La campaña de chantaje que pretende ser WannaCry es realmente solo WannaSpam

Según como comenta el sitio BleepingComputer ,una nueva campaña de SPAM  ha sido detectada por varios usuarios, en donde un grupo que se hace llamar WannaCry-Hack-Team, indica que ha vuelto el famoso ransomware WannaCry, y que la computadora de quien abre el correo ya está infectada. El correo solicita un pago en bitcoin para que la información del usuario no sea eliminada, pero en realidad... el computador de la victima no tiene un virus y no existe ninguna infección al respecto, lo único que debe de hacer el usuario es tomar el correo y eliminarlo.

Aparentemente esta campaña apareció el día de ayer 21 de Junio del 2018, y donde fue informado por primera vez, fue en la red social Reddit, donde alguien indicó que el correo es real. Los correos vienen en ingles y todos vienen con un asunto diferente como: !!!Attantion WannaCry!!!", !!!WannaCry-Team Attantion!!!", "Attantion WannaCry", "WannaCry Attantion!", o "WannaCry-Team Attantion!!!"

Los ciber-delincuentes indicaron las siguientes carteras para los depósitos del bitcoin:  1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg, 16Tq8gaad5FJ3c6mrC86e1pmqQ666dYSvv, 13AEiPcnqHRRwbJRUsPLbcgX3roTTPGSMu, 15TxgGK5AMvdeupbcKbk3g36zctnS9ThnU, y 1FXZ9yoagBMnnrkZscQzKnC2hkgX5uDgUR. Pero por suerte nadie a caido en su estafa.

Si recibes un correo indicando que estas infectado con WannaCry solo elimina el correo y ten un buen dia!

Leer más

Miles de App móviles en riesgo de exposición de datos altamente sensibles.

Investigadores de seguridad de dispositivos móviles, han descubierto bases de datos Firebase de miles de aplicaciones móviles de iOS y Android que exponen mas de 100 millones de registros incluyendo contraseñas en texto plano, identificadores de usuarios, ubicaciones  y en algunos casos, registros financieros como transacciones bancarias y de criptomonedas.

El servicio Firebase de Google es una de las plataformas de desarrollo back-end más populares para aplicaciones móviles y web que ofrece a los desarrolladores una base de datos en la nube que almacena datos en formato JSON y los sincroniza en tiempo real con todos los clientes conectados.

Los investigadores de Seguridad de la firma Appthority han descubierto en varios desarrollos de software que la conexión a la base de datos está desprotegida dejando a cientos de Gigabytes de información de clientes expuesta a cualquiera que quiera acceder a ella.

Para encontrar esta falla los investigadores revisaron mas de 2.7 millones de aplicaciones y encontraron mas de 3000 App donde 2446 eran Android y 600 eran IOS, donde se filtraban cerca de 2.300 bases de datos con mas de 100 millones de registros.

Los investigadores entregaron un análisis resumido del problema:

• 2.6 millones de contraseñas en texto plano
• 4 millones de registros médicos con chat de prescripciones médicas.
• 25 millones de registros GPS
• 50.000 registros financieros en la cual se incluyen pagos via transerencias bancarias como bitcoin
• 4.5 millones de datos corporativos de Facebook, Linkedin, Firebase

Todo esto está sucediendo en primer lugar porque el servicio Google Firebase no protege los datos del usuario de forma predeterminada, lo que requiere que los desarrolladores implementen explícitamente la autenticación del usuario en todas las filas y tablas de la base de datos para proteger sus bases de datos del acceso no autorizado.

Leer más

Wavethrough: Desarrolladores de Google descubren falla crítica en los navegadores web modernos.

Investigadores de Google descubren una vulnerabilidad severa en los navegadores web modernos que podría permitir a algunos sitios web robar información sensible de tus cuentas en linea desde otras páginas web en las cuales tengas logeada alguna cuenta en el mismo navegador

Descubierta por Jake Archibald, la vulnerabilidad apodada como WaveThrough reside en la manera en que los navegadores manejan los requerimientos de Audio y video cuando esta viene de sitios diferentes a la del origen, la cual si es explotada, podría permitir a un atacante lograr leer el contenido de las cuentas que estén durante el momento del ataque logueadas en el navegador, como lo puede ser Gmail o Facebook.

