Phishing

All posts tagged Phishing

malspam.png

Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa

La nueva generación de MalSpam, en lugar de una serie de archivos adjuntos maliciosos, contiene solamente una gran cantidad de enlaces que son los que te llevan directamente a los enlaces que te descargarán estos archivos. En el siguiente post te damos los detalles.

El MalSpam se adapta

Según la telemetría recopilada por la firma de ciberseguridad Proofpoint, la mayoría de los correos no deseados (MalSpam) enviados en la primera mitad del año contienen enlaces a archivos maliciosos, en lugar de archivos adjuntos.

Más precisamente, el 85% de todos los malspam enviados en el segundo trimestre de 2019 (abril, mayo y junio) contenían un enlace a una descarga de archivos maliciosos, en lugar del archivo malicioso real adjunto al correo electrónico.

Si la mayoría del contenido de malspam enviado en estos días aprovecha los enlaces maliciosos, esto significa que los operadores obtienen más clics e infecciones en comparación con la técnica clásica de adjuntar archivos a correos electrónicos.

«Si bien la razón del dominio continuo de las URL puede deberse a una variedad de factores, es probable que la mayoría de los usuarios finales hayan sido condicionados a sospechar de los archivos adjuntos en correos electrónicos no solicitados. Las URL, por otro lado, son cada vez más comunes en el correo electrónico comercial, ya que regularmente recibimos notificaciones de archivos compartidos y actualizaciones de colaboración por correo electrónico a medida que las organizaciones se trasladan a la nube«, dijo Proofpoint.

Los hallazgos de Proofpoint deberían tener repercusiones en todo el mercado de ciberseguridad. Las empresas que proporcionan capacitación contra el phishing deben ser las que tomen notas y adapten los cursos en consecuencia, centrándose en preparar a los empleados para esta tendencia reciente.

Sin embargo, la educación y capacitación de los empleados ayuda. Y es que un informe anterior de Proofpoint descubrió que el 99% de todos los ataques cibernéticos basados ​​en correo electrónico requieren interacción humana, es decir, que el objetivo abre archivos, hace clic en enlaces o realiza algún otro tipo de acción. Con un poco de capacitación, se puede enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques. Otros hallazgos del Informe de amenazas Proofpoint Q2 2019, publicado a principios de este mes, incluyen:

  • El 57% de todos los MalSpam usan suplantación de dominio.
  • El malware basado en botnet fue la carga útil de malware más popular enviada a través de campañas de MalSpam, representando el 37% de todos los correos electrónicos.
  • El malware de botnet fue seguido por troyanos bancarios (23%), InfoStealers (16%), cargadores de malware (8%), troyanos de acceso remoto (6%) y troyanos backdoor (5%).
  • Como en los últimos trimestres, el ransomware estuvo prácticamente ausente en el segundo trimestre.
  • Ursnif representó el 80% de todas las cargas útiles de troyanos bancarios enviados por correo electrónico. Fue seguido por URLZone, The Trick y Dridex.
  • El ranking de InfoStealer tenía a Pony al frente, seguido de AZORult, Loki Bot y Formbook.

¿Qué es el MalSpam?

Ejemplo de phishing email.
Los enlaces ofuscan o modifican su destino.

MalSpam, o spam malicioso, es un método muy popular y efectivo para enviar correos electrónicos en masa que contengan archivos infectados o enlaces que redirigen a los usuarios a sitios web que contienen éstos kits de explotación.

Referencia: https://www.zdnet.com/article/most-malspam-contains-a-malicious-url-these-days-not-file-attachments/

leer más
Diarleth G.Olvídate de los archivos adjuntos, la mayoría del malspam estos días contiene una URL maliciosa
YouTube-hacked-1.png

23 millones de YouTubers en peligro tras hackeo ‘masivo’

YouTubers de alto perfil han sido blanco de cibercriminales durante el fin de semana en lo que parece haber sido un ataque altamente coordinado y «masivo». La advertencia de seguridad fue hecha por Catalin Cimpanu, un reportero de ZDNet, que habló con un miembro de OGUsers, un foro de Internet con un historial de acceso comercial a cuentas hackeadas. Esto es lo que sabemos hasta ahora y lo que debes hacer para proteger tu propia cuenta de YouTube.

¿Qué cuentas de YouTube han sido hackeadas?

Según la investigación de ZDNet, muchas cuentas pertenecientes a conocidos YouTubers dentro de la comunidad automovilística han sido secuestradas. Sin embargo, parece que el ataque en sí se ha dirigido principalmente a «influencers» en muchos géneros de canales de YouTube. Entre los que acudieron a Twitter para quejarse de que sus cuentas de YouTube fueron hackeadas y se perdió el acceso a sus canales, se encontraban YouTubers que cubrían tecnología, música, juegos y Disney. Sin embargo, con más de 23 millones de canales de YouTube, cualquiera que cree contenido debería prestar atención a esta advertencia.

¿Cómo hackearon las cuentas de YouTube?

La investigación de Cimpanu apunta claramente hacia una campaña de phishing coordinada. Habiendo hablado con un miembro de un foro de Internet en el que se sabe que los secuestradores de cuentas en línea chatean, Cimpanu pudo determinar que probablemente se trataba de una campaña altamente dirigida, o «spear phishing«, en lugar de una operación de rociar y rezar. El miembro del foro le dijo a ZDNet que, como resultado, alguien había conseguido una «base de datos realmente buena» y que «estaban ganando mucho dinero«.

