Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

0.jpg

Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos

Diarleth G. 18 julio, 2019

¿Te imaginas estar en la mira de un pirata informático? Uno podría pensar cosas como, ¿para que querrían hackearme? Pero la verdad es que los hackers pueden causarle dolores de cabeza a cualquiera sin que tenga que existir una razón muy importante. Sin embargo, es cierto que cuando suelen atacar buscan objetivos más claros.

En el siguiente post, por ejemplo, te hablaremos de cómo un atacante sofisticado se infiltró exitosamente dentro de diversos proveedores de celulares para recopilar información sobre usuarios muy específicos. Se cree que al menos 20 personas estuvieron en la mira de un astuto hacker, pero no te preocupes, seguramente tú no estás en esa pequeña lista.

Roban años de registros de llamadas de redes celulares hackeadas

Los piratas informáticos han interrumpido sistemáticamente a más de 10 redes celulares en todo el mundo en los últimos siete años para obtener cantidades masivas de registros de llamadas, incluidas las fechas y los tiempos de las llamadas, así como también sus ubicaciones pero todo esto solo en un grupo muy selecto de personas,  hablamos de no más de 20 víctimas.

Ante esto, investigadores de Cybereason dijeron que detectaron estos ataques por primera vez hace aproximadamente un año. Los investigadores creen que el objetivo de  estos piratas informáticos era obtener y descargar registros de la base de datos del proveedor de los celulares sin tener que desplegar algún malware en el dispositivo de cada objetivo.

Adicionalmente los investigadores descubrieron que los piratas informáticos entraron en una de las redes celulares al explotar una vulnerabilidad en un servidor web conectado a Internet para obtener un punto de apoyo en la red interna del proveedor. Desde allí, los hackers continuaron explotando cada máquina que encontraron robando credenciales para obtener un acceso mucho más profundo.

¿Quiénes son los culpables?

Cybereason afirma con una «muy alta probabilidad» que los hackers estuvieron respaldados por un estado-nación. Los investigadores se mostraron reacios a hacer cualquier tipo de acusación formal.

El reporte indica: «Las herramientas y las técnicas, como el malware utilizado por los piratas informáticos, parecían ser el ‘libro de texto APT10’, en referencia a un grupo de hackers que se cree que está respaldado por China» también dijeron que era APT10, «o alguien que quiere digamos que es [APT10] «.

Los informes indican lo siguiente:

El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.

El actor de las amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, como datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.

Las herramientas, así como sus TTP (Tácticas, Técnicas y Procedimientos) utilizados se asocian comúnmente con los actores de amenazas chinos. Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas. Pero, las herramientas y las técnicas, así como el malware utilizado por los piratas informáticos, indicaba que estos ataques habían sido realizados por APT10, un grupo de piratas informáticos que se cree que está respaldado por China.

leer más
, , , , , , , , , , 1 comment
Diarleth G.Hackeo «masivo» a redes de operadores móviles expone años de registros telefónicos
Actualidad_337228104_96704695_1024x576.jpg

Astaroth Trojan explota a Avast para robar información

Diarleth G. 17 julio, 2019

Una nueva cepa de Astaroth Trojan dirigida a Brasil y países europeos está explotando actualmente el software de seguridad y antivirus Avast desarrollado por GAS Technology para robar información y cargar módulos maliciosos.

De acuerdo con el equipo Nocturnus de Cybereason que descubrió la nueva cepa de Astaroth, al igual que las cepas anteriores, el malware utiliza procesos legítimos e integrados del sistema operativo Windows para realizar actividades maliciosas y entregar una carga útil sin ser detectado, pero también hace uso de herramientas conocidas e incluso software antivirus para ampliar sus capacidades.

El troyano de Astaroth y el ladrón de información fueron detectados previamente por Cofense como parte de una campaña de malware que afecta a Europa y especialmente a Brasil, y es conocido por abusar de binarios como la interfaz de línea de comandos de Windows Management, la consola de instrumentación (WMIC) para descargar e instalar subrepticiamente cargas útiles maliciosas en segundo plano.

La nueva variedad descubierta por los investigadores de Cybereason ahora también usa la  utilidad legítima Windows BITSAdmin (diseñada para ayudar a crear trabajos de descarga o carga y monitorear su progreso) para descargar cargas útiles de malware. Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo .7zip entregado al destino en forma de un archivo adjunto de correo electrónico o hipervínculo. El archivo malicioso contiene un archivo .lnk que generará un proceso wmic.exe que inicializará un ataque de procesamiento de scripts XSL.