Por razones de seguridad, los navegadores web modernos no permiten que los sitios web realicen solicitudes de origen cruzado (Cross-origin) a un dominio diferente a menos que cualquier dominio lo permita explícitamente.

Esto significa que, si visita un sitio web en su navegador, solo puede solicitar datos del mismo origen desde el que se cargó el sitio, evitando que realice una solicitud no autorizada en su nombre en un intento de robar sus datos de otros sitios.

Sin embargo los navegadores no responden de la misma manera, cuando el sitio web llama contenido multimedia que estén hosteados en otros orígenes, haciendo que estos carguen sin restricción.

Jack subió un video a Youtube donde se explica como funciona la falla:

"Los errores comenzaron cuando los exploradores implementaron solicitudes de rango para elementos multimedia, que no estaban cubiertos por el estándar. Estas solicitudes de rango eran realmente útiles, por lo que todos los navegadores lo hicieron copiando el comportamiento de los demás, pero nadie lo integró en el estándar", explicó Archibald .

Según Archibald, este falla puede ser explotada por un sitio web malicioso utilizando un archivo multimedia incrustado en su página web, que si se reproduce, solo sirve contenido parcial de su propio servidor y le pide al navegador que busque el resto del archivo desde un origen diferente, forzando el navegador para hacer una solicitud de origen cruzado.

Navegadores como Chrome y Safari rechazan tales solicitudes de origen cruzado. En el caso de Firefox y Edge la vulnerabilidad ya fue reparada con un parche disponible en la última actualización, luego de que Archibald informara a las empresas acerca de su hallazgo. Por lo tanto, si eres usuario de Mozilla Firefox o Microsoft Edge, asegúrate de actualizar tu navegador e instalar la última versión.

Referencia: https://thehackernews.com/2018/06/browser-cross-origin-vulnerability.html

Leer más

Flighradar24: Popular aplicación de registro de vuelos sufre gigantesca fuga de información.

La herramienta de visualización de vuelos en tiempo real, Flightradar24, ha sufrido una gran fuga de información que afecta a mas de 230.000 clientes. La fuga de información consistió en la filtración de cuentas de correos y passwords encriptadas.

Sin revelar de manera publica esta fuga de información, FlighRadar24 inició una campaña de correo en la cual solicitó a sus usuarios realizar la restauración de sus credenciales a comienzos de semana.

Que la información solo haya sido distribuida por medio de correo electrónico, hizo pensar a los usuarios que este correo electrónico era una campaña de phishing para poder estafar a sus usuarios. Claramente si ves un correo electrónico en el cual hablan de una brecha en la seguridad de la compañía, y ves un link que te solicita realizar cambios en tu cuenta, claramente vas a pensar de que se trata de una campaña de phishing, y no que realmente es la compañía que esta solicitando dicha acción.

Finalmente por todas las consultas que hicieron los usuarios de RadarTrack24 por medio de redes sociales, la empresa tuvo que informar por medio de su cuenta de twitter que el correo electrónico enviado a sus usuarios finalmente era legitimo

Hello, it is legitimate. We have already invalidated your old password and the link in the email will allow you to create a new password. We apologize for any inconvenience this may cause.

— Flightradar24 (@flightradar24) 18 de junio de 2018

La empresa informó que apenas detectaron la intrusión a sus servidores, procedieron con el apagado de estos para evitar que existiera mas fuga de información. La empresa también informo que la fuga de información solo corresponde a contraseñas que están protegidas por algoritmos de hash.

Para proteger las cuentas de sus clientes, en caso de que los hackers logren descifrar algunas contraseñas de la lista, Flightradar24 ya ha caducado las contraseñas anteriores para el usuario afectado, lo que las obliga a establecer una nueva contraseña antes de acceder a sus cuentas.