La metodología de ataque parecería ser nada fuera de lo común, la verdad sea dicha.

Los correos electrónicos se envían a las personas para que sean seleccionados desde la lista de influenciadores de YouTuber, atrayéndolos a una página de inicio de sesión falsa de Google. Esto se utiliza para recolectar sus credenciales de cuenta de Google que luego le dan acceso al atacante a las cuentas de YouTube. Luego se transfieren a un nuevo propietario y se cambia la URL personalizada. El propietario real de ese canal y aquellos que se suscriben a él se quedan pensando que la cuenta ha sido eliminada.

Según el informe de ZDNet, al menos algunas de las cuentas que fueron hackeadas con éxito habían estado utilizando autenticación de dos factores (2FA) para protección adicional. Esto sugiere que los atacantes estaban utilizando un kit de herramientas de proxy inverso, como el popular paquete de phishing Modlishka, para interceptar códigos 2FA enviados mediante SMS.

¿Cómo puedes proteger mejor tu cuenta de YouTube?

Me puse en contacto con James Houghton, CEO de la plataforma de capacitación de concientización de seguridad Phishing Tackle, quien dice que se trata de un «ataque extremadamente impresionante y coordinado, que potencialmente utiliza la intercepción basada en el hombre en el medio o el proxy inverso» para la captura en tiempo real de códigos de autenticación de dos factores. Todo esto suena muy sofisticado y de alta tecnología, pero «la vulnerabilidad aquí sigue siendo la humana«, dice Houghton, «este ataque se basa en un clic individual y después de un clic antes de verificar los conceptos básicos«. Houghton dice que el problema se debe principalmente a una «falta de conocimiento sobre qué buscar en un correo electrónico de phishing y, por el contrario, qué buscar en un correo electrónico legítimo«.

Estos correos electrónicos de phishing generalmente se construyen bien y «pueden parecer genuinos a primera vista, incluso para el ojo entrenado«, dice Jake Moore, especialista en ciberseguridad de ESET. «Señales reveladoras, como el enlace que se muestra en el cuerpo del correo electrónico o incluso cuestionar por qué lo han enviado en primer lugar, deberían ser suficientes para pausar sus acciones«, dice Moore.

Luego está la página de inicio de sesión de Google clonada en la que el enlace habría aterrizado. La URL de esta página reflejada no se «miró con suficiente vigilancia«, dice Houghton, ya que esto podría ofuscarse de alguna manera y no de la misma manera que la página original de la cuenta de Google. Solía ​​ser el caso de que la falta de un certificado HTTPS para un sitio, indicado por el candado verde o similar en la barra de direcciones del navegador, sería suficiente para hacer sonar las alarmas. Ese no es el caso ahora, y «la eliminación de la información de Validación Extendida (EV) en la barra de direcciones«, dice Houghton, hace que sea mucho más difícil de detectar. No, por supuesto, que un sitio con un certificado SSL sea una garantía de validez; solo significa que el propietario del sitio ha protegido el canal de comunicaciones entre el navegador y el sitio web, nada más.

A pesar de que 2FA aparentemente ha sido burlado por al menos algunos de estos ataques a la cuenta de YouTube; Jake Moore dice que aún es esencial que «todas las cuentas que poseas utilicen 2FA«. Sin embargo, esto debería «idealmente ser una aplicación de autenticación en lugar de un código enviado por SMS«, dice Moore

“No hemos visto evidencia de un aumento en los intentos de piratería durante el fin de semana. Nos tomamos muy en serio la seguridad de las cuentas y notificamos regularmente a los usuarios cuando detectamos actividades sospechosas. Alentamos a los usuarios a habilitar la autenticación de dos factores como parte de la verificación de seguridad de la cuenta de Google, lo que disminuye el riesgo de hackeo. Si un usuario tiene razones para creer que su cuenta se vio comprometida, puede notificar a nuestro equipo para asegurar la cuenta y recuperar el control. «

Un portavoz de YouTube.

Este artículo es una transcripción de: https://www.forbes.com/sites/daveywinder/2019/09/23/youtube-security-warning-issued-for-23-million-creators-as-massive-hack-attack-confirmed/#54ffe8926b4f

leer más
Editorial23 millones de YouTubers en peligro tras hackeo ‘masivo’
iPhone-hack.jpg

El mayor hackeo del iPhone de la historia

Hackear el iPhone ha sido considerado durante mucho tiempo una hazaña casi imposible, llevado a cabo por sofisticados estados nacionales solo contra objetivos de mayor valor. Pero un descubrimiento realizado por un grupo de investigadores de Google ha volcado esa idea sobre su cabeza.

Durante dos años por lo menos, alguien ha estado utilizando una rica colección de vulnerabilidades del iPhone de forma vasta y por demás convencional. Han logrado hackear indiscriminadamente miles de iPhones con solo lograr que visiten un sitio web.

El jueves por la noche, el equipo de investigación de seguridad del Project Zero de Google reveló una amplia campaña de piratería de iPhone. Un puñado de sitios web accesibles al público contenía cinco cadenas de exploits, herramientas que vinculan las vulnerabilidades de seguridad, permitiendo que un hacker penetre en cada capa de las protecciones digitales del iOS. Las raras e intrincadas cadenas de código explotaron un total de 14 fallas de seguridad, dirigidas a todo, desde el mecanismo de aislamiento «sandbox» del navegador hasta el núcleo del sistema operativo conocido como Core, finalmente obteniendo el control completo sobre el teléfono.