Posteriormente, el malware se conecta a un servidor de comando y control (C2) y filtra información sobre la computadora infectada. Después de descargar la secuencia de comandos XSL cifrada en la máquina infectada, el troyano usará BITSAdmin para capturar una carga útil de otro servidor C2, cuidadosamente oculto como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

Astaroth también inyecta un módulo malintencionado en la biblioteca de vínculos dinámicos Avast y lo utiliza para recopilar información sobre la máquina comprometida y para cargar módulos adicionales cuando sea necesario. Además, la nueva variante del troyano Astaroth también está diseñada para explotar el proceso unins000.exe de una solución de seguridad desarrollada por GAS Technology que también utilizará para rastrear y recopilar información personal del usuario sin ser detectado si Avast no está presente en la computadora infectada.

Finalmente, Cybereason encontró que, una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles de forma continua. Con estos métodos, Astaroth descubre cantidades significativas de información personal de las cuentas bancarias de los usuarios y las cuentas comerciales. Además, junto con NetPass, recopila las contraseñas de inicio de sesión de los usuarios en toda la placa sin ser detectadas, incluidas las computadoras remotas en la LAN, las contraseñas de cuentas de correo, las cuentas de Messenger, las contraseñas de Internet Explorer y otras.

leer más
, , , , , , 1 comment
Diarleth G.Astaroth Trojan explota a Avast para robar información
00-1.jpg

Anubis está descontrolando las plataformas bancarias

Diarleth G. 15 julio, 2019

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
, , , , , 1 comment
Diarleth G.Anubis está descontrolando las plataformas bancarias
WhatsApp-Image-2019-07-09-at-6.06.31-PM.jpeg

La curiosa historia de la obsesión de Cuba por el helado

Isaul Carballar 14 julio, 2019

Los políticos han debatido los méritos del capitalismo frente al comunismo en cuartos traseros y pisos del senado durante décadas. En las calles de La Habana, el debate descansa sobre un cono de waffle helado.

Fidel Castro era un famoso amante de los helados. Para evitar el embargo comercial, una vez forzó a su embajador en Canadá a enviarle 28 contenedores de las cosas de Howard Johnson, una cadena de restaurantes de EE. UU., Mientras que el novelista colombiano Gabriel García Márquez recordó haber visto al líder revolucionario tomar 18 cuchareadas de helado después de «un buen almuerzo de tamaño mediano «. Así que parece lógico que la gran visión de Castro de una sociedad utópica no solo incluyera atención médica y educación gratuitas, sino también helados subsidiados por el gobierno.

El sueño de que cada ciudadano pudiera permitirse un regalo fresco de alta calidad en un día caluroso funcionó durante décadas. Hoy, sin embargo, a medida que la economía de Cuba comienza a cambiar, uno solo tiene que mirar las heladerías de La Habana para ver cómo se está derritiendo el sueño igualitario de Castro.

Antes de la revolución, los cubanos consumían helados importados de los Estados Unidos. Cuando el embargo estadounidense hizo ilegal el helado importado, El Comandante se encargó de crear un helado de mejor sabor que sus rivales yanquis.

“Helado por el pueblo” se convirtió en un grito de guerra. En el apogeo de la revolución, cuando la Unión Soviética estaba apoyando al gobierno cubano con hasta $ 5 mil millones por año, Cuba se inundó de efectivo. Así que Castro decidió construir la heladería más grande del mundo para sus fieles revolucionarios.

Envió técnicos a Canadá para aprender a hacer helados, compró máquinas de alta tecnología en Suecia y los Países Bajos y comenzó a experimentar con recetas.

Los principales arquitectos del gobierno diseñaron un edificio futurista en medio del rico barrio de Vedado en La Habana para albergar el imperio de los helados. De manera grandiosa, generalmente reservada para héroes nacionales selectos, Coppelia abrió sus puertas en 1966 como el restaurante más grande de su tipo en cualquier parte del planeta. Las mesas comunales y el espacio de estacionamiento se extendieron por toda una cuadra de la ciudad para que hasta 1,000 personas pudieran comer helado cómodamente en cualquier momento. El regalo de Castro a su gente era conocido como la «Gran Catedral del Helado Socialista».

El menú original enumeró 26 sabores. Los habaneros pueden elegir elementos básicos como vainilla o chocolate o opciones más exóticas como el glaseado de piña, el coco con almendras y la guayaba.

