
Capital One Financial Corporation (www.capitalone.com) es una sociedad financiera de cartera cuyas filiales, que incluyen Capital One, NA y Capital One Bank (EE. UU.), NA, tenían depósitos de $ 254.5 mil millones y activos totales de $ 373.6 mil millones a junio 30, 2019. Con sede en McLean, Virginia, Capital One ofrece un amplio espectro de productos y servicios financieros a consumidores, pequeñas empresas y clientes comerciales a través de una variedad de canales. Capital One, N.A. tiene sucursales ubicadas principalmente en Nueva York, Luisiana, Texas, Maryland, Virginia, Nueva Jersey y el Distrito de Columbia. Capital One, una compañía que cotiza en la lista Fortune 500, cotiza en la Bolsa de Nueva York con el símbolo “COF” y está incluida en el índice S&P 100.

Capital One agregó que “no se comprometió ningún número de cuenta de tarjeta de crédito o credenciales de inicio de sesión” y que más del 99 por ciento de los números de Seguridad Social que Capital One tiene en el archivo no se vieron afectados. Sin embargo, la violación incluyó nombres, direcciones, códigos postales, números de teléfono, direcciones de correo electrónico y fechas de nacimiento, todos los activos valiosos que los piratas informáticos pueden usar para robar a las víctimas.

El FBI arrestó a una trabajadora de tecnología de 33 años llamada Paige A. Thompson, que se conoce con el sobrenombre de “erratic” (errática), según el Departamento de Justicia . Los fiscales acusaron a Thompson de fraude y abuso informático, alegando que ella estaba detrás del ataque.

Si bien estoy agradecido de que el autor haya sido capturado, lamento profundamente lo que sucedió“, dijo Richard D. Fairbank, presidente y CEO de Capital One. “Pido disculpas sinceramente por la preocupación comprensible que este incidente debe estar causando a los afectados y estoy comprometido a corregirlo“.

El martes, la Fiscal General de Nueva York, Letitia James, dijo que comenzaría inmediatamente una investigación sobre el incidente de Capital One . “No podemos permitir que los ataques de esta naturaleza se conviertan en hechos cotidianos“, dijo James en un comunicado.

Este incidente se produce a raíz de la noticia de que Equifax puede tener que pagar hasta $ 700 millones por una violación de datos de 2017 . Esa violación de los servidores de Equifax involucró los números de Seguridad Social y las direcciones de casi 148 millones de estadounidenses.

Según los documentos judiciales en el caso de Capital One, Thompson supuestamente robó la información al encontrar un firewall mal configurado en el servidor en la nube de Amazon Web Services (AWS) de Capital One. Los investigadores acusaron a Thompson de acceder a ese servidor del 12 de marzo al 17 de julio. Según el Departamento de Justicia, se almacenaron más de 700 carpetas de datos en ese servidor.

Thompson presuntamente publicó detalles sobre el hack en una página de GitHub en abril, y habló sobre el ataque en Twitter y las discusiones de Slack, según el FBI.

Los documentos de la corte mostraron que Capital One no se enteró del hackeo hasta el 17 de julio, cuando alguien envió un mensaje a la dirección de correo electrónico de divulgación responsable de la compañía con un enlace a la página de GitHub. La página había estado activa desde el 21 de abril, con la dirección IP de un servidor específico que contenía los datos confidenciales de la compañía.

Capital One alertó rápidamente a las fuerzas del orden público sobre el robo de datos, lo que permitió al FBI rastrear la intrusión“, dijo el fiscal federal Brian T. Moran en un comunicado.

La página de GitHub tenía el nombre completo de Thompson, así como otra página que contenía su currículum. Los documentos de la corte mostraron que en el currículum, Thompson figuraba como ingeniero de sistemas y era empleada de Amazon Web Services de 2015 a 2016. En un comunicado, Amazon dijo que la ex empleada dejó la empresa tres años antes de que ocurriera el ataque.

Amazon dijo que AWS no se vio comprometido de ninguna manera, señalando que el presunto hacker obtuvo acceso a través de una configuración incorrecta en la aplicación del servidor de la nube, no a través de una vulnerabilidad en su infraestructura.

El FBI también encontró registros de mensajes en Twitter donde Thompson supuestamente escribió: “Básicamente me até a un chaleco bomba, fui directo a Capitol one y lo admití“, señalando que quería distribuir los datos que robó.

Capital One dijo que era “improbable que la información fuera utilizada por fraude o difundida por esta persona“, pero se comprometió a investigar el hackeo en su totalidad. La compañía espera que este truco le cueste a la compañía aproximadamente $ 100 millones a $ 150 millones de dólares en 2019.

El FBI confiscó los dispositivos de Thompson el lunes después de obtener una orden de registro y la arrestó. Si es declarada culpable, Thompson enfrenta hasta cinco años de prisión y una multa de US$ 250,000.

Al igual que Equifax, Capital One dijo que proporcionaría monitoreo de crédito gratuito y protección de identidad a todos los involucrados.

Referencias: https://cnet.co/2MKzpHj