Spammer encontraron una manera de evadir la protección de Office 365

Investigadores de seguridad detectaron una manera bastante simple en la cual CiberCriminales y estafadores están evadiendo los mecanismos de detección de phishing en la gran mayoría de los servicios de correos mas utilizadas en la web.

La técnica apodada como ZeroFont, consiste en insertar palabras ocultas con un tamaño de letra cero dentro del contenido real de un correo phishing, manteniendo su aspecto visual igual, pero al mismo tiempo, haciéndolo no malicioso a los ojos de los escáneres de seguridad de correo electrónico.

De acuerdo a la compañía de Seguridad de Avanan Office 365 falla a la hora de detectaro correos que utilicen esta técnica

El phishing usan la ingeniería social y el fraude para convencer a sus victimas a hacer clic en un link, y en ese link entregar la mayor cantidad de información necesaria para lograr estafar a alguien. Un ejemplo de esto seria un correo donde informen de un error en una cuenta corriente, y en el link que entregan te dicen que coloques tu nombre de usuario y contraseña, cosa de acceder a tu información persona.

Particularmente Office utiliza un método de revisión de lenguaje natural para determinar si un correo es malicioso o no, como por ejemplo si un correo tiene como firma "© 2018 Apple Corporation. All rights reserved" y este no viene de un dominio perteneciente a Apple, este detectará el correo como no deseado. Por tanto seria posible engañar al mecanismo de detección al utilizar caracteres en tamaño cero, para que el usuario final no se percate del mensaje original, y si vea uno falso como se ejemplifica en la animación anterior.

Ejemplo

El siguiente mensaje sería el que el anti-spam veria en un analisis

Esto es lo que vería el usuario al final

Leer más

Unión Europea califica como “malicioso” el software de Kaspersky Lab

La retórica anti-Kaspersky Lab continúa en Europa, con el Parlamento Europeo aprobando una moción que califica al software de la firma anti-virus con sede en Moscú “confirmado como malicioso”.

En respuesta, Kaspersky Lab dice que ha suspendido todo trabajo con instituciones europeas, incluida Europol, la agencia de inteligencia policial de la Unión Europea, hasta que reciba una aclaración del Parlamento Europeo. La compañía también detuvo su trabajo con el proyecto No More Ransom, que proporciona herramientas de descifrado gratuitas para las víctimas del ransomware, informa el Instituto Internacional de Seguridad Cibernética.

El miércoles, los miembros del Parlamento Europeo votaron 476 a 151 para aprobar una moción de defensa cibernética no vinculante que busca mejorar la capacidad de Europa para defenderse de los ataques informáticos, contratar más expertos en seguridad informática y mejorar la forma en la que se comparte la información.

En la moción también destaca Kaspersky Lab. Una enmienda añadida por la eurodiputada polaca Anna Elzbieta Fotyga pide a la UE “realizar una revisión exhaustiva del software, las tecnologías de la información y el equipo de comunicaciones y la infraestructura utilizada en las instituciones europeas para excluir programas y dispositivos potencialmente peligrosos, y  prohibir los que ha sido confirmados como maliciosos, como Kaspersky Lab”.

No está claro a qué evidencia, si es que hay alguna, podrían estar refiriéndose los eurodiputados. Ni Fotyga ni el principal promotor del movimiento, el eurodiputado estonio Urmas Paet, pudieron ser contactados para hacer comentarios.

La moción del Parlamento Europeo llega a pesar de que Kaspersky Lab sostiene que no tiene vínculos con gobierno alguno, y que no ha colaborado, y no lo hará jamás, con ningún gobierno en labores de ciberespionaje.

Eugene Kaspersky, CEO de la compañía, sostiene a través de un comunicado que “la decisión del Parlamento Europeo alienta los crímenes informáticos en Europa y no contribuye al establecimiento de un mercado digital abierto y seguro, sino que lo vuelve más fragmentado y menos competitivo.

En un intento por combatir las acusaciones de haber recibido sobornos del gobierno ruso, Kaspersky Lab anunció que estará trasladando muchas de sus operaciones a Zurich, donde estarán abriendo su primer “centro de transparencia”, añadiendo que para 2020 estarán ampliando este proyecto hacia Norteamérica y Asia.