Las líneas eran largas, pero, como dice el chiste, esperar en línea es un pasatiempo cubano. Se crearon amistades, se reunieron los futuros cónyuges y las relaciones terminaron, todo mientras se hacía cola en el Coppelia. Parecía que el sueño socialista moderno de Castro, donde todas las personas podían pagar una “ensalada” de helado de alta calidad (cinco cucharadas), se había realizado.

El colapso de la Unión Soviética en la década de 1990 cambió todo cuando miles de millones de dólares en subsidios anuales desaparecieron casi de la noche a la mañana.

Sin el excedente de efectivo, la leche escaseaba constantemente. Los trabajadores del gobierno improvisaron con ingredientes limitados dejando el helado sin sabor, quebradizo y rápido de derretir. La «Gran Catedral» ofrece hoy una experiencia decididamente diferente. El menú en la pared todavía tiene espacios para 26 sabores, pero rara vez sirven más que algunos de los elementos básicos. Las líneas siguen siendo largas, pero la recompensa es insípida.

«Uno espera en la cola por una hora o dos y para cuando llega allí, es posible que solo les quede fresa«, dijo el fotógrafo de La Habana Alain Guitzerman.

La crisis post-soviética ha visto quebrarse el idealismo revolucionario de Cuba, dejando espacio para que se arraigen los esfuerzos capitalistas. En 2010, el entonces presidente Raúl Castro comenzó a permitir que pequeños negocios privados, como restaurantes, cafeterías y heladerías, abrieran como una forma de reactivar la economía en decadencia del país.

«Siempre había lugares de helados a muy pequeña escala – familias con una pequeña máquina de helados que lo vendían en su porche delantero – pero la idea de una verdadera heladería, del sector privado, surgió recientemente«, explica el erudito de Cuba, Richard Feinberg.

Esta nueva política económica introdujo heladerías privatizadas completas con aire acondicionado, líneas cortas y sabores artesanales como mango, mojito y papaya.

Helad’oro en el casco antiguo de La Habana es un brillante ejemplo. Una mujer francesa y su esposo cubano abrieron la pequeña tienda en 2015. Los comensales pueden personalizar su experiencia de helados con gofres, aderezos, batidos, affogato (café vertido sobre el helado) y más de 30 sabores. Está muy lejos del cono de pastel de Coppelia versus el vaso de papel.

A pocas cuadras de distancia, entre galerías de arte y bares de mojitos cerca de la Plaza Vieja de La Habana, está el Mango Gelateria & Cafe. Junto con las opciones italianas tradicionales, como la stracciatella, están los sabores de frutas cubanas como el mamey y el zapote.

Toda esta optimización de lujo tiene un precio. Coppelia vende una cucharada por aproximadamente cinco centavos, por lo que es asequible para el cubano promedio que gana $ 30 por mes. Una cucharada en Helad’oro le costará $ 1, mientras que tres cucharadas en un cono de waffle cuestan $ 3.50, por lo que solo es asequible para el uno por ciento de Cuba, o para los turistas. Fidel no estaría feliz.

Para la creciente clase de emprendedores y el sector turístico, las heladerías privatizadas son un éxito. Y, como la competencia en general lo hace, están obligando al gobierno a intensificar su juego. Una actualización de Coppelia se llevará a cabo antes de la celebración número 500 de La Habana en noviembre, con medios estatales que sugieren que la calidad del helado mejorará. Sin embargo, es probable que, incluso con una nueva capa de pintura, el envejecimiento de la heladeria siga siendo un homenaje a una sociedad utópica que caducó desde hace rato.

Publicado originalmente en:

leer más
, , , , 1 comment
Isaul CarballarLa curiosa historia de la obsesión de Cuba por el helado
1.jpg

Si usas Zoom en tu computadora Mac, podrían estarte espiando

Diarleth G. 12 julio, 2019

El software de videoconferencia Zoom para Mac se ha visto afectado por una falla que podría permitir a los atacantes tomar el control de las cámaras web cuando los usuarios visitan un sitio web.

El experto en ciberseguridad Jonathan Leitschuh reveló el nivel de vulnerabilidad que existe dentro del software Zoom para computadoras Mac, un software para realizar video conferencias. Según Jonathan, esta falla de seguridad crítica podría desencadenar problemas muchos mayores en el futuro si no se corrige cuanto antes. De hecho, la falla podría usarse para controlar la cámara web de un usuario cuando visita cualquier página web.