También se usaron cualquier cosa menos con moderación. Los investigadores de Google dicen que los sitios maliciosos fueron programados para evaluar los dispositivos que los cargaron y, de ser posible, comprometerlos con un poderoso malware de monitoreo. Casi todas las versiones de iOS 10 a iOS 12 eran potencialmente vulnerables. Los sitios estaban activos desde al menos 2017 y tenían miles de visitantes por semana.

«Esto es aterrador«, dice Thomas Reed, especialista en investigación de malware para Mac y dispositivos móviles en la firma de seguridad Malwarebytes. «Estamos acostumbrados a que las infecciones de iPhone sean ataques dirigidos por adversarios del tipo estado-nación. La idea de que alguien estaba infectando todos los iPhones que visitaron ciertos sitios web es escalofriante«.

Un nuevo paradigma

El ataque es notable no solo por su amplitud, sino por la profundidad de la información que podría obtener de un iPhone hackeado. Una vez instalado, podría monitorear los datos de ubicación en vivo, o usarse para tomar fotos, contactos e incluso contraseñas y otra información confidencial del llavero iOS.

Con un acceso tan profundo al sistema, los atacantes también podrían potencialmente leer o escuchar las comunicaciones enviadas a través de servicios de mensajes cifrados, como WhatsApp, iMessage o Signal. El malware no rompe el cifrado subyacente, pero estos programas aún descifran datos en los dispositivos del remitente y del receptor. Los atacantes pueden incluso haber tomado tokens de acceso que se pueden usar para iniciar sesión en servicios como redes sociales y cuentas de comunicación. Reed dice que los usuarios de iPhone víctimas probablemente no hubieran tenido indicios de que sus dispositivos estuvieran infectados.

Google no ha nombrado los sitios web que sirvieron como mecanismo de infección de «pozo de agua», ni ha compartido otros detalles sobre los atacantes o quiénes fueron sus víctimas. Google dice que alertó a Apple sobre sus vulnerabilidades día cero de iOS el 1 de febrero, y Apple las parchó en iOS 12.1.4, lanzado el 7 de febrero. Apple se negó a comentar sobre los hallazgos. Pero según la información que Project Zero ha compartido, la operación es casi seguramente el mayor incidente de piratería de iPhone conocido de todos los tiempos.

También representa un cambio profundo en la forma en que la comunidad de seguridad piensa acerca de los ataques de día cero raros y la economía del hacking «dirigido». La campaña debería disipar la noción, escribe el investigador de Google Project Zero, Ian Beer, de que cada víctima de hacking de iPhone es un «disidente de un millón de dólares«, un apodo dado al activista de derechos humanos de los EAU ahora encarcelado Ahmed Mansour en 2016 después de que su iPhone fue pirateado. Dado que se estimaba que una técnica de pirateo de iPhone en ese momento costaba $ 1 millón o más, hasta $ 2 millones hoy, según algunos precios publicados, los ataques contra disidentes como Mansour se consideraban caros, sigilosos y altamente focalizados como regla.

La campaña de hackeo de iPhone que Google descubrió anula esas suposiciones. Si una operación de hacking es lo suficientemente descarada como para poder hackear indiscriminadamente miles de teléfonos, el hackeo del iPhone no debería ser tan costoso, dice Cooper Quintin, un investigador de seguridad del Laboratorio de Amenazas de la Electronic Frontier Foundation.

«La sabiduría y las matemáticas prevalecientes han sido incorrectas«, dice Quintin, quien se enfoca en el hacking patrocinado por el estado que apunta a activistas y periodistas. «Hemos estado operando en este marco, que cuesta un millón de dólares piratear el iPhone del disidente. En realidad, cuesta mucho menos que eso por disidente si atacas a un grupo. Si tu objetivo es una clase entera de personas y estás dispuesto a hacer un ataque a un pozo de agua, el precio por disidente puede ser muy barato «.

No está claro quién podría estar detrás de la descarada campaña, pero tanto su sofisticación como su enfoque en el espionaje sugieren hackers patrocinados por el estado. Y Quintin argumenta que las tácticas de infección masiva de la campaña implican un gobierno que quiere vigilar a un gran grupo que podría auto-seleccionarse visitando un determinado sitio web. «Hay muchos grupos minoritarios como los uigures chinos, palestinos, personas en Siria, a cuyos respectivos gobiernos les gustaría espiarlos así«, dice Quintin. «Cualquiera de esos gobiernos estaría contento de sacar esta técnica, si llegaran a explotar cadenas de esta magnitud«.

La campaña lleva muchas de las características de una operación de vigilancia doméstica, dice Jake Williams, un ex pirata informático de la NSA y fundador de la firma de seguridad Rendition Infosec. Y el hecho de que persistió sin ser detectado durante dos años sugiere que puede haber estado contenido en un país extranjero, ya que este tipo de datos que viajan a un servidor lejano habría generado alarmas. «Después de dos años sin ser atrapado, no puedo entender que esto haya cruzado las fronteras nacionales«, dice.