Fuente: http://noticiasseguridad.com/malware-virus/union-europea-califica-como-malicioso-el-software-de-kaspersky-lab/
 

Leer más

Los Hackers que atacaron los Juegos Olímpicos de Invierno 2018, vuelven al Juego

El mismo grupo que realizo el ataque a los Juegos Olímpicos de Inviernos de este año, que se celebraron en Pyeongchang, ahora fueron sorprendidos realizando ataques a laboratorios de prevención de amenazas biológicas y químicas en Europa y Ucrania, y a instituciones financieras en Rusia.

A comienzos de año, un grupo desconocido de hackers se enfocaron en los Juegos Olímpicos de Invierno al cual lazaron un ataque altamente destructivo, al cual llamaron "Olympic Destroyer". Desafortunadamente, el malware alcanzo a realizar cierto daño, pero investigadores de seguridad lograron detenerlo, y estos atribuyeron el ataque a grupos de Hacking Estatales de Corea del Norte, Rusia y China.

De acuerdo a un nuevo reporte publicado por Kaspersky  este grupo ha estado en operación al detectarse ataques contra organizaciones con base en Rusia, Ucrania y algunos países de Europa en mayo y Junio del 2018. Ya mayoría de estas corresponderían a laboratorios de prevención de amenazas tanto químicas como biológicas.

Durante el proceso de investigación, se detectaron las mismas tácticas de explotación y engaño que fueron utilizadas durante el ataque "Olympic Destroyer" en el pasado.

"Entre mayo y junio del 2018 descubrimos nuevos documentos utilizados para phishing que son muy similares a los documentos utilizados para realizar los ataques por Olimpic Destroyer en el pasado"

Si la victima apertura el archivo, este descarga una macro y ejecuta múltiples PowerShell Script en segundo plano, e instala malware de terceras partes para poder tomar control sobre los sistemas de las victimas.

Otro antecedente fue que el software que se utilizó para ofuscar el código, fue el mismo que se utilizó durante el ataque a los juegos olímpicos pasados.

Reporte de Kaspersky: https://securelist.com/olympic-destroyer-is-still-alive/86169/

Leer más

Formalizan a ex-empleado de la CIA por filtrar herramientas de Hacking a Wikileaks

Con 29 años de edad, fue formalizado el ex programador de la CIA, quien ya había tenido ya cargos por almacenamiento de pornografía infantil, ahora es acusado de ser quien realizo la mayor fuga de información que ha tenido la agencia en su historia.

Joshua Adam Schulte, quien apoyo a la NSA y a la CIA en la creación de malware para estas instituciones, ahora es acusado por el Departamento de Justicia de los Estados Unidos por 13 cargos de Robo y transmisión de información clasificada de cientos de documentos de la CIA, proyectos de software y herramientas de Hacking.

Schulte, también es sospechozo de filtrar documentación e información clasificada al portal Wikileaks desde marzo del año 2017 bajo el nombre de "Vault 7".

Todavía no se ha confirmado si Schulte filtró documentos a WikiLeaks, pero si es sospechoso de haber robado información clasificada de la Defensa Nacional desde la CIA en el año 2016

Según la acusación formal, después de robar los documentos clasificados, Schulte intentó tapar sus huellas alterando una computadora operada por la Agencia de Inteligencia de los EE. UU. Para otorgarle acceso no autorizado al sistema en marzo y junio de 2016 y luego borrar registros de sus actividades y negar otros tienen acceso al sistema.

En marzo de 2017, durante el cual WikiLeaks comenzó a lanzar algunas de las herramientas de piratería de la CIA, los agentes del FBI registraron el apartamento de Schulte como parte de una investigación en curso para encontrar al cerebro detrás de las filtraciones de la Vault7.

Schulte fue arrestado en Agosto del 2017, por posesión de pornografia infantil, pero los fiscales no pudieron presentarle cargos por filtración de información hasta ahora.

Hasta ahora, la filtración ocurrida en marzo del 2017 fue la mas grande que ha tenido la agencia en su historia, y lo que mas llamo la atención en alquien minuto, fue la cantidad de herramientas y documentos clasificados de hacking que tenia la CIA en su poder. 