Jonathan Leitschuh reveló el 26 de marzo de este año 2019 la falla al proveedor de manera responsable, pero la compañía no pudo resolver el problema, exponiendo a sus usuarios al riesgo de piratería.

“Una vulnerabilidad en Mac Zoom Client permite que cualquier sitio web malicioso habilite tu cámara sin tu permiso. La falla expone potencialmente hasta 750,000 compañías en todo el mundo que usan Zoom para realizar día a día toda clase de negocios”, afirma Leitschuh.

Zoom  es el líder en comunicaciones de video para empresas, de hecho, es una de las plataformas en la nube más populares y confiables para conferencias de video, audio, chat y seminarios web. Esta falla los pone en riesgo a todos por igual.

La falla aprovecha la función de hacer clic para unirse del software Zoom que permite activar automáticamente la aplicación instalada en el sistema para unirse a una reunión de video a través de tu navegador web con un simple clic en un enlace de invitación.

«En Mac, si alguna vez has instalado Zoom, verás que hay un servidor web en tu máquina local ejecutándose en el puerto 19421. Puedes confirmar que este servidor está presente ejecutando lsof -i: 19421 en tu terminal», explicó el experto.

«En primer lugar, permítanme comenzar diciendo que tener una aplicación instalada que ejecuta un servidor web en mi máquina local con una API totalmente no documentada se siente increíblemente incompleto para mí. En segundo lugar, el hecho de que cualquier sitio web que visite pueda interactuar con este servidor web que se ejecuta en mi máquina es una gran señal de alerta para mí como investigador de seguridad».

El experto creó una reunión personal con una cuenta diferente, analizó los parámetros utilizados en la solicitud GET utilizada para iniciar automáticamente una reunión de Zoom al hacer clic en el enlace de invitación.

“Al  configurar una reunión, descubrí que cualquier persona que se uniera a mi reunión tenía automáticamente su video conectado. Cuando regresé a mi máquina personal, probé esta misma funcionalidad y descubrí que funcionaba exactamente igual”, explicó Leitschuh.

El experto explicó que también se puede abusar de la falla para desencadenar una condición DoS enviando un gran número de solicitudes GET repetidas al servidor local.

«Zoom terminó parcheando esta vulnerabilidad, pero todo lo que hicieron fue evitar que el atacante encienda la cámara de video del usuario», dijo Jonathan. «No deshabilitaron la capacidad de un atacante para unirse a una llamada a cualquier persona que visite un sitio malicioso”. La falla afecta a la versión 4.4.4 de la aplicación Zoom para Mac.

Leitschuh también habló sobre la vulnerabilidad con los equipos de desarrollo de Chromium y Mozilla, pero estos explicaron que no pueden hacer nada porque el problema no reside en sus navegadores web. Para mitigar la falla, los usuarios pueden desactivar manualmente la configuración que permite que Zoom encienda automáticamente la cámara web al unirse a una reunión.

Actualización: Apple actualiza silenciosamente las Mac para eliminar la vulnerabilidad de la cámara web Zoom

Apple ha emitido una actualización silenciosa y automática de macOS que elimina el servidor web utilizado para agilizar el acceso a la aplicación de videoconferencia. La actualización no es completamente necesaria cuando Zoom ya ha emitido su propio parche, pero esto garantiza que las personas que ejecutan versiones anteriores de Zoom no serán vulnerables.

Se sabe que Apple ofrece actualizaciones silenciosas para bloquear malware. Sin embargo, esta es otra historia: la compañía está impulsando una actualización para solucionar un problema con un desarrollador superior que tiene más de cuatro millones de usuarios. Ni Apple ni Zoom querían arriesgarse, incluso si la amenaza práctica de alguien que utiliza el exploit es escasa.

leer más
, , , , , , 1 comment
Diarleth G.Si usas Zoom en tu computadora Mac, podrían estarte espiando
mobile_payment_transaction_money_transfer_thinkstock_847164462-100749266-large.jpg

La campaña automatizada de Magecart afecta a más de 960 tiendas en línea

Isaul Carballar 12 julio, 2019

Hoy en día, la empresa de investigación de seguridad Magento Sanguine Security descubrió una campaña de limpieza de tarjetas de pago a gran escala que rompió exitosamente 962 tiendas de comercio electrónico.