Llamada de atención

Los piratas informáticos aún cometieron algunos errores extrañamente aficionados, señala Williams, lo que hace que sea aún más extraordinario que hayan operado tanto tiempo sin ser detectados. El spyware que los piratas informáticos instalaron con sus herramientas de día cero no utilizaba el cifrado HTTPS, lo que potencialmente permitía a otros piratas informáticos interceptar o alterar los datos que el spyware robó en tránsito. Y esos datos se desviaron a un servidor cuyas direcciones IP estaban codificadas en el malware, lo que hizo que fuera mucho más fácil ubicar los servidores del grupo y les resultó más difícil adaptar su infraestructura con el tiempo. (Google cuidadosamente dejó esas direcciones IP fuera de su informe).

Dada la falta de coincidencia entre el software espía crudo y las cadenas altamente sofisticadas de día cero utilizadas para plantarlo, Williams plantea la hipótesis de que los piratas informáticos pueden ser una agencia gubernamental que compró las explotaciones de día cero de un contratista, pero cuyos programadores sin experiencia codificaron el malware dejado atrás en el objetivo iPhones «Este es alguien con un montón de dinero y un oficio horrible, porque son relativamente jóvenes en este juego«, dice Williams.

Independientemente de quién esté detrás de esto, el pirateo masivo no detectado de miles de iPhones debería ser una llamada de atención a la industria de la seguridad, y particularmente a cualquiera que haya descartado el pirateo de iOS como un fenómeno atípico, que probablemente no afecte a alguien cuyos secretos no son Vale un millón de dólares. «Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico«, escribe Beer de Google. «Todo lo que los usuarios pueden hacer es ser conscientes del hecho de que la explotación masiva aún existe y comportarse en consecuencia; tratar sus dispositivos móviles como parte integral de sus vidas modernas, pero también como dispositivos que, cuando se ven comprometidos, pueden cargar todas sus acciones en una base de datos para potencialmente ser utilizado contra ellos «.

Publicado originalmente en:

leer más
Isaul CarballarEl mayor hackeo del iPhone de la historia
phishing-765x.jpg

Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU

Las estrategias de phishing siguen haciendo de las suyas. Esta vez, un grupo sospechoso de piratería patrocinado por el estado terrorista (estados que colaboran con el terrorismo: Corea del Norte, Irán, Sudán y Siria) intentó infiltrarse en empresas de servicios públicos estadounidenses en julio, según informaron los investigadores de Proofpoint Michael Raggi y Dennis Schwarz.

Entre el 19 y el 25 de julio, se enviaron correos electrónicos de phishing (estrategia de robo de identidad) a tres compañías estadounidenses responsables de proporcionar servicios públicos al público. El remitente de los correos se hacía pasar por una junta de licencias de ingeniería, el Consejo Nacional de Examinadores de Ingeniería y Topografía de EE. UU. El mensaje intentaba generar pánico, pues señalaba que la compañía que recibía el mensaje había reprobado un examen de seguridad emitido por este organismo.

Inducir el pánico es una técnica común de los correos de phishing. Si un objetivo está asustado, es más probable que siga las instrucciones de un correo electrónico de phishing sin pensarlo detenidamente.

El mensaje incluía un documento adjunto de Microsoft Word, llamado Result Notice.doc, que utilizaba macros incrustadas para generar código malicioso en un sistema receptor. Cuando los investigadores examinaron la IP descubrieron que se trataba de todo un grupo de dominios utilizados para suplantar a otras agencias de ingeniería y licencias eléctricas en los Estados Unidos. Aunque solo determinaron que el dominio original, nceess [.] Com, está activo en las campañas de phishing actuales. 

El malware que venía con los macros del archivo adjunto, se conoce como LookBack, y se inicia a través de GUP.exe y libcurl.dll. 

“LookBack es un troyano de acceso remoto (RAT), escrito en C ++, que puede ver datos del sistema, ejecutar shellcode, manipular, robar y eliminar archivos, tomar capturas de pantalla, eliminar procesos, mover y hacer clic con el mouse sin interacción del usuario, forzar una PC infectada para reiniciar a su antojo y eliminarse de una máquina”, reseña el medio ZDNet.

Pero LookBack puede hacer más, es capaz de crear un canal C2 y un proxy para filtrar y enviar información del sistema al servidor del atacante. 

De momento no se puede presumir que un grupo patrocinado por el estado busca interrumpir las utilidades y servicios públicos centrales. La evidencia es que el malware no se ha asociado activamente con ningún APT anteriormente y «no se identificaron superposiciones adicionales de infraestructura o código para sugerir una atribución a un adversario específico”, señalaron los investigadores.

Sin embargo las macros utilizadas proporcionan una pista de estas actividades fraudulentas, y son sorprendentemente similares al código utilizado en los ataques japoneses con campañas APT en 2018.

«Creemos que este puede ser el trabajo de un actor APT patrocinado por el estado basado en superposiciones con campañas históricas y macros utilizadas», dice Proofpoint. «La utilización de esta metodología de entrega distinta junto con el malware LookBack único resalta las continuas amenazas que representan los adversarios sofisticados para los sistemas de servicios públicos y los proveedores de infraestructura crítica».

leer más
Diarleth G.Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU
Malware.jpg

Campaña de Spam se dirige a las entidades colombianas con un ‘Proyecto RAT’ personalizado

Una campaña reciente que se dirige principalmente a instituciones financieras y organizaciones gubernamentales en Colombia. Se han utilizado herramientas de acceso remoto (RAT), junto a otros procedimientos e indicadores de compromiso (IoC). Esto, de acuerdo con las investigaciones de Jaromir Horejsi y Daniel Lunghi (Investigadores de ciber amenazas).