Leer más

OpenBSD deshabilita el soporte a Hyper-Threading para prevenir ataques Spectre

Foto: http://thehackernews.com

Por el año 2002 fue implementado por los procesadores Intel, la característica de Hyper-Threading la cual permite la ejecución simultanea multi-thread por parte del procesador, lo que le da capacidad al Sistema operativo de usar un núcleo virtual para poder mejorar el rendimiento del procesador.

La función Hyper-threading viene habilitada en las computadoras por defecto para aumentar el rendimiento, pero en una publicación detallada publicada el martes, el soporte de OpenBSD, Mark Kettenis, dijo que tales implementaciones de procesador podrían conducir a ataques de tiempo estilo Spectre.

Las implementaciones de SMT (Simultaneous multithreading) tipicamente comparten el cache de L1 y TLBS entre hilos, esto puede permitir que los ataques de timing en los procesadores sean mas sencillos de ejecutar. El investigador cree que esta característica podría hacer que las vulnerabilidades de Spectre sean explotables.

Así que para prevenir a los usuarios de sufrir este tipo de ataques u otros ataques futuros que tengan relación con Spectre, que los mantenedores de OpenBSD deshabilitaron esta opción de manera predeterminada en el sistema operativo.

Y que ocurre con el rendimiento?

Claramente se puede pensar que al deshabilitar esta opción el rendimiento del procesador podría disminuir, pero los mantenedores no creen que esto sea así.

Mattenis cree que al apagar esta funcionalidad no se verá afectado el rendimiento negativamente, al decir que dejarlo habilitado en realidad podría ralentizar la mayoría de las cargas de trabajo de cómputo en CPU con más de dos núcleos físicos.

Leer más

Spammer encontraron una manera de evadir la protección de Office 365

Investigadores de seguridad detectaron una manera bastante simple en la cual CiberCriminales y estafadores están evadiendo los mecanismos de detección de phishing en la gran mayoría de los servicios de correos mas utilizadas en la web.

La técnica apodada como ZeroFont, consiste en insertar palabras ocultas con un tamaño de letra cero dentro del contenido real de un correo phishing, manteniendo su aspecto visual igual, pero al mismo tiempo, haciéndolo no malicioso a los ojos de los escáneres de seguridad de correo electrónico.

De acuerdo a la compañía de Seguridad de Avanan Office 365 falla a la hora de detectaro correos que utilicen esta técnica

El phishing usan la ingeniería social y el fraude para convencer a sus victimas a hacer clic en un link, y en ese link entregar la mayor cantidad de información necesaria para lograr estafar a alguien. Un ejemplo de esto seria un correo donde informen de un error en una cuenta corriente, y en el link que entregan te dicen que coloques tu nombre de usuario y contraseña, cosa de acceder a tu información persona.

Particularmente Office utiliza un método de revisión de lenguaje natural para determinar si un correo es malicioso o no, como por ejemplo si un correo tiene como firma "© 2018 Apple Corporation. All rights reserved" y este no viene de un dominio perteneciente a Apple, este detectará el correo como no deseado. Por tanto seria posible engañar al mecanismo de detección al utilizar caracteres en tamaño cero, para que el usuario final no se percate del mensaje original, y si vea uno falso como se ejemplifica en la animación anterior.

Ejemplo

El siguiente mensaje sería el que el anti-spam veria en un analisis

Esto es lo que vería el usuario al final

Leer más

Unión Europea califica como “malicioso” el software de Kaspersky Lab

La retórica anti-Kaspersky Lab continúa en Europa, con el Parlamento Europeo aprobando una moción que califica al software de la firma anti-virus con sede en Moscú “confirmado como malicioso”.

En respuesta, Kaspersky Lab dice que ha suspendido todo trabajo con instituciones europeas, incluida Europol, la agencia de inteligencia policial de la Unión Europea, hasta que reciba una aclaración del Parlamento Europeo. La compañía también detuvo su trabajo con el proyecto No More Ransom, que proporciona herramientas de descifrado gratuitas para las víctimas del ransomware, informa el Instituto Internacional de Seguridad Cibernética.

El miércoles, los miembros del Parlamento Europeo votaron 476 a 151 para aprobar una moción de defensa cibernética no vinculante que busca mejorar la capacidad de Europa para defenderse de los ataques informáticos, contratar más expertos en seguridad informática y mejorar la forma en la que se comparte la información.

En la moción también destaca Kaspersky Lab. Una enmienda añadida por la eurodiputada polaca Anna Elzbieta Fotyga pide a la UE “realizar una revisión exhaustiva del software, las tecnologías de la información y el equipo de comunicaciones y la infraestructura utilizada en las instituciones europeas para excluir programas y dispositivos potencialmente peligrosos, y  prohibir los que ha sido confirmados como maliciosos, como Kaspersky Lab”.

No está claro a qué evidencia, si es que hay alguna, podrían estar refiriéndose los eurodiputados. Ni Fotyga ni el principal promotor del movimiento, el eurodiputado estonio Urmas Paet, pudieron ser contactados para hacer comentarios.

La moción del Parlamento Europeo llega a pesar de que Kaspersky Lab sostiene que no tiene vínculos con gobierno alguno, y que no ha colaborado, y no lo hará jamás, con ningún gobierno en labores de ciberespionaje.

Eugene Kaspersky, CEO de la compañía, sostiene a través de un comunicado que “la decisión del Parlamento Europeo alienta los crímenes informáticos en Europa y no contribuye al establecimiento de un mercado digital abierto y seguro, sino que lo vuelve más fragmentado y menos competitivo.

En un intento por combatir las acusaciones de haber recibido sobornos del gobierno ruso, Kaspersky Lab anunció que estará trasladando muchas de sus operaciones a Zurich, donde estarán abriendo su primer “centro de transparencia”, añadiendo que para 2020 estarán ampliando este proyecto hacia Norteamérica y Asia.

Fuente: http://noticiasseguridad.com/malware-virus/union-europea-califica-como-malicioso-el-software-de-kaspersky-lab/
 

Leer más

Los Hackers que atacaron los Juegos Olímpicos de Invierno 2018, vuelven al Juego

El mismo grupo que realizo el ataque a los Juegos Olímpicos de Inviernos de este año, que se celebraron en Pyeongchang, ahora fueron sorprendidos realizando ataques a laboratorios de prevención de amenazas biológicas y químicas en Europa y Ucrania, y a instituciones financieras en Rusia.

A comienzos de año, un grupo desconocido de hackers se enfocaron en los Juegos Olímpicos de Invierno al cual lazaron un ataque altamente destructivo, al cual llamaron "Olympic Destroyer". Desafortunadamente, el malware alcanzo a realizar cierto daño, pero investigadores de seguridad lograron detenerlo, y estos atribuyeron el ataque a grupos de Hacking Estatales de Corea del Norte, Rusia y China.

De acuerdo a un nuevo reporte publicado por Kaspersky  este grupo ha estado en operación al detectarse ataques contra organizaciones con base en Rusia, Ucrania y algunos países de Europa en mayo y Junio del 2018. Ya mayoría de estas corresponderían a laboratorios de prevención de amenazas tanto químicas como biológicas.

Durante el proceso de investigación, se detectaron las mismas tácticas de explotación y engaño que fueron utilizadas durante el ataque "Olympic Destroyer" en el pasado.

"Entre mayo y junio del 2018 descubrimos nuevos documentos utilizados para phishing que son muy similares a los documentos utilizados para realizar los ataques por Olimpic Destroyer en el pasado"

Si la victima apertura el archivo, este descarga una macro y ejecuta múltiples PowerShell Script en segundo plano, e instala malware de terceras partes para poder tomar control sobre los sistemas de las victimas.

Otro antecedente fue que el software que se utilizó para ofuscar el código, fue el mismo que se utilizó durante el ataque a los juegos olímpicos pasados.

Reporte de Kaspersky: https://securelist.com/olympic-destroyer-is-still-alive/86169/

Leer más

Formalizan a ex-empleado de la CIA por filtrar herramientas de Hacking a Wikileaks

Con 29 años de edad, fue formalizado el ex programador de la CIA, quien ya había tenido ya cargos por almacenamiento de pornografía infantil, ahora es acusado de ser quien realizo la mayor fuga de información que ha tenido la agencia en su historia.

Joshua Adam Schulte, quien apoyo a la NSA y a la CIA en la creación de malware para estas instituciones, ahora es acusado por el Departamento de Justicia de los Estados Unidos por 13 cargos de Robo y transmisión de información clasificada de cientos de documentos de la CIA, proyectos de software y herramientas de Hacking.

Schulte, también es sospechozo de filtrar documentación e información clasificada al portal Wikileaks desde marzo del año 2017 bajo el nombre de "Vault 7".

Todavía no se ha confirmado si Schulte filtró documentos a WikiLeaks, pero si es sospechoso de haber robado información clasificada de la Defensa Nacional desde la CIA en el año 2016

Según la acusación formal, después de robar los documentos clasificados, Schulte intentó tapar sus huellas alterando una computadora operada por la Agencia de Inteligencia de los EE. UU. Para otorgarle acceso no autorizado al sistema en marzo y junio de 2016 y luego borrar registros de sus actividades y negar otros tienen acceso al sistema.

En marzo de 2017, durante el cual WikiLeaks comenzó a lanzar algunas de las herramientas de piratería de la CIA, los agentes del FBI registraron el apartamento de Schulte como parte de una investigación en curso para encontrar al cerebro detrás de las filtraciones de la Vault7.

Schulte fue arrestado en Agosto del 2017, por posesión de pornografia infantil, pero los fiscales no pudieron presentarle cargos por filtración de información hasta ahora.

Hasta ahora, la filtración ocurrida en marzo del 2017 fue la mas grande que ha tenido la agencia en su historia, y lo que mas llamo la atención en alquien minuto, fue la cantidad de herramientas y documentos clasificados de hacking que tenia la CIA en su poder. 

Leer más

El emulador Andy OS de Android acusada de realizar minería de CriptoMonedas.

Varios usuarios en Internet están consternados con la noticia de que hubieron reportes en el que detectaron un Troyano de Minería de Criptomonedas que usaba la GPU, como motor en el popular emulador de Android Andy OS.

En la red social Reddit el usuario TopWire, informo que cuando procedió con la instalación de la aplicación, se instaló un troyano de minería de criptomonedas sin el consentimiento del usuario. Este troyano fue instalado en C:\Program Files(x86)\Updater\updater.exe el cual comienzo a utilizar el procesador de la GPU. El usuario también posteo un video en Youtube en el cual mostró el comportamiento.

"Cuando yo descargue y probé el ejecutable Andy, automáticamente vi algo que llamo mi atención. Este estaba usando un adware en su instalación, y se sabe que a veces realizan instalaciones de mineros en las computadoras sin  su permiso" se lee en Bleeping Computer.

De acuerdo a Virus Total, el instalación de Andy esta siendo detectado como una Variante de InstallCore, el cual es conocido como un instalador de adware que le presenta a usuarios la instalación de otras aplicaciones gratis. Estos instaladores permiten a los desarrolladores de software libre, como Andy, generar ingresos cada vez que alguien instala su programa.

Particularmente esta aplicación, ofrece instalar aplicaciones, como Avast, Search Manager Chrome Extension, y WinZip, y aunque no instalen ninguna de estas aplicaciones, "magicamente" aparece una aplicación instalada en C:\Program Files (x86)\Updater\updater.exe, pero cuando se ejecuta aparece un error como este:

El error ocurre por que la aplicación esta corriendo sobre una máquina virtual, y esta no iene una tarjeta de video dedicado.

Descripción de la aplicación

Al probar el instalador de Andy utilizando un sandbox cualquiera, se puede ver que se ejecuta un archivo llamado GoogleUpdate.exe. Cuando se ejecuta con la línea de comando "GoogleUpdate.exe / svc", inicia otro programa llamado UpdaterSetup.exe, que instala el programa Updater.exe y lo configura para que se inicie automáticamente cuando inicie sesión en Windows.

Este programa GoogleUpdate.exe tiene una descripción de "Actualización de AndyOS", que indica que es parte de Andy. Por qué se llama GoogleUpdate no se conoce, pero siento que es extraño.

Les dejo el video donde el usuario de Reddit hace la prueba de instalación

Leer más