La campaña parece estar automatizada de acuerdo con el investigador de Sanguine Security, Willem de Groot, quien le dijo a BleepingComputer que el script de raspado (data skimming) de la tarjeta se agregó dentro de un plazo de 24 horas. «Sería casi imposible violar más de 960 tiendas manualmente en tan poco tiempo«, agregó.

Si bien Sanguine Security no comparte la información sobre cómo funcionarán los ataques automatizados de Magecart contra los sitios web de comercio electrónico, el procedimiento probablemente implicaría buscar y explotar fallas de seguridad en la plataforma de software de las tiendas.

«Aún no he recibido la confirmación, pero parece que a varias víctimas les faltaban parches contra las vulnerabilidades de inyección de objetos PHP», también dijo de Groot.

Si bien los detalles sobre cómo se violaron las tiendas en línea aún son escasos, dado que los registros aún se están analizando, el script de skimmer de datos de pago basado en JavaScript fue descifrado y cargado por la compañía de seguridad a GitHub Gist.

Como se muestra en su código fuente, los atacantes usaron el skimmer para recopilar la información de pago de los clientes de comercio electrónico en las tiendas violadas, incluidos los datos completos de la tarjeta de crédito, nombres, teléfonos y direcciones.

De todas las tiendas infectadas repartidas por todo el mundo, «la mayoría de las víctimas son pequeñas, pero hay una serie de tiendas empresariales entre ellas», como lo detalla De Groot.

Como el jefe de investigaciones de amenazas de RiskIQ, Yonathan Klijnsma, le dijo a BleepingComputer después de que se publicó esta historia, el grupo detrás de esta campaña es Magecart Group 7, un equipo que se sabe que ha utilizado «ataques automatizados para errores conocidos» en ataques anteriores.

Además, como se explica en el informe «Inside Magecart» de RiskIQ, el Grupo 7 «no tiene un modus operandi bien definido que no sea para comprometer cualquier sitio de comercio electrónico que pueda encontrar» y «no va para sitios web de primer nivel, pero no se aleja de los grandes sitios de nivel medio «

Además, al igual que en el caso de estos ataques, este grupo de Magecart «no usa servidores, agregando la etiqueta de script directamente en el sitio web, por lo que una víctima normalmente se encuentra con este skimmer como un pequeño fragmento de script en su sitio web».

Otro investigador de seguridad, Micham, descubrió otro ataque de Magecart, quien detectó la inyección de un skimmer malicioso en el sitio de The Guardian a través del antiguo depósito de AWS S3 y el uso de wix-cloud [.] Com como puerta de skimmer.

Jérôme Segura, de Malwarebytes, dijo ayer que esto era parte de una campaña de Magecart que abusa del CDN de Amazon CloudFront descubierto en junio , con «una serie de compromisos en Amazon CloudFront, una red de distribución de contenido (CDN), donde las bibliotecas de JavaScript alojadas fueron manipuladas e inyectadas. skimmers web. «

Los grupos de magecart están diversificando sus ataques.

Los grupos de Magecart están pirateando equipos que han estado activos desde alrededor de 2015 y representan una amenaza continua para lanzar ataques contra compañías internacionales como British Airways , Ticketmaster , OXO y Newegg , y negocios de menor tamaño como MyPillow y Amerisleep .

Las campañas de Magecart diseñadas para robar datos de tarjetas de pago de los clientes de las tiendas en línea están tan activas como siempre, y su actividad rara vez muestra mínimos.

Klijnsma también dijo en un informe que detallaba la expansión de la actividad de Magecart a las tiendas motorizadas de OSCommerce y OpenCart que «por cada ataque de Magecart que aparece en los titulares, detectamos miles más que no revelamos. Una parte considerable de estas infracciones menos conocidas implica una tercera parte«.

«Actualmente se están centrando en los datos de pago, pero ya estamos viendo movimientos para deslizar las credenciales de inicio de sesión y otra información confidencial. Esto amplía el alcance de las posibles víctimas de Magecart más allá del comercio electrónico solo«, explicó Klijnsma en una declaración/análisis en profundidad de una operación a gran escala contra las tiendas en línea OpenCart .

Como prueba adicional de esto, la firma de inteligencia sobre amenazas Group-IB encontró 2.440 tiendas comprometidas a principios de abril que se infectaron con analizadores de datos de pago por parte de varios grupos de Magecart.