El grupo a cargo de la campaña utiliza YOPmail, un servicio de dirección de correo electrónico desechable, para su servidor de comando y control (C&C). La carga útil, escrita en Visual Basic 6, es una versión personalizada de una herramienta de acceso remoto llamada «Proyecto RAT». Así es como proceden estos atacantes:

Primero llega un correo electrónico enviado al objetivo. Los investigadores notaron que el atacante usaba servidores de correo abiertos o comprometidos en Sudamérica para facilitar las campañas. Asimismo, el atacante se conectó a los servidores comprometidos desde direcciones IP que estaban vinculadas a nombres de dominio dinámicos utilizados como C & C por las cargas útiles entregadas. Lo que probablemente revela que el atacante usa la misma infraestructura para enviar correos electrónicos y controlar a las víctimas.

El remitente del correo electrónico por lo general es falso, y los asuntos del correo incitaban a abrir un archivo RTF. Estos eran algunos de los temas de los correos.

  • «Hemos iniciado un proceso en su contra por violencia laboral».
  • «Se hará efectivo un embargo a su (s) cuenta (s) Bancarias».
  • «Almacenes Éxito te obsequia una tarjeta regalo virtual por valor de $ 500.000».

Lo que contenía el archivo RTF era el malware a través de un enlace para presuntamente dar solución o respuesta al enunciado del correo. Curiosamente, el enlace al malware utiliza el acortador de URL cort.as, que pertenece al diario El País.

Una vez que se hace clic en el enlace, se redirige al usuario a un intercambio de archivos, y el archivo que se recibe es un documento que contiene macros. Los documentos que analizaron los expertos estaban en formato MHTML con macros. El código de macro es un descargador simple, pero por otro lado también había archivos de Office en formato OLE. El diseño de los documentos ya ha sido analizado y acá tenemos unos ejemplos.

Todos los documentos, que aparecieron entre 2017 y 2019, solicitaron a los usuarios habilitar las macros. Las macros descargarán y ejecutarán un RAT. Todas estas RAT son malware estándar que puede comprarse por menos de US $ 100 o descargarse de varios repositorios de malware.

Los investigadores concluyeron que el malware utilizado estaba construido con Visual Basic, una versión antigua y limitada de Xpert RAT, y pudo ser una modificación personalizada de Xpert RAT o un malware con código fuente basado en Xpert RAT.

En ese sentido, se creó una versión personalizada de Proyecto RAT para afectar a Latinoamérica, empezando por Colombia. Colombia es, con mucho, el país más apuntado, con otros países sudamericanos agregados a la lista. Esto es consistente con el hecho de que este actor utiliza el idioma español en todos los documentos de phishing que se observaron en los correos. Pero los investigadores también marcaron en rojo otros territorios objetivos a los que apuntan los documentos de phishing. Estos incluyen EEUU, México, Venezuela, Ecuador, Perú, Bolivia, Argentina, Brasil, España, Australia y Turquía.

leer más
Diarleth G.Campaña de Spam se dirige a las entidades colombianas con un ‘Proyecto RAT’ personalizado
1-1.jpg

Prosperan las ventas de certificados SSL/TLS en la Dark Web

En los últimos años han surgido mercados prósperos en la dark web, uno de los más recientes es el de los certificados SSL/TLS en la Dark Web. En estos se venden los certificados como bienes individuales con una variedad de malware y otros servicios auxiliares.

Así lo afirma una investigación de Venafi, la Universidad de Surrey y el Grupo de Investigación de Ciberseguridad basada en la evidencia en la Escuela de Estudios de Políticas Andrew Young en la Universidad Estatal de Georgia. El informe fue presentado en la Conferencia RSA 2019 en San Francisco.

La investigación echó un vistazo a cinco mercados representativos en la dark web: Dream Market, Wall Street Market, BlockBooth, Nightmare Market y Galaxy3. Se descubrió que todos estos mercados están facilitando accesos para los ciberdelincuentes que desean falsificar sitios web, espiar el tráfico cifrado, realizar ataques de intermediarios y robar datos confidenciales.

Cuando los ciberatacantes pueden acceder a SSL/TLS legítimos, logran configurar phishing y otros sitios maliciosos que parecen inocuos para las medidas de seguridad. Así que ante el software de navegación segura pasan completamente desapercibidos.

¿Qué son los certificados SSL/TLS?

SSL (Secure Socket Layer) y TLS (Transport Layer Security) son dos protocolos criptográficos cuyos propósitos son proveer autenticación y cifrado de datos entre servidores, máquinas y aplicaciones (web, email, FTP, VoIP, VPN) que operan a través de una red.

Los investigadores se toparon con un problema de ciberseguridad enorme: encontraron certificados de validación ampliados con servicios para soportar sitios web maliciosos. Aparecían formulados con dominios de antigüedad indexados por Google, soporte postventa, servicios de diseño web e incluso integración con una variedad de procesadores de pago, incluidos Stripe, PayPal y Square. El informe declara:

«Los certificados SSL se mencionan en segundo lugar en la lista de servicios ofrecidos por este proveedor, junto con los ‘dominios antiguos’, es decir, los sitios web que se han registrado y están activos durante un largo período de tiempo, lo que hace que el sitio parezca más legítimo. Los certificados SSL, TLS y los dominios antiguos se utilizan para transmitir confianza a los visitantes del sitio web y los motores de búsqueda».