Leer más

El emulador Andy OS de Android acusada de realizar minería de CriptoMonedas.

Varios usuarios en Internet están consternados con la noticia de que hubieron reportes en el que detectaron un Troyano de Minería de Criptomonedas que usaba la GPU, como motor en el popular emulador de Android Andy OS.

En la red social Reddit el usuario TopWire, informo que cuando procedió con la instalación de la aplicación, se instaló un troyano de minería de criptomonedas sin el consentimiento del usuario. Este troyano fue instalado en C:\Program Files(x86)\Updater\updater.exe el cual comienzo a utilizar el procesador de la GPU. El usuario también posteo un video en Youtube en el cual mostró el comportamiento.

"Cuando yo descargue y probé el ejecutable Andy, automáticamente vi algo que llamo mi atención. Este estaba usando un adware en su instalación, y se sabe que a veces realizan instalaciones de mineros en las computadoras sin  su permiso" se lee en Bleeping Computer.

De acuerdo a Virus Total, el instalación de Andy esta siendo detectado como una Variante de InstallCore, el cual es conocido como un instalador de adware que le presenta a usuarios la instalación de otras aplicaciones gratis. Estos instaladores permiten a los desarrolladores de software libre, como Andy, generar ingresos cada vez que alguien instala su programa.

Particularmente esta aplicación, ofrece instalar aplicaciones, como Avast, Search Manager Chrome Extension, y WinZip, y aunque no instalen ninguna de estas aplicaciones, "magicamente" aparece una aplicación instalada en C:\Program Files (x86)\Updater\updater.exe, pero cuando se ejecuta aparece un error como este:

El error ocurre por que la aplicación esta corriendo sobre una máquina virtual, y esta no iene una tarjeta de video dedicado.

Descripción de la aplicación

Al probar el instalador de Andy utilizando un sandbox cualquiera, se puede ver que se ejecuta un archivo llamado GoogleUpdate.exe. Cuando se ejecuta con la línea de comando "GoogleUpdate.exe / svc", inicia otro programa llamado UpdaterSetup.exe, que instala el programa Updater.exe y lo configura para que se inicie automáticamente cuando inicie sesión en Windows.

Este programa GoogleUpdate.exe tiene una descripción de "Actualización de AndyOS", que indica que es parte de Andy. Por qué se llama GoogleUpdate no se conoce, pero siento que es extraño.

Les dejo el video donde el usuario de Reddit hace la prueba de instalación

Leer más

Problema de seguridad en MAC, Falla podría revelar información en Discos Duros Encriptados

Investigadores de seguridad han anunciado una falla que tiene mas menos una década de antigüedad en la cual se puede potencialmente, obtener archivos almacenados en discos duros cifrados en MAC.

A comienzos de mes, el investigador Wojciech Regula de SecuRing publico en un blog, sobre Quick Look, una característica que ayuda a los usuarios a pre-visualizar fotos, documentos o carpetas sin la necesidad de abrirlos.

Regula explica que la característica de QuickLook ayuda a los usuarios a decidir mediante Thumbnail si debe o no aperturar el archivo, esto mediante imágenes en miniatura de los documentos, carpetas o imágenes.

El problema de esta característica, es que estas imágenes de Thumbnails, se almacenan en un sector no seguro del disco, esto implica que estos archivos pueden ser vistos o revisados incluso si el disco duro esta encriptado.

Patrick Wardle, director de investigación de Seguridad Digital, compartió igualmente la preocupación, diciendo que el problema se conoce desde hace mucho tiempo durante al menos ocho años, "sin embargo, el hecho de que el comportamiento todavía está presente en la última versión de macOS, y (aunque potencialmente graves implicaciones de privacidad), no es ampliamente conocido por los usuarios de Mac, garantiza una discusión adicional ".

Prueba de concepto.

El investigador guardo dos imágenes, una en un contenedor sin encriptación (Luke) y otro en un contenedor encriptado (HFS+ / APFS) (Darth-vader). Al realizar la previsualización de las imágenes ya entenderíamos que están en cache.

En Disco No Encriptado

En Disco Encriptado

El investigador por medio de la copia de las bases de datos de thumbnail es capaz de extraerlas y abrirlas en otro ambiente. Logrando extraer la información tanto del disco sin seguridad, y otro con seguridad.