A fines de abril, Segura también descubrió que cientos de tiendas Magento fueron inyectadas activamente con scripts de skimmer alojados en GitHub, mientras que los atacantes también infectaron la tienda en línea del equipo de baloncesto Atlanta Hawks de la NBA al ser descubierta por De Groot .

A principios de mayo, otro grupo de Magecart desarrolló un guión de skimmer Magecart polimorfo que ofrecía soporte para un número impresionante de 57 pasarelas de pago de todo el mundo que se pueden inyectar en casi cualquier página de compra de cualquier tienda en línea para raspar la tarjeta de crédito de los clientes e información personal sin necesidad de personalización.

También en mayo, TrendMicro descubrió que las páginas de pago de cientos de tiendas de campus impulsadas por PrismWeb de EE. UU. Y Canadá fueron violadas y comprometidas por un grupo de Magecart llamado Mirrorthief.

Artículo originalmente publicado en https://www.bleepingcomputer.com/news/security/automated-magecart-campaign-hits-over-960-breached-stores/

leer más
, , , No comments
Isaul CarballarLa campaña automatizada de Magecart afecta a más de 960 tiendas en línea
0.png

Otra empresa cae al descubierto negociando con hackers

Diarleth G. 11 julio, 2019

Los hackers suelen ser personas inescrupulosas que creen que pueden hacer lo que quieran por el internet sin recibir ningún tipo de repercusión. Desde luego que no todos son malos pero algunos realmente se pasan del límite causando daños millonarios. Daños que muchas veces suelen ser irreparables. Pero, ¿Y qué pasa cuando los hackers hacen más que solo infectarnos con un virus? Existen hackers que han creado códigos maliciosos capaces de secuestrar nuestros ordenadores con la intención de luego pagar rescata por su liberación. A estos virus se le llaman Ransomware y aquí  te hablaremos un poco de ellos pues la verdad es algo que está dando mucho de qué hablar sobre todo ahora que nuevamente otra empresa cae al descubierto negociando con hackers.

Otra empresa cae al descubierto negociando con hackers

Existen muchas maneras en las que un hacker puede hacer daño y una de estas formas es por medio de un ransomware. Pero, seguramente te preguntarás qué es un ransomware.

¿Qué es un ransomware? Un ransomware es un código malicioso (como la mayoría de los virus) que tiene como propósito principal bloquear nuestra computadora y darle al pirata informático la capacidad de ubicar el lugar en donde nos encontramos y encriptar nuestros archivos quitándonos por completo el control de nuestro ordenador y de todo lo que allí tenemos.

Pero todo esto obedece a un propósito mucho más macabro, y es que la idea del hacker no es solo bloquear tu computadora, sino secuestrártela con la intención de pedir un rescate para liberar ese bloqueo y que puedas acceder a toda tu información. Este rescate se suele cobrar con monedas virtuales como por ejemplo las bitcoins.

Pues bien, ante esto, el portal ProPublica ha informado sobre las acciones de dos empresas de los Estados Unidos que según aseguraban utilizar sus propios métodos de recuperación de datos para ayudar a las víctimas de ransomware a recuperar el acceso a los archivos infectados. Esto lo hacían negociando y pagando a los piratas informáticos el rescate que pedían.

Por otra parte, también existen nuevas pruebas de que una empresa del Reino Unido adopta un enfoque similar. Fabian Wosar, un investigador de seguridad cibernética, le dijo a ProPublica este mes que, acerca de una operación encubierta que llevó a cabo en abril de este año. Red Mosquito Data Recovery, con sede en Escocia, dijo que se estaban «haciendo pruebas» para desbloquear archivos mientras se negociaba un pago de rescate. Wosar, el jefe de investigación del proveedor de antivirus Emsisoft, afirmó que se hizo pasar por un pirata informático y al mismo tiempo por una víctima para que se pudieran revisar las comunicaciones de la compañía por ambos lados.

Sin embargo, Red Mosquito Data Recovery no hizo ningún esfuerzo por no pagar el rescate y, en cambio, fue directamente al autor del ransomware literalmente en solo cuestión de minutos, dijo Wosar. Siendo el problema de esta acción contribuir con los hackers que hacen funcionar los ransomware ya que caen directamente en su juego.

leer más
, , , , 1 comment
Diarleth G.Otra empresa cae al descubierto negociando con hackers
acastro_180608_1777_net_neutrality_0004.0.jpg

25 millones de teléfonos Android infectados con malware que «se esconde en WhatsApp»

Isaul Carballar 10 julio, 2019

Hasta 25 millones de teléfonos Android han sido atacados con malware que reemplaza aplicaciones instaladas como WhatsApp con versiones malvadas que muestran publicidad, advierten investigadores de ciberseguridad.