El análisis descubrió a por lo menos un proveedor clandestino llamado BlockBooth, encargado de emitir certificados de Autoridades de Certificación acreditadas junto con documentación falsificada de la compañía. Entregaba además los Números DUNS (Sistema patentado desarrollado y regulado por la empresa calificadora Dun & Bradstreet) que son números de identificación únicos de nueve dígitos que corresponden a la ubicación física de una empresa.

El paquete de productos hace que los atacantes tengan una imagen creíble y de confianza, que trabaja desde EEUU o Reino Unido con precios asequibles (US$2,000) en este tipo de mercados. «Este estudio encontró evidencia clara de la venta rampante de certificados TLS en Dark Net», concluyó Kevin Bocek, vicepresidente de seguridad e inteligencia de amenazas para Venafi. 

Un análisis de los resultados en dichos marketplaces arrojó los siguientes datos:

Por mucho la cantidad de resultados con las palabras ‘SSL’ y ‘TLS’ supera otros servicios relacionados con el cibercrimen.

“Los certificados TLS que actúan como identidades de máquinas confiables son claramente una parte clave de los kits de herramientas disponibles para los ciberdelincuentes, así como los bots, ransomware y spyware. «Hay mucha más investigación que hacer en esta área, pero todas las organizaciones deberían preocuparse de que los certificados utilizados para establecer y mantener la confianza y la privacidad en Internet se estén empaquetando y vendiendo como productos enlatados a los ciberdelincuentes».

Referencia:

https://www.helpnetsecurity.com/2019/03/06/ssl-tls-certificates-dark-web/

leer más
Diarleth G.Prosperan las ventas de certificados SSL/TLS en la Dark Web
Hackers-México.png

Cómo los hackers robaron US$20 millones a bancos mexicanos

Tras el intento de robo de $ 110 millones del banco comercial mexicano Bancomext que fracasó, una serie de ataques más pequeños pero aún más elaborados permitió a los hackers robar entre 300 y 400 millones de pesos, o aproximadamente entre $ 15 y $ 20 millones de dólares de bancos mexicanos. A menos de 24 horas de la caída del Sistema de Pagos Electrónicos Interbancarios de México, te explicamos el famoso robo de 2018.

Cómo los hackers robaron $300-$400 millones de pesos a bancos mexicanos

En la conferencia de seguridad RSA celebrada en San Francisco, el evaluador de penetración y asesor de seguridad Josu Loza, quien estuvo a cargo de la investigación del robo del pasado abril, dio detalles sobre cómo operaron los hackers para robar la suma de dinero que asciende a US$20 millones, tomados de los bancos mexicanos.

Presentación de Josu Loza:

A estas alturas aún no se ha podido esclarecer la afiliación de los hackers. Loza señala que si bien es un ataque que requirió meses o años de planificación, fueron habilitados una arquitectura de red poco segura dentro del sistema financiero mexicano y la supervisión de seguridad en SPEI, la plataforma nacional de transferencia de dinero de México dirigida por el banco central Banco de México (Banxico).

Agujeros en los sistemas de seguridad

Los hackers no necesitaron sistemas demasiado sofisticados para robar a los bancos mexicanos. Pudieron acceder desde la internet pública o lanzar ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, para obtener un punto de apoyo para sus ataques.

Muchas de estas redes no tienen un control de acceso sólido. Por eso, muchos atacantes pudieron sacar provecho de las credenciales de los empleados comprometidos. Y dado que las redes tampoco estaban bien segmentadas, es probable que los atacantes se valieran del acceso inicial para profundizar en las conexiones de los bancos a SPEI y, eventualmente, a los servidores de transacciones del sistema SPEI (equivalente al SWIFT), o incluso a su base de código subyacente.

Tampoco había una protección de datos de transacciones dentro de las redes bancarias internas sólida. Así que los atacantes podían rastrear y manipular esos datos. Loza también sugiere que la aplicación SPEI en sí tenía errores y carecía de controles de validación adecuados, así que el sistema no detectó las transacciones falsas.

Todos estos factores en conjunto, le dieron la delantera a los atacantes y una vez que estuvieron dentro de la red, se movieron rápidamente.

¿Cómo lo hicieron?

Los hackers explotarían fallas en los procesos de SPEI para validar las cuentas del remitente para iniciar una transferencia de dinero de una fuente inexistente como «Juan Pérez, Número de cuenta: 12345678». Luego, dirigirían los fondos fantasmas a una cuenta real, pero con un seudónimo de control y envío. Es decir, allí entraría en juego una llamada «mula de efectivo», para retirar el dinero antes de que el banco se diera cuenta de lo que había sucedido.

Las transacciones eran relativamente pequeñas, y dado que «SPEI envía y recibe millones y millones de pesos diariamente, esto habría sido un porcentaje muy pequeño de esa operación», dice Loza. Es probable, que el grupo de atacantes contara con cientos de mulas de efectivo.

Billetes de pesos mexicanos.
Mexican Pesos, bank notes, currency bills, money background

La Amenaza Fantasma

Banxico dijo en un comunicado publicado a fines de agosto que los ataques no eran un ataque directo a los sistemas centrales de Banxico, sino que estaban dirigidos a interconexiones que ya sea estaban pasadas por alto, o que en general eran débiles.

«El enfoque de los atacantes requería un profundo conocimiento de la infraestructura tecnológica y los procesos de las instituciones victimizadas, así como el acceso a ellas«. escribió Banxico. «El ataque no tenía la intención de hacer que el SPEI fuera inoperable o penetrar las defensas del Banco Central«.