Lamentablemente esto también ocurre para todo tipo de archivos

"Si desmontamos el volumen cifrado, las miniaturas del archivo (como se mencionó anteriormente) aún se almacenan en el directorio temporal del usuario y, por lo tanto, se pueden extraer", dijo Wardle.
"Si un atacante (o la policía) tiene acceso al sistema en ejecución, incluso si los contenedores cifrados protegidos por contraseña se desmontan (como así su contenido 'seguro'), esta 'característica' de almacenamiento en caché puede revelar sus contenidos".

Leer más

Malware secuestraba portapapeles para robar bitcoin y Etherium en mas de 300.000 equipos.

Una campaña de malware tenia como objetivo secuestrar el portapapeles de mas de 300.000 equipos según la firma de investigadores Qihoo 360 Total Security.

La campaña es muy similar a la que salio en marzo pasado donde un malware alteraba el portapapeles de Windows para hacer que los usuarios cuando copiaban y pegaban una dirección de una billetera virtual esta se cambiara hacia la del atacante, logrando robar transferencias de criptomonedas.

Este Nuevo malware denominado ClipboardWalletHijacker, también tiene el propósito de poder interceptar el contenido almacenado en el portapapeles de Windows, realizando búsquedas de cadenas de direcciones BitCoin y Etherium, reemplazándolas con las direcciones del autor del Malware. Y como el malware anterior, también es capaz de robar las transacciones de criptomonedas haciendo que las transferencias se dirijan a los fondos del atacantes.

Estas serian las direcciones del atacante

BTC: 1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1
BTC: 19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL
ETH: 0x004D3416DA40338fAf9E772388A93fAF5059bFd5

Hasta ahora las cuentas del atacantes solo han recibid unos 0.123434231 btc, que son mas menos unos 800 usd. Desde Qihoo que tienen alta presencia en China, creen que existen cerca de 300.000 equipos infectados en el pais y en los alrededores.

Leer más

Extraño tráfico al Puerto 8000 ocurrió esta semana... Satori estaba detrás de esto.

Un misterioso tráfico anómalo hacia el puerto 8000 fue descubierto hace unos días por el equipo de investigación de Qihoo 360 Netlabs, los cuales asociaron el tráfico a la botnet Satori.

De acuerdo a los investigadores, la publicación de la prueba de concepto del 8 de junio por un popular sitio web de paquetes de software, llamo la atención del equipo de desarrollo de satori, quienes integraron ese exploit en particular dentro del accionar del botnet.

La prueba de concepto es de una vulnerabilidad de "Buffer OverFlow" (CVE-2018-10088) en XionMai uc-httpd 1.0.0, el cual es un servidor web liviano que está integrado dentro del firmware de los routers y equipos IoT vendidos por algunos proveedores chinos.

El exploit envía un paquete mal formado a los puertos 80 y 8000 y ejecuta código malicioso en el dispositivo objetivo.

Los escaneos para dispositivos que tenían el puerto 8000 expuesto a través de su interfaz WAN comenzaron un día después de la publicación del PoC pero se retomaron el 14 de junio. El súbito aumento en la actividad del puerto 8000 convirtió las cabezas de múltiples expertos en seguridad especializados en seguidores de botnets, de la nada y a una escala increíble.

port 8000 scan is also jumping up now...stay tuned for more update https://t.co/GiJhJRKMkA https://t.co/CI3afTOQha

— 360 Netlab (@360Netlab) 15 de junio de 2018

De acuerdo al Honeypot que tiene Qihoo 360 Netlabs, el escaneo del puerto 8000 tuvo una caída de actividad el día 15 de junio. Desafortunadamente, no fue porque Satori no pudo infectar dispositivos, sino porque los autores de la botnet agregaron soporte para un segundo exploit.

El segundo Exploit afecta a la linea D-link DSL-2750B, la cual se explota mediante los puertos 80 y 8080.

Naturalmente, la actividad de exploración dirigida a estos dos puertos también creció de manera similar a la que se ve en el puerto 8000, y el equipo de Satori está tratando de acorralar tantos routers como sea posible antes de que otras botnets se unan al redil.

Después de apuntar previamente a los enrutadores GPON, y con la adición de estos dos nuevos exploits, Satori continúa creciendo todos los días. La botnet ya sobrevivió a un intento de eliminación en diciembre pasado, y sus autores parecen decididos a continuar en su camino actual.

Leer más

Desarrolladores de Android encontraron un truco efectivo para engañar al usuario a que instalen sus aplicaciones.

Un experto en seguridad de Android advierte a los usuarios que algunos desarrolladores de aplicaciones de Android malintencionadas han inventado un nuevo truco para engañar a los usuarios para que instalen sus aplicaciones.

El truco depende de los registros que realizan los desarrolladores en la GooglePlayStore en al cual el contador de instalaciones están dentro de sus nombres, como por ejemplo: "Tutorial de repostería 100 Millones de descargas"

El engaño..

El engaño es que estas aplicaciones entregan una falsa sensación de seguridad, al hacer pensar al usuario de que realmente existen millones de usuarios que la usan, y que por eso la aplicación es segura para su uso. Pero en realidad no lo son.

De acuerdo al investigador de Seguridad de ESET Lukas Stefanko muchas de esas de las aplicaciones que utilizan este modo de actuar, realmente son Adware. Estas aplicaciones, no tienen ninguna funcion en particular, o ninguna funcion deseada por el usuario, solo muestran publicidad en la pantalla del usuario.

How to make your app popular:

1) Upload app with developer name: 1,000,000,000
2) Get installs
3) Change developer namehttps://t.co/55gBixSOKp pic.twitter.com/AWF7wtCSQc

— Lukas Stefanko (@LukasStefanko) 11 de junio de 2018

How easy it is to make user believe apps are highly downloaded(popular) and probably worth of trying.
These are not number of app installs, these are developer names. pic.twitter.com/VfE6tfHn2v

— Lukas Stefanko (@LukasStefanko) 28 de mayo de 2018

Dentro del engaño, también estas aplicaciones adicionalmente copian nombre e Icono de aplicaciones que si son reales.

Los trucos son simples, pero potencialmente efectivas, maneras de engañar a los usuarios, particularmente aquellos que eligen aplicaciones basadas en la popularidad ", explica Stefanko." Aunque ninguna de estas aplicaciones era abiertamente maliciosa, estos métodos podrían ser mal utilizados por los autores de malware en el futuro. Afortunadamente, los trucos también son fáciles de detectar, si sabes en qué concentrarte.

Leer más

Compañias de VideoJuegos remueven analitica de sus APP por reclamo de Usuarios.

Algunas compañías de videojuegos han anunciado sus planes de remover la analítica de sus aplicaciones que venían en conjunto con los videojuegos.

La decisión de remover la analítica de estas aplicaciones es porque hubieron usuarios en Reddit y Steam que alertaron sobre varios juegos en la cual estaba embebido un controversial SDK de analítica en la actualización de varios video Juegos, sin previo aviso y de manera arbitraria.

La aplicación que venia embebida dentro de los video juegos se llama RedShell, y es un packete de análisis de uso de aplicaciones orientada en videoJuegos.

Los creadores de video juegos añadían este SDK dentro de sus juegos con ID único. Cuando un usuario realizaba la instalación o compra de uno de estos juegos por una de las compañas, la aplicación informaba a los que publicaban el juego sobre el origen de esa nueva instalación

Pero en varias discusiones recientes en línea, los usuarios se quejan de que, además de registrar el origen de una nueva instalación del juego, la aplicación también crea "fingerprint" para cada jugador, con información sobre sus personajes en línea y plataformas de juego.

Además, muchos estudios de juegos no le han dicho a los usuarios que este SDK ahora es parte de sus juegos, o si lo hicieron, lo convirtieron en un paquete de exclusión voluntaria en lugar de opt-in, ya que la mayoría de las leyes de privacidad dictan.

Para mas detalle de los juegos que aún utilizan esta SDK, les dejo el link https://docs.google.com/spreadsheets/d/e/2PACX-1vQz1d2jf15nHZE8GaRDAWCVMWuYkhip_cwkDUD3fo9dn0EiDRG3crtNXNhPESz8ZLL2KVDULnm9D-VB/pubhtml

Leer más