Apodado agente Smith, el malware abusa de las debilidades previamente conocidas en el sistema operativo Android, lo que hace que la actualización a la última versión del sistema operativo de Google sea una prioridad, dijo la compañía de seguridad israelí Check Point.

La mayoría de las víctimas tienen su base en la India, donde hasta 15 millones se infectaron. Pero hay más de 300,000 en los EE. UU., Con otros 137,000 en el Reino Unido, lo que hace que esta sea una de las amenazas más graves que afectó al sistema operativo de Google en tiempos recientes.

El malware se ha propagado a través de una tienda de aplicaciones de terceros 9apps[.]com, que es propiedad de Alibaba de China , en lugar de la tienda oficial de Google Play. Por lo general, tales ataques que no son de Google Play se centran en países en desarrollo, lo que hace que el éxito de los piratas informáticos en los Estados Unidos y el Reino Unido sea más notable, dijo Check Point.

Si bien las aplicaciones reemplazadas servirán anuncios maliciosos, quienquiera que esté detrás de los hackeos podría hacerlo peor, advirtió Check Point en un blog. «Debido a su capacidad para ocultar su ícono del lanzador y suplantar cualquier aplicación popular existente en un dispositivo, existen infinitas posibilidades para que este tipo de malware dañe el dispositivo de un usuario«, escribieron los investigadores.

Dijeron que habían advertido a Google y a las agencias pertinentes de aplicación de la ley. Google no había proporcionado comentarios al momento de la publicación.

Por lo general, el ataque funciona de la siguiente manera: los usuarios descargan una aplicación de la tienda: por lo general, aplicaciones de fotos, juegos o aplicaciones para adultos (una llamada llamada Kiss Game: Touch Her Heart se anuncia con una caricatura de un hombre que besa a una mujer con poca ropa). Esta aplicación luego instala el malware en silencio, disfrazada como una herramienta de actualización de Google legítima. No aparece ningún icono para esto en la pantalla, lo que lo hace aún más subrepticio. Las aplicaciones legítimas, desde WhatsApp hasta el navegador Opera y más, se reemplazan con una actualización maliciosa para que sirvan los anuncios maliciosos. Los investigadores dijeron que los anuncios en sí mismos no eran maliciosos per se. Pero en un esquema típico de fraude de anuncios, cada clic en un anuncio inyectado enviará dinero a los hackers, según un sistema típico de pago por clic.

Hay algunos indicios de que los atacantes están considerando mudarse a Google Play. Los investigadores de Check Point dijeron que habían encontrado 11 aplicaciones en la tienda de Google que contenían una parte «inactiva» del software de hackers. Google rápidamente bajó esas aplicaciones.

Check Point cree que una compañía china anónima con sede en Guangzhou ha estado creando el malware, mientras opera una empresa que ayuda a los desarrolladores chinos de Android a promover sus aplicaciones en plataformas en el extranjero.

Alibaba no había respondido a una solicitud de comentarios sobre la proliferación de malware en la plataforma 9apps en el momento de la publicación.

¿Qué puedes hacer?

Entonces, ¿qué pueden hacer los ansiosos propietarios de Android? El jefe de ciberanálisis y respuesta de Check Point, Aviran Hazum, dijo que si los usuarios experimentan anuncios que se muestran en momentos extraños, como cuando abren WhatsApp, deben actuar.

Primero, vaya a la configuración de Android, luego a la sección de aplicaciones y notificaciones. Luego, acceda a la lista de información de la aplicación y busque aplicaciones sospechosas con nombres como Google Updater, Google Installer for U, Google Powers y Google Installer. Haga clic en la aplicación sospechosa y elija desinstalarla.

De lo contrario, mantenerse alejado de las tiendas de aplicaciones no oficiales de Android podría ser útil, dadas las protecciones adicionales de Google diseñadas para evitar que el malware ingrese al sitio.