El experto en seguridad mencionó además la serie de ataques cibernéticos que han impactado al sistema financiero Mexicano los últimos años.

Ciberataques recientes al sistema financiero Mexicano.

«Los mexicanos necesitan comenzar a trabajar juntos. Todas las instituciones necesitan cooperar más. El principal problema de la ciberseguridad es que no compartimos el conocimiento y la información ni hablamos sobre los ataques lo suficiente. La gente no quiere hacer públicos los detalles de los incidentes»

Josu Loza
leer más
Diarleth G.Cómo los hackers robaron US$20 millones a bancos mexicanos
instagram1.jpg_1619830263.jpg

Nueva campaña de phishing dirigida a usuarios de Instagram

Si eres usuario de Instagram esto te podría interesar. Como hemos mencionado con anterioridad, los ciber criminales no dejan de modificar o evolucionar sus formas de ataque. En esta ocasión, el vector de ataque es un email apócrifo que desata un ataque del tipo phishing diseñado para robarte las credenciales de acceso.

El ataque consiste en que recibes un email falso supuestamente de Instagram, donde se te advierte que has sido víctima de un hackeo, por lo que se sugiere cambies tus contraseñas a la brevedad. El correo va más o menos así: «los hackers piratearon tu cuenta. cambie los datos de acceso inmediatamente».

Una vez que haces click en cualquier link del correo, habrás sido víctima del hackeo y perderás tu cuenta de Instagram.

Como hemos aconsejado antes, tanto en este caso, como en casos similares, siempre, siempre, siempre que recibas un correo sospechosos de alguna institución respira lento y profundamente y tómatelo con calma. Lo más probable es que estás siendo objeto de una campaña de hacking automatizada, que no necesariamente te hará daño si eres cuidadoso.

En caso de que recibas un correo sospechoso, lo que tendrás que hacer es hacer caso omiso del correo, e ir directamente al sitio del cual recibiste la amenaza, y una vez ahí, asegúrate de que no haya nada malo. En la gran mayoría de los casos, cualquier situación irregular que alguna institución o sitio web detecta te lo notificará una vez que te hayas realizado.

Es decir, si recibes una alerta por el canal ‘A’, sobre el medio ‘Z’, deberás asegurarte por el canal ‘B’. Esto es, si recibes un email (canal A) sospechoso de Instagram (medio Z), deberás de verificarlo directo en el sitio oficial (canal B), sin hacer click en ningún intermediario.

Cómo mantenerse seguro y evitar sitios sospechosos

Mi consejo personal es que siempre que tengas dudas de cualquier sitio web, ve directo a Google y escribas el nombre del sitio que quieres visitar. Google hace un muy buen trabajo para identificar sitios hackeados o potencialmente peligrosos y aunque es probable, es casi imposible que te muestra un sitio hackeado sin advertirtelo antes.

Lo que deberás evitar cuando sospeches de un sitio al que quieras visitar, es hacer click en un email o escribir el nombre del sitio sin primero asegurarte que no está flaggeado como hackeado por Google. Nunca escribas directo en tu navegador el nombre de un sitio que no conozcas.

Hay muchos hackers maliciosos que compran dominios apócrifos o que se parecen a algo, conocido. Precisamente la estrategia está diseñada para captar a personas descuidadas que escriben el sitio directo en la barra de navegación. Lo anterior sólo lo deberías hacer en el caso de que conozcas el sitio, y estés 100 por cierto seguro que sabes lo que haces. Aunque en lo personal, te recomiendo nunca hacerlo ya que siempre hay un margen de error donde, como en el gif, puedes escribir una letra de más o de menos, y caer en una trampa.

En fin, por ahora te repito. No abras ni hagas click en correos sospechosos. Esa forma de ataque sigue siendo la más eficaz y extendida.

Si crees que esta artículo te sirvió, por favor compártelo.

leer más
Isaul CarballarNueva campaña de phishing dirigida a usuarios de Instagram

Historia del Hackeo de las Elecciones en EEUU (Parte 1)

La conexión Rusa. Cómo un error tipográfico ayudó a los hackers rusos a entrar al sistema de los EEUU

Bandera de EEUU pintada sobre pavimento rotoLos espías cibernéticos ya no son como los de hace unas décadas de sombrero negro y maletín, ellos ya están camuflado y navegan entre las redes, mientras el común de las personas son poco conocedores de esta guerra, y muchas de las pequeñas y medianas empresas duermen y no protegen su información con buenos programas de seguridad.

Estos ciber delincuentes atacan las 24 horas, son organizaciones del mal dispuestas a delinquir sin detenerse, tienen sus HACKERS más altamente calificados y preparados y hacen uso de todas sus macabras y perversas herramientas del mal.

Sus MALWARE, VIRUS, gusanos, troyanos, correo spam, y todo instrumento con el que puedan infiltrarse en los ordenadores y las redes sociales hasta llegar a la misma NUBE.

EL FBI, la CIA Y la NSA Agencia Nacional de Seguridad aún se encuentran investigando sobre posibles rumores de infiltraciones y hackeo en las elecciones presidenciales de los ESTADOS UNIDOS, donde mostraban que muy posiblemente la inteligencia rusa al mandato de su presidente Vladimir Putin entraron fraudulentamente a las redes y programas del proyecto de las elecciones y violaron la seguridad de estos programas alterando los resultados.