Publicado originalmente en:

leer más
, , , , , 2 comments
Isaul Carballar25 millones de teléfonos Android infectados con malware que «se esconde en WhatsApp»
2.jpg

British Airways fue multada por una suma millonaria por violación de datos

Diarleth G. 10 julio, 2019

La seguridad informática es una de las cosas que más afecta a las grandes compañías a nivel mundial. Cuando una compañía no se protege ante la más mínima amenaza, pueden ocurrir cosas malas, tan malas como la que le ocurrido recientemente a una de las líneas aéreas más prestigiosas del mundo. En el siguiente post te decimos por qué British Airways fue multada por una suma millonaria por violación de datos

La Oficina del Comisionado de Información de Gran Bretaña (ICO, por sus siglas en inglés) golpeó a British Airways con una multa récord de 183 millones de euros por no proteger la información personal de aproximadamente medio millón de sus clientes durante el sucedo de violación de seguridad ocurrido el año pasado.

British Airways, que se describe a sí misma como «la aerolínea favorita del mundo«, cometió una infracción el año pasado que expuso datos personales y números de tarjetas de crédito de hasta 380 mil clientes, una fuga de información que duró más de dos semanas.

En ese momento, la compañía confirmó que los clientes que reservaron vuelos en su sitio web oficial (ba.com) y la aplicación móvil de British Airways entre el 21 de agosto y el 5 de septiembre habían sido robados por los atacantes.

El ataque cibernético fue atribuido más tarde al grupo Magecart.actor, uno de los grupos de piratería más notorios, los cuales están especializados en robar datos de tarjetas de crédito de sitios web con poca seguridad, especialmente en las plataformas de comercio electrónico en línea.

Los hackers de Magecart han sido conocidos por usar un skimmer de tarjeta de crédito digital en el que insertan secretamente algunas líneas de código malicioso en la página de pago de un sitio web comprometido que captura los datos de pago de los clientes y luego los envía a un servidor remoto.

Por otro lado, cabe destacar que además de British Airways, los grupos de Magecart también han sido responsables de violaciones de tarjetas en sitios que pertenecen a compañías de alto perfil como TicketMaster, Newegg, así como a sitios pertenecientes a otros pequeños comerciantes en línea.

En un comunicado emitido recientemente ICO informó que su extensa investigación descubrió que una variedad de información relacionada con los clientes de British Airways se vio comprometida por «malos acuerdos de seguridad» en la compañía, incluidos sus nombres y direcciones, registros de entrada, datos de tarjetas de pago y detalles de reserva de viajes.

«Los datos personales de las personas son solo eso: personales. Cuando una organización no puede protegerlos de pérdidas, daños o robos, es más que un inconveniente. Es por eso que la ley es clara: cuando se te confían datos personales, debes cuidarlos. Aquellos que no lo hagan serán revisados ​​por mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad», dijo la comisionada de información Elizabeth Denham.

ICO también dijo que British Airways ha cooperado con su investigación y ha hecho mejoras a los acuerdos de seguridad desde que salió a la luz la violación de datos del año pasado. Desde que se produjo la violación de datos después de que la Regulación general de protección de datos (GDPR) de la UE entró en vigencia en mayo de 2018, se impuso una multa de 183 millones  de euros a British Airways, que es el equivalente al 1.5% del volumen de negocios mundial de la compañía para su cuenta financiera de 2017.

leer más
, , , , , , , , No comments
Diarleth G.British Airways fue multada por una suma millonaria por violación de datos
ransomware-is-back-featured.jpg

¿Quién está detrás del ransomware GandCrab?

Isaul Carballar 9 julio, 2019

Escrito originalmente por Brian Krebs.

Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.

Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.

En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware

«En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones«, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.

El mensaje continuó:

“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta».

Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.

El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.

El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.

La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.

Oneiilk2

No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.

En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como «oneiilk2» y «oneillk2» que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.

Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.

Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.

Hottabych

Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.

En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.

Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo «oneillk2».

Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.

Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – «Metall2» – en múltiples foros de ciberdelincuencia.

Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de «puntos de reputación» que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.

A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.

La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.

Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta «oneillk2» en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.

En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.

¿Mr. Prokopenko?

La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.

Una de esas cuentas fue registrada por un «Igor Kashkov» de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.

La cuenta de Kashkov usó la contraseña «hottabychk2», el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa «prokopenko_k2@bk.ru». Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.

La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre «Igor Prokopenko», quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.

También hay una cuenta de voz sobre IP de Skype vinculada a un «Igor» de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.

Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.

Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que «16061991» fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.

Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.

El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.

Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.

Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.

Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.

KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.

Esta es una transcripción de un post originalmente publicado en:

leer más
, , , , , , , , 1 comment
Isaul Carballar¿Quién está detrás del ransomware GandCrab?