Su misión inicial era desacreditar a la candidata Hillary Clinton, irrumpir en su privacidad y divulgar aspectos de su vida íntima y secreta que pudieran favorecer a su opositor Donald Trump, quien al enterarse de estas declaraciones lanzo carcajadas y se mofo de las noticias que se están difundiendo, señalando y acusando directamente al gobierno de Barack Obama por no tener la protección y seguridad adecuada para este procesos de elecciones presidenciales.

Es así como estas investigaciones aún siguen en pie hasta descubrir si en efecto hubo BLACK HACKERS infiltrados en este proceso modificando, robando y alterando la información y por ende alterando los resultados a favor del electo presidente actual Donald Trump.

Esta es la crónica seriada del hackeo de las elecciones en los EEUU.

Cómo un error tipográfico ayudó a los hackers rusos a entrar

Septiembre 2015

John Podesta, Ex Jefe de Gabinete de la Casa Blanca

John Podesta, Ex Jefe de Gabinete de la Casa Blanca

Un error tipográfico, un clic y los hackers rusos habían ganado rienda suelta en el correo electrónico del hombre que dirige la campaña 2016 de Clinton.

La primera advertencia silenciosa de la operación rusa se produjo en septiembre de 2015, cuando un agente de la Oficina de Campo de Washington del FBI notificó al Comité Nacional Demócrata (DNC por sus siglas en inglés) que los piratas informáticos rusos habían comprometido al menos una computadora DNC.

De acuerdo con el DNC, el FBI siguió llamando al mismo servicio de asistencia técnica durante semanas, nunca contactó a los líderes del DNC y nunca realizó el viaje corto en persona a la sede del DNC.

Aún así, los ejecutivos de DNC afirman que no se les informó de la amenaza, lo que dejó a los rusos vagando libremente dentro de las computadoras de los demócratas durante meses.

Para la primavera de 2016, solo unos meses antes de las elecciones en los Estados Unidos, Rusia había violado con éxito dos sistemas informáticos del Partido Demócrata: el de la campaña de Clinton y el Comité Nacional Demócrata.

«Además de eso», agregó Hultquist, «hay muchos artefactos en idioma ruso», es decir, un código de computadora escrito en el alfabeto cirílico o ruso.

Guccifer 2.0 lanzó lotes de material no solo del Comité Nacional Demócrata, sino también de la campaña de Clinton y del Comité de Campaña del Congreso Demócrata.

El 7 de octubre, las agencias de inteligencia de EE. UU. Nombraron públicamente y avergonzaron a Rusia en un comunicado, diciendo: «La comunidad de inteligencia de EE. UU. Confía en que el gobierno ruso dirigió los compromisos recientes de correos electrónicos de personas e instituciones de EE. UU.» Después del día de las elecciones, con una creciente urgencia, el gobierno de Obama tomó represalias, cerrando los complejos rusos en los Estados Unidos que se cree que se utilizan para espiar y expulsar a unos 35 diplomáticos rusos e imponer más sanciones a Rusia.

En secreto, Obama consideró tomar medidas más agresivas, incluido el inicio de un plan de la Agencia de Seguridad Nacional para colocar las armas cibernéticas dentro de los sistemas rusos críticos para una posible activación si Rusia atacara nuevamente, como informó por primera vez el Washington Post.

Noviembre 2015

El FBI se acerca al DNC nuevamente, advirtiéndoles que una de sus computadoras está transmitiendo información a Rusia. La gerencia de DNC luego dice que los técnicos de TI no transmitieron el mensaje de que el sistema había sido violado.

Marzo 2016

El presidente de la campaña de Clinton, John Podesta, recibe un correo electrónico de phishing enmascarado como una alerta de Google de que otro usuario había intentado acceder a su cuenta. Contiene un enlace a una página donde Podesta puede cambiar su contraseña. Él comparte el correo electrónico con un empleado de la mesa de ayuda de la campaña. El empleado responde con un error tipográfico: en lugar de escribir «Este es un correo electrónico ilegítimo», el tipo de empleado «Este es un correo electrónico legítimo». Podesta sigue las instrucciones y escribe una nueva contraseña, lo que permite a los piratas informáticos acceder a sus correos electrónicos.

Junio 2016

Durante una entrevista en la televisión británica, el fundador de WikiLeaks, Julian Assange, dice que el sitio web ha obtenido y publicará un lote de correos electrónicos de Clinton.

 

Hackeo de las Elecciones en los EEUU

La historia de cómo fueron hackeadas las elecciones en los EEUU, y de cómo el pilar de la democracia recibió una prueba de su propio chocolate.
#Título
1La conexión Rusa. Cómo un error tipográfico ayudó a los hackers rusos a entrar al sistema de los EEUU
2Cómo los hackers del gobierno ruso penetraron el DNC y robaron investigaciones de la oposición en Trump

 

Referencias adicionales:

cnn.com

leer más
EditorialHistoria del Hackeo de las Elecciones en EEUU (Parte 1)

Hackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica

Hackers Rusos están de regreso y con nuevas prioridades

Oso grizzly con máscara de AnnonymousAPT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).

El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.

Breve Historia de APT28

APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.

Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.

Fancy Bear contraataca

Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.

Algunos de los objetivos del grupo APT28 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?

APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Vínculos con otros grupos

Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.

El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.

Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.

«Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.» Indica el reporte

Sin Motivos Para Detenerse

Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.

«Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes«, afirmó Symantec en su sitio.

La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.

 

Crédito de la imagen de portada: NYMag
leer más
Isaul CarballarHackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica