Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 52 mins

Ataques a través de terceros de confianza, una tendencia en auge

Jue, 11/09/2017 - 13:24

Cuando estamos ya cerca de cerrar el año y echamos la vista atrás pensando en los clásicos resúmenes de amenazas, hay que reconocer que 2017 ha sido un año movido en lo que respecta al malware. Probablemente, la mayoría de usuarios se queden con ataques tan mediáticos como lo fueron WannaCry, NotPetya o el reciente BadRabbit, a pesar de que ha habido muchos más y que han causado incluso más daños.

Ataques desde sitios de confianza

No obstante, desde el punto de vista de un laboratorio antivirus nos gusta observar las técnicas de ataque utilizadas, más que las amenazas concretas en sí mismas. Precisamente, durante 2017 hemos observado preocupados que tanto en los ataques ya mencionados como en otros se han estado utilizando lo que se conoce como “terceros de confianza” a modo de vector de ataque. Es decir, se han usado webs y servicios legítimos para propagar amenazas tanto en ataques masivos como en otros dirigidos.

Pongamos como ejemplo a alguno de los ataques más mediáticos ya mencionados. En el caso de NotPetya, el extenso análisis realizado por ESET demostró una relación entre el grupo Telebots (relacionado con otros ataques en Ucrania como el que dejó sin luz a decenas de miles de personas a finales de diciembre de 2015) tanto con este como con otros ataques anteriores.

Linea temporal de ataques ejecutados por el grupo Telebots durante la primera mitad de 2017

El principal logro de NotPetya fue haber conseguido infectar los sistemas de miles de empresas gracias a utilizar el sistema de actualizaciones de una aplicación de contabilidad legítima, enviando una actualización maliciosa que se aplicó automáticamente y que permitió descargar el malware sin interacción alguna de las víctimas.

Si repasamos el análisis de BadRabbit vemos que, además de compartir una porción de código con NotPetya, también hace uso de webs legítimas para propagar su carga maliciosa. En este caso se camufló el malware como una falsa actualización de Flash Player que se mostraba en varias webs de noticias, lo que hizo que muchos la descargaran y ejecutaran en su sistema sin sospechar nada.

Entidades financieras como objetivo

Dentro de los afectados, hay un sector empresarial que ha estado en el punto de mira de los delincuentes desde hace unos años. Este sector no es otro que el bancario, y hemos visto cómo se han multiplicado los esfuerzos por atacar de forma efectiva tanto a los clientes que utilizan sus servicios online como a las propias entidades bancarias, y a los sistemas que se usan para realizar transferencias de dinero interbancarias.

Uno de los ataques más ingeniosos fue el que conocimos a principios de año, el cual tenía nada menos que a la agencia polaca de regulación del sector financiero como involuntaria protagonista de este ataque. Durante varios meses, esta web oficial, visitada a menudo por empleados de todas las entidades financieras polacas, estuvo comprometida, y contenía enlaces externos controlados por los atacantes con código malicioso.

Enlaces externos a los que se accedía desde la web del knf.gov.pl. Fuente

De esta forma, los delincuentes consiguieron acceder a las redes internas de, al menos, 20 entidades financieras polacas, pudiendo robar información o preparar ataques futuros utilizando, por ejemplo, el sistema SWIFT para transferir millones de euros a cuentas controladas por ellos mismos.

Ataques a usuarios finales

Pero no todos los ataques de este tipo tienen a empresas como objetivo. Los usuarios de a pie llevamos tiempo viendo cómo se utilizan webs legítimas comprometidas por los delincuentes para propagar todo tipo de malware. Es cada vez más común ver que se están usando las redes publicitarias que muestran anuncios en webs con un alto tráfico para descargar malware, y durante 2017 esta tendencia no solo ha aumentado, sino que también se ha diversificado.

En años anteriores habíamos visto que los delincuentes habían utilizado este vector de ataque modificando el código fuente de las páginas web para insertar enlaces a una web de anuncios de terceros (desde donde ejecutar un exploit para aprovechar vulnerabilidades de Flash conocidas), o bien directamente incluir la descarga de un código Javascript malicioso incrustado en la web.

En ambos casos se afectó a conocidas páginas de contenido para adultos como son Redtube y xHamster, algo que hemos visto repetirse de nuevo recientemente en la web Pornhub. En esta ocasión, los atacantes explotaron Traffic Junky, la red publicitaria que gestiona los anuncios en PornHub, para que una vez el usuario accedía a esta web con Google Chrome, Firefox o Internet Explorer / Edge, redireccionarlo a otro dominio desde donde se ejecutaba código JavaScript ofuscado, idéntico al usado en kits de exploit como Neutrino con la finalidad de instalar el troyano Kovter en el sistema.

Ejemplo de las pantallas mostradas en los diferentes navegadores. Fuente: ProofPoint

Los usuarios tampoco pueden relajarse al utilizar servicios de streaming de música y vídeo. El año pasado vimos cómo se podían lanzar anuncios maliciosos mientras estábamos disfrutando de Spotify con una cuenta gratuita, algo que podía llevar a ejecutar teóricamente código malicioso en nuestro sistema.

Esta misma semana hemos sabido que el popular servicio de streaming de anime Crunchy Roll estuvo comprometido durante unas horas el pasado sábado 4 de noviembre, y desde su web oficial se ofrecía la descarga de un supuesto reproductor multimedia para ver las series que había sido modificado para incluir funcionalidades de puerta trasera utilizando el conocido framework Metasploit.

Por si fuera poco, cada vez se detectan más sitios que, de forma involuntaria o siendo plenamente conscientes de ello, ejecutan código para minar criptodivisas aprovechando los recursos de sus visitantes y sin pedirles consentimiento. Esta actividad ya está siendo detectada por numerosos motores antivirus, pero es preocupante el crecimiento exponencial que está teniendo entre muchas webs que lo ven como una forma más efectiva de obtener ingresos que a través de la publicidad online tradicional.

Página principal de The Pirate Bay con el código JavaScript encargado del minado

Conclusión

Como acabamos de comprobar, los sitios “seguros y de confianza” cada vez son más escasos. La regla de aplicar el sentido común y visitar solo aquellas webs que nos transmitan confianza o que sean visitadas por millones de usuarios hace tiempo que dejó de ser válida, y esto hace que debamos aplicar nuevas medidas de seguridad en todos aquellos dispositivos que utilicemos para navegar.

Josep Albors

Black Friday y Ciber Monday: cuidado con dónde compras

Mié, 11/08/2017 - 10:18

El Black Friday se acerca y las grandes marcas se precipitan en ofrecer suculentos descuentos a sus clientes con unas promociones que dan el pistoletazo de salida a las compras navideñas. Es la sexta vez que el viernes negro se celebra en España y ya todos en este país estamos familiarizados con esta ola de promociones. Grandes y pequeños comercios y plataformas de venta online se suman el día 27 de noviembre a la catarata de ofertas que, en muchos casos se alargará hasta el lunes, con la celebración del Cyber Monday.

Son días extremadamente consumistas y con un fuerte arraigo en Estados Unidos, sin embargo, año tras año, se demuestra que es una moda que ha venido para quedarse, y también en España se registran récords de ventas en cada nueva edición.

eset_tarjeta_credito

Es por eso que, desde el laboratorio de ESET creemos necesario recordar una serie de consejos a la hora de realizar las impulsivas compras online de estos días, consejos que no se han de aplicar solamente ahora, sino que hay que procurar seguir siempre:

  • Mantén protegido tu ordenador: es importante contar con un antivirus actualizado, un cortafuegos y tener el sistema con las últimas actualizaciones instaladas.
  • Realiza tus compras en webs de confianza: debemos asegurarnos de que el sitio donde vayamos a realizar la compra tenga una buena reputación, permita pagar usando un protocolo seguro (https://) y tenga una buena atención al cliente en caso de dudas o reclamaciones.
  • Cuidado con las gangas: muchos sitios online fraudulentos intentan engañar a los usuarios usando ofertas muy atractivas. No caigas en la trampa y busca siempre referencias sobre el sitio web en cuestión.
  • Controla tus datos personales: es normal que las tiendas online de confianza te pidan tus datos de facturación (nombre, dirección, teléfono, etc.) junto con los datos de tu tarjeta de crédito para realizar los pagos. No obstante, lee la política de privacidad de la empresa y revisa cómo serán usados estos datos.
  • Métodos de pago: los comercios online ofrecen muchos métodos de pago, como tarjetas de crédito, servicios de pago seguro como Paypal o incluso contra reembolso. Es importante asegurarse de usar un método de pago que permita la reclamación de cargos fraudulentos o en caso de no recibir los artículos pedidos.
  • Cuidado con el phishing: si bien es habitual que las webs de compras online envíen una factura del pedido por e-mail, muchos ciberdelincuentes también envían durante estas fechas millones de correos falsos suplantando a los grandes comercios online, en los que adjuntan enlaces que llevan a webs maliciosas.
  • Comprueba que se cargan las cantidades correctas en tu cuenta: el acceso a la banca electrónica nos permite revisar que solo se nos cobra la cantidad que hemos pactado. En caso de observar cargos incorrectos o que no procedan del comercio donde se ha realizado la compra, contacte con su entidad bancaria lo antes posible para iniciar una investigación.

Si seguimos estos pasos, evitaremos que nos jueguen una mala pasada mientras realizamos las compras navideñas a un precio inmejorable.

Josep Albors y Laura Grau Berlanga

Actualización urgente para WordPress. ¡Parchea ya!

Jue, 11/02/2017 - 12:01

Siendo WordPress uno de los gestores de contenidos más usados a la hora de generar páginas web de forma rápida y relativamente sencilla no es de extrañar que cada vez que aparece una vulnerabilidad grave que afecta a esta plataforma se enciendan todas las alarmas, puesto que podría ser utilizada por los delincuentes para atacar a millones de webs en todo el mundo. Esta es exactamente la situación en la que nos encontramos ahora mismo y por lo que se recomiendoa a todos los administradores de sitios con WordPress actualizar lo antes posible

Una vulnerabilidad que podría haberse evitado

Esta alerta viene dada gracias a la investigación de Anthony Ferrara, que descubrió recientemente un grave fallo de seguridad que permitía la ejecución de inyecciones SQL. Paradójicamente, una actualización previa de WordPress (4.8.2) se lanzó para solucionar esta vulnerabilidad pero, según el investigador no arregló la raíz del problema y además produjo fallos en muchos sitios webs.

Por este motivo se recomienda instalar urgentemente instalar la versión más reciente de WordPress (4.8.3) y así evitar que nuestras webs se vean comprometidas y usadas por los delincuentes para atacar a los visitantes. Llevamos años viendo como se utilizan vulnerabilidades de este tipo para colocar malware en webs legítimas, malware que va desde los troyanos bancarios hasta el minado de criptodivisas, pasando por el ransomware.

El principal problema, según el investigador, es que, a pesar de que el equipo de seguridad de WordPress fue informado de esta vulnerabilidad justo el día después de lanzar la versión anterior, han tenido que pasar varias semanas hasta que el problema se solucionase, dejando a millones de sitios webs vulnerables.

Solucionando el problema

Si somos administradores de un sitio que utiliza WordPress como gestor de contenidos podemos actualizar a la última versión de forma sencilla yendo al apartado de Actualizaciones de nuestro panel de control.

Además, existe la posibilidad de configurar actualizaciones automáticas para que WordPress se actualice tan pronto como aparezca una nueva versión e incluso algunos complementos de seguridad como iThemes Security permiten realizar esta actualización para evitar males mayores.

Sin embargo, si bien estas actualizaciones automáticas pueden estar bien para usuarios que tiene un blog personal o incluso para pequeñas y medianas empresas, hay también mucho temor a que una actualización cause problemas con todo el contenido y complementos ya instalados, algo que produciría una mala experiencia a los usuarios que visitasen la web o que incluso podría hacer que esta estuviese caída durante un tiempo.

Es frecuente ver como algunos administradores prefieren probar primero estas actualizaciones en un entorno controlado en sus servidores y aplicarlas solo cuando han comprobado que no causan ningún problema, de forma similar a como sucede con las actualizaciones de Windows. Sin embargo, cuando estas actualizaciones tardan demasiado tiempo en aplicarse es cuando pueden empezar los problemas de verdad.

Conclusión

La triste realidad es que existe un buen número de sitios web con WordPress que siguen utilizando versiones antiguas de este gestor de contenidos y es bastante frecuente ver como son utilizados para propagar malware de todo tipo, algo que solo puede solucionarse tomándose en serio la seguridad y actualización de este tipo de webs.

Josep Albors

Alertan sobre ataques en curso a infraestructuras críticas

Lun, 10/30/2017 - 12:24

Vivimos tiempos complicados para la seguridad de las que, hasta no hace mucho, eran consideradas infraestructuras seguras. Centrales eléctricas, sistemas de abastecimiento de agua potable, servicios de transporte de personas y mercancías o medios de comunicación han pasado de presuponerse siempre disponibles a estar sujetos a posibles ciberataques y, por ende, provocar que dejen de estar disponibles.

Avisos que no cesan de repetirse

Entre esta situación de preocupación no es de extrañar que se produzcan anuncios como el que hizo hace unos días el Departamento de Seguridad Nacional (DHS) de los Estados Unidos, donde se avisaba de que se estaban observando ataques a departamentos gubernamentales y empresas de sectores como el energético, aviación, aguas potables y otras infraestructuras críticas.

Este aviso fue enviado por correo electrónico a todas las empresas y departamentos que pudieran ser posibles víctimas, ya que se habían estado observando ataques que tenían a estos sectores como objetivos al menos desde mayo de 2017, ataques que en alguna ocasión habían tenido éxito.

También debemos tener en cuenta que no siempre se elige como objetivo a los sistemas que conforman una infraestructura crítica, sino que aquellas empresas que actúan como proveedores también son un objetivo muy apetecible para los atacantes, puesto que pueden ser usados como posibles puertas de entrada a las redes de las infraestructuras críticas.

Según el DHS, este tipo de campañas siguen activas, y si bien se sospecha de ataques con una financiación de algún estado, las atribuciones de este tipo de incidentes siempre resultan peligrosas si no se cuentan con las pruebas necesarias.

Vectores de infección

Según la investigación llevada a cabo, hasta el momento se han identificado varios puntos clave en estos ataques. Para empezar, todo apunta a que los objetivos han sido cuidadosamente elegidos en lugar de ir probando al azar hasta encontrar sistemas vulnerables. Esta selección de objetivos se ha realizado mediante la recopilación de información desde fuentes abiertas como las webs de esas empresas, información que buscaba recopilar datos acerca de la configuración de las redes y los sistemas objetivos.

Se llegó incluso a descargar y ampliar fotografías de empleados publicadas en sitios web corporativos para obtener información de los sistemas de control que se veían al fondo de esas fotografías, algo que demuestra lo críticos que pueden llegar a ser algunos datos que normalmente se pasan por alto.

Además, se usaron técnicas bien conocidas para conseguir la ejecución de código en los sistemas objetivo. Una de ellas consiste en el envío de documentos de Microsoft Office y PDF como ficheros adjuntos a correos electrónicos dirigidos especialmente a ciertos empleados, consiguiendo ejecutar código gracias a vulnerabilidades y funcionalidades como la ejecución de macros.

Los dominios comprometidos por los atacantes también se utilizaron en este tipo de ataques, consiguiendo que las víctimas accedieran a dominios de confianza que habían sido modificados para descargar código malicioso aprovechando alguna vulnerabilidad en el sistema. Se calcula que aproximadamente la mitad de las webs comprometidas estaban relacionadas con publicaciones sobre sistemas de control industrial o infraestructuras críticas.

Conclusión

No descubrimos nada nuevo si decimos que este tipo de ataques van a seguir produciéndose con más frecuencia a corto y medio plazo, y no es precisamente arriesgado afirmarlo categóricamente, puesto que hasta que se cambien conceptos arraigados durante décadas en este sector va a ser difícil protegerlo de ataques cada vez más avanzados.

Es por eso necesario adoptar las medidas necesarias para que la seguridad en los sistemas industriales que gobiernan estas infraestructuras críticas y miles de empresas en todo el mundo sea considerada igual de importante que otros aspectos como la disponibilidad. Para ello hace falta un cambio de paradigma si no queremos ver cómo los atacantes se encargan de provocar incidentes cada vez más graves que pueden tener consecuencias desastrosas.

Josep Albors

 

Conclusiones tras el ataque BadRabbit / DiskCoder.D

Vie, 10/27/2017 - 11:41

Ha sido el tema de la semana en materia de ciberseguridad, aunque, por desgracia, ataques como el protagonizado por Bad Rabbit / Diskcoder.D, que ha afectado principalmente a sistemas en Rusia y Ucrania, se están convirtiendo en demasiado frecuentes. No vamos a entrar en demasiados detalles técnicos sobre el ataque, puesto que de eso se han encargado muy bien nuestros compañeros de ESET, pero sí que vamos a analizar algunos de sus aspectos más relevantes.

¿Ransomware o ataque dirigido?

Puede parecer una obviedad, pero Bad Rabbit sí que parece realizar correctamente su labor de cifrado. A diferencia de WannaCry o (Not)Petya/Diskcoder.C, que tenían errores en la implementación del cifrado usado para cifrar los archivos que impedían que fueran recuperables, en esta ocasión los atacantes han usado un software de código abierto conocido como DiskCryptor.

Durante el ataque de (Not)Petya/Diskcoder.C de finales de junio, no fuimos pocos los que alertamos de que este malware no estaba diseñado para obtener beneficios pidiendo rescates a sus víctimas, sino para hacer el mayor daño posible. Esta característica, unida a un vector de ataque muy similar al usado por otro ransomware unas semanas antes y el análisis del código, dieron suficientes pistas como para vincular este ataque con el grupo conocido como Telebots.

Este grupo es el principal sospechoso detrás de alguno de los ataques más destacados contra infraestructuras críticas de Ucrania, con vinculación al grupo Black Energy, responsable de los ataques a centrales eléctricas de este país en diciembre de 2015. Sabiendo que se ha reutilizado parte del código usado en (Not)Petya/Diskcoder.C, es fácil establecer una posible conexión entre ambos ataques, aunque aún es pronto para sacar conclusiones definitivas.

Vectores de ataque y principales objetivos

A diferencia de ataques anteriores, el país que ha salido peor parado en número de sistemas infectados ha sido, con bastante diferencia, Rusia. Ucrania ha quedado en esta ocasión en segundo lugar, lo que representa un cambio de tendencia con respecto a ataques anteriores y plantea dudas a la hora de atribuir este último.

Como ya hemos dicho, el grupo Telebots siempre había tenido a Ucrania entre sus principales objetivos, llegando incluso a aparecer teorías que proponen que detrás se esconde algún tipo de atacantes con soporte del gobierno ruso. Esto no sería nada descabellado viendo que el conflicto que mantienen estos dos países sigue estando vigente, y este tipo de ataques solo formarían parte de un plan de guerra más amplio.

Entre los objetivos importantes que han sido afectados, los medios han destacado el aeropuerto de Odesa o el metro de Kiev, aunque seguramente haya más objetivos que no han salido a la luz para evitar dar pistas sobre el impacto real.

Con respecto al vector de ataque, en esta ocasión se ha optado por algo clásico como es la descarga de malware desde sitios legítimos y de confianza. A través de una falsa actualización de Adobe Flash, los atacantes consiguieron infectar los sistemas y propagarse a través de redes corporativas.

Movimiento lateral y referencias a la cultura geek

Para este movimiento lateral se han vuelto a usar algunos de los exploits de la NSA filtrados a mediados de abril por el grupo Shadow Brokers. Parece que (a pesar de que algunos informes iniciales lo descartaban) se utilizó, al menos, una variante modificada de EternalRomance para propagarse por las redes corporativas, además de otros sistemas como el protocolo Server Message Block (SMB), WMI o la utilización de fuerza bruta probando diferentes contraseñas.

Es aquí donde encontramos la primera referencia a un mito de la cultura geek, como es la película Hackers de 1995, ya que el listado de contraseñas que se prueban en el ataque de fuerza bruta para intentar acceder a otros sistemas, una vez este ransomware ya ha infectado un equipo en la red, coincide con el usado en dicha película.

Además, de nuevo encontramos referencias a Juego de tronos dentro del código de este malware, algo que se está volviendo bastante habitual desde hace bastantes meses y que ya hemos visto previamente.

Conclusión

Como en ocasiones anteriores, las investigaciones sobre este incidente pueden extenderse durante las próximas semanas o meses, y hay puntos que no quedan del todo claro. Por ejemplo, averiguar por qué Rusia ha sido en esta ocasión el país más afectado o por qué muchas de las empresas afectadas sufrieron el ataque al mismo tiempo, algo que probaría que los atacantes ya tenían acceso a sus redes desde antes.

En cualquier caso, y a menos que se apliquen de una vez por todas los parches que solucionan las vulnerabilidades utilizadas por los exploits de la NSA hechos públicos en abril y se apliquen medidas eficaces para evitar movimientos laterales del malware como los que hemos descrito, es muy probable que este tipo de ataques se sucedan a corto y medio plazo.

Josep Albors

 

 

Dí no a los invitados indeseados: cierra la puerta a las ciberamenazas

Jue, 10/26/2017 - 12:52

El porcentaje de empresas que se sienten amenazadas ante el crecimiento de las ciberamenazas y los ataques maliciosos en sus sistemas va en aumento y es normal que se sientan en la obligación de preocuparse por evitar los posibles daños en beneficios y reputación que el cibercrimen podría causarles. Y los usuarios domésticos no deberían relajarse. Ellos también son un objetivo apetitoso para los cibercriminales y también necesitan sentirse protegidos. Sus preocupaciones son más mundanas y generalmente se ciñen a la pérdida de la privacidad, la fuga de información o el uso inapropiado de su identidad.

Ataques a consumidores

Muchas personas tienen la falsa sensación de que la información que almacenan en sus equipos, portátiles y smartphones no es del interés de los cibercriminales, pero… nada más lejos de la realidad. Cada año, y a medida que nos hacemos más dependientes de la tecnología, crecen los casos de robo de identidad y suplantación. Los casos de ransomware y los ataques de malware en general se vuelven cada vez más sofisticados y dañinos, por lo que es de vital importancia que los usuarios particulares adopten las medidas necesarias para manejar sus dispositivos con el mayor grado de seguridad posible. Teniendo esto en mente, ESET ha diseñado su nueva gama de productos para hogar que cuenta con nuevas características que te permitirán “cerrar la puerta” frente a las amenazas digitales, rechazando los intentos de entrada no deseados. La nueva suite de productos, además, garantiza un bajo consumo de recursos del sistema y un alto rendimiento, con la mejor combinación de detección, velocidad y facilidad de uso.

Una solución más sofisticada

Tres décadas de innovación en seguridad informática avalan la nueva generación de soluciones de seguridad que proporciona protección incluso más allá del sistema operativo. Una de las novedades que incorpora esta nueva gama de soluciones es una capa de seguridad que se activa antes de que se ejecute Windows protegiendo a los usuarios frente a las amenazas que atacan directamente al firmware del equipo, en ordenadores con interfaz UEFI, sucesora de la BIOS. La UEFI contiene una serie de características avanzadas, en comparación con su predecesora. Hay que decir que cuando el malware reside en la UEFI, obtiene el control total del dispositivo infectado y se vuelve muy persistente pudiendo incluso permanecer después de reinstalar el sistema operativo. Estas amenazas son muy utilizadas por los ciberdelincuentes con el objetivo de acceder a la información de la víctima. De hecho, la UEFi puede ser usada para infectar con cualquier tipo de malware a los usuarios asegurándose de que la infección persista aunque se cambie el disco duro del equipo.

Las nuevas soluciones de ESET para particulares son ideales para hogares con dispositivos conectados. De hecho, gracias a otra característica que incorpora novedades, la ‘protección de red doméstica’, los usuarios podrán comprobar si su red es vulnerable, saber qué o quién está conectado a ella y analizar esos dispositivos inteligentes. Analizando el router podrán conocer las vulnerabilidades existentes en estos dispositivos, tales como contraseñas débiles o un firmware desactualizado, ofreciendo soluciones para remediarlo. Se trata de una funcionalidad muy orientada a cubrir las necesidades de protección de los dispositivos del Internet de las Cosas (IoT).

También se han desarrollado mejoras de accesibilidad para personas con discapacidad visual, convirtiendo a los productos de seguridad de ESET en los más adaptados del mercado a las necesidades de estos usuarios.

Además, en todas las soluciones se ha implementado un gestor de licencias para que los usuarios puedan administrar y asociar sus licencias e instalaciones de forma sencilla y gratuita desde su cuenta en el portal my.eset.com. Podrán obtener, además, un resumen instantáneo del estado de todas sus licencias y dispositivos conectados.

 

¿Quieres saber más?

Además, todos los clientes de ESET España cuentan con soporte técnico gratuito en español. Por otra parte, todos aquellos que ya cuenten con una licencia de hogar en vigor podrán actualizar gratuitamente a la nueva versión.

¿Alguien está intentando colarse en tu privacidad? from ESET España

 

Nueva actualización para Adobe Flash Player corrige un 0-day

Mié, 10/18/2017 - 12:00

A estas alturas de la película, hasta Adobe ha tenido que reconocer que Flash Player, el que fuera un complemento indispensable para los navegadores a la hora de visualizar contenido en Internet, tiene los días contados, principalmente por la existencia de alternativas mejores, pero también por los numerosos fallos de seguridad que no dejan de aparecer.

Sin embargo, hasta que llegue el momento en el que nos libremos completamente de Flash Player (a finales de 2020 como mínimo), millones de dispositivos van a seguir utilizando este complemento y eso supone un serio problema de seguridad.

Un 0-day usado activamente

A diferencia de otros parches de seguridad que se publican para solucionar fallos descubiertos pero que no han sido utilizados para comprometer la seguridad de los sistemas de los usuarios, cuando estamos ante un 0-day que se sabe que está siendo utilizado en campañas de ataques dirigidos es vital actuar con rapidez.

Este es el caso de la vulnerabilidad más reciente descubierta en Adobe Flash Player, la cual, según investigadores de Kaspersky, ha sido utilizada en una serie de ataques dirigidos. Según esta investigación, se utilizaron documentos de MS Office para ejecutar el exploit que se aprovecha de la citada vulnerabilidad en Flash Player y, seguidamente, se descargaba el spyware FinSpy, un malware utilizado para espiar a objetivos concretos y que en los últimos meses ha aumentado su actividad incluso utilizando nuevos vectores de ataque como los descubiertos por ESET recientemente.

Documento trampa que aprovechaba la vulnerabilidad 0-day en Flash Player – Fuente: Securelist

Una vez el dispositivo del objetivo ha sido infectado por FinSpy, este pasa a ser controlado remotamente por el atacante, permitiendo ver todo lo que hay almacenado en él o lanzando comandos que permiten la grabación de audio, vídeo o la localización del objetivo. Este tipo de malware es especialmente efectivo cuando se utiliza contra dispositivos móviles, ya que suele ser algo que el objetivo del ataque lleva siempre encima.

Publicación del parche

La investigación que permitió descubrir que este 0-day en Flash Player estaba siendo aprovechado activamente se publicó hace apenas una semana tras informar a Adobe. En este tiempo se ha tenido que preparar y publicar un parche que solucione esta grave vulnerabilidad que afecta a la versión 27.0.0.159 y anteriores de Flash Player para Windows, GNU/Linux y macOS, además de la versión que viene incluida en el navegador Chrome.

Una vez que se ha publicado la versión 27.0.0.170 se recomienda a todos los usuarios de Adobe Flash Player que actualicen lo antes posible, teniendo en cuenta que, dependiendo de la configuración del producto, es posible que ya se haya actualizado de forma automática.

Versiones y sistemas afectados por la vulnerabilidad en Flash Player

El punto clave aquí es decidir si realmente nos hace falta seguir usando Flash Player en nuestros dispositivos, sabiendo que hace tiempo que dejó de ser usado de forma masiva, especialmente en lo que a navegación por contenido web se refiere. Existiendo alternativas mejores y más seguras es difícil justificar, a día de hoy, seguir usando Flash Player, y salvo que sea estrictamente necesario seguir usándolo por alguna aplicación vital para nosotros, recomendamos encarecidamente desinstalarlo.

Conclusión

No es la primera vez que nos encontramos en esta situación y es bastante probable que se repita en el futuro. Tal y como ya hemos dicho, desinstalar Flash Player sería la mejor decisión que podríamos tomar para evitar que sus continuos fallos de seguridad nos afecten. No obstante, aún hay algunas webs y aplicaciones que requieren de su uso y tardaremos algunos años en ver cómo desaparece completamente. Hasta entonces, debemos seguir al tanto por si aparecen más actualizaciones.

Josep Albors

KRACK Attack rompe el cifrado WPA2. ¿Y ahora, qué?

Mar, 10/17/2017 - 11:55

En las últimas horas hemos visto que se han escrito cientos de artículos hablando de una nueva investigación que supondría un duro golpe para la seguridad WiFi, nada menos que la seguridad que proporciona el cifrado WPA2. Estamos hablando del que ya se conoce como KRACK Attack, y que, como todas las vulnerabilidades medianamente importantes desde hace un tiempo, ya dispone de una web  donde se explica su funcionamiento y un bonito logo.

 

Descripción del ataque

Todo lo que se sabe hasta el momento está publicado en esa web y en el paper que el investigador Mathy Vanhoef ha publicado. Además, se espera que se desvelen más detalles en el congreso Computer and Communication Security que se celebrará en Dallas del 30 de octubre al 3 de noviembre.

En resumen, y siempre basándonos en la información de la que disponemos hasta el momento, podríamos decir que un atacante podría aprovechar KRACK para reutilizar una clave criptográfica que ya ha sido usada, algo que el propio protocolo WPA2 intenta evitar mediante una serie de pasos conocidos como four-way handshake.

El fallo descubierto por este investigador permitiría repetir o modificar el mensaje numero tres que se envía desde el punto de acceso al dispositivo que desea conectarse a la red WiFi. En ese mensaje va la clave de cifrado usada y el atacante puede provocar que la señal de reconocimiento enviada desde el dispositivo al punto de acceso no se envíe, provocando que se repita de nuevo el tercer mensaje reutilizando la clave de cifrado.

A partir de este punto basta con capturar paquetes y descifrarlos; debido a que la clave de cifrado será siempre la misma, es cuestión de tiempo que el atacante consiga obtenerla.

Alcance masivo

Cuando se trata un tema tan crítico como la seguridad de las redes WiFi utilizadas en empresas y domicilios de todo el mundo, a las que se conectan millones de dispositivos, es normal que se hayan encendido todas las alarmas. Estamos hablando de una brecha de seguridad en algo que, hasta ayer mismo, se consideraba seguro y básico para la seguridad de las comunicaciones.

No obstante, tampoco debemos caer en el alarmismo innecesario, puesto que este tipo de ataques pueden resultar peligrosos en determinados escenarios pero solo si se cumplen ciertas condiciones.

Lo primero que se debe tener en cuenta es que un atacante que quiera aprovechar esta vulnerabilidad debe estar en un radio de alcance cercano. No se puede realizar este ataque de forma remota, y si bien muchos ya están pensando en utilizar esta vulnerabilidad para robar la WiFi al vecino, el principal problema se encuentra en las redes corporativas que manejan información bastante más importante que la que solemos manejar en casa.

También debemos tener en cuenta que aunque un atacante se conecte a nuestra WiFi protegida por WPA2 y se ponga a capturar paquetes, si estos viajan por un canal de comunicación cifrado como HTTPS o a través de VPN, el atacante será incapaz de obtener información confidencial. Con el creciente aumento del uso de HTTPS por parte de la mayoría de servicios online, esto es un alivio que mitiga bastante el alcance de este ataque.

Otro punto importante y que el investigador se ha encargado de matizar es que este ataque se realiza contra los dispositivos clientes, no contra los puntos de acceso que proporcionan conectividad WiFi. Eso significa que es probable que nuestro router no necesite ser actualizado (algo complicado en muchos modelos), siempre que adoptemos las medidas necesarias para desactivar la capacidad de funcionar como cliente en estos dispositivos.

Para la mayoría de usuarios debería bastar con actualizar sus dispositivos como portátiles, móviles y tablets cuando estas actualizaciones estén disponibles. De hecho, algunos fabricantes como Google, Apple y Microsoft ya han empezado a actualizar sus sistemas. También se han publicado parches para Linux y se puede consultar un listado bastante completo de fabricantes con las medidas adoptadas hasta el momento en el siguiente repositorio de Github.

Conclusión

No cabe duda de que el impacto de una vulnerabilidad de este tipo es muy alta, sobre todo porque, al contrario de como sucedió con el cifrado WEP, no hay un protocolo más seguro que lo sustituya. Todos aquellos usuarios que actualicen sus dispositivos con los parches existentes y los que vayan apareciendo en las próximas semanas deberían estar seguros.

El problema, no obstante, viene con los millones de usuarios de dispositivos que no van a ser capaces de actualizar, bien porque sus sistemas son demasiado antiguos y ya no reciben parches, o por puro desconocimiento del usuario. Unos de los principales afectados serán los usuarios de smartphones antiguos que van a ver la seguridad de sus comunicaciones vía WiFi seriamente afectada (aun más si cabe). Una posible solución sería utilizar algún proveedor de VPN, algo, por otro lado, muy recomendable para todo tipo de usuarios.

De cualquier forma, esperamos que investigaciones de este tipo sirvan para establecer protocolos más robustos de cara al futuro y que no tardemos en verlos implementados, sobre todo, para evitar ataques masivos como los que ya se están produciendo a los dispositivos del Internet de las cosas.

Josep Albors

Microsoft soluciona importantes agujeros de seguridad, incluyendo un 0-day

Mié, 10/11/2017 - 13:39

Segundo martes de cada mes, hora de actualizar Windows, o al menos así ha sido durante muchos años, a pesar del cambio de política en ese aspecto que Microsoft anda impulsando desde el lanzamiento de Windows 10 y que implica publicar actualizaciones críticas independientemente del día.

Un 0-day entre lo parcheado

Nada menos que 62 han sido los agujeros de seguridad que Microsoft ha solucionado con este boletín mensual de actualizaciones. Además, estos parches han estado bastante repartidos y se han publicado para aplicaciones como Internet Explorer, Skype para empresas, Microsoft Edge, diversos productos de Office o el propio sistema operativo Windows.

No obstante, hay una vulnerabilidad que destaca sobre el resto y que acaba de ser solucionada por Microsoft. Esta vulnerabilidad, descubierta no hace mucho por investigadores de Qihoo 360, es un 0-day que se ha observado siendo utilizado en ataques dirigidos. Se trata de un problema de corrupción de memoria que afecta todas las versiones soportadas de MS Office y que permitiría a un atacante la ejecución de código arbitrario al abrir un archivo especialmente modificado.

Esto significa que se podrían haber estado usando documentos de Word modificados especialmente para ejecutar código malicioso cuando la víctima los abriera. No hace falta imaginarnos muchos escenarios posibles de ataque, puesto que hemos estado viendo varios ejemplos en ataques dirigidos, por ejemplo, al sector bancario.

Otros agujeros de seguridad importantes solucionados

A pesar de la importancia del parche publicado para solucionar la vulnerabilidad en MS Office que acabamos de comentar, este boletín también ha servido para solucionar otros fallos de seguridad importantes, pero que no se ha observado que hayan sido utilizados hasta el momento.

Entre estos fallos de seguridad encontramos una denegación de servicio en el subsistema de Windows para Linux y una vulnerabilidad Cross-Site Scripting en MS Office Sharepoint. La primera de estas dos vulnerabilidades podría permitir a un atacante la ejecución de una aplicación maliciosa que afectase a un objeto en la memoria, algo que provocaría el cuelgue del sistema.

Por su parte, una ejecución exitosa de la segunda de estas vulnerabilidades permitiría a un atacante realizar ataques Cross-Site Scripting en los sistemas afectados, así como la ejecución de código malicioso en el mismo nivel de seguridad que el usuario que estuviese registrado en el sistema.

Además, también se ha solucionado una vulnerabilidad crítica en el cliente DNS de Windows que afecta a sistemas Windows 8.1, 10 y Windows Server 2012 a 2016. Esta vulnerabilidad puede ser activada por una respuesta DNS maliciosa y permitiría la ejecución arbitraria de código en sistemas Windows de escritorio y servidores con los mismos privilegios que la aplicación que realizó la petición DNS.

De hecho, Nick Freeman,  el investigador que descubrió esta vulnerabilidad, ha demostrado que se puede ejecutar código malicioso, escalar privilegios y tomar el control de la máquina vulnerable si esta se encuentra conectada a una red Wi-Fi en la que también se encuentre el atacante.

Conclusión

Siempre es buena idea tener el sistema operativo y las aplicaciones actualizadas, especialmente si estas actualizaciones corrigen vulnerabilidades que están siendo utilizadas activamente por los atacantes. Estos boletines mensuales ayudan a tener nuestro Windows actualizado, pero siempre se debe revisar si aquellas aplicaciones que no sean de Microsoft que tenemos instaladas en nuestro sistema cuentan con alguna actualización importante.

Josep Albors

Usuarios de PornHub, víctimas recientes del troyano Kovter

Mar, 10/10/2017 - 13:33

Cuando hablamos de las técnicas de propagación de malware usadas por los delincuentes en los últimos años podemos observar cómo se ha experimentado una evolución. Durante unos años los kits de exploit fueron predominantes, intentando descargar código malicioso en los ordenadores de aquellos usuarios que visitaban una web maliciosa o que había sido comprometida previamente. A día de hoy, no obstante, los kits de exploits han quedado relegados a un segundo plano, aunque siguen dando guerra tal y como vamos a ver a continuación.

Nuevo malware, mejorando técnicas clásicas

Hace unos días, miembros de Proofpoint y el investigador Kafeine publicaron los resultados tras analizar una nueva campaña de propagación de malware organizada por el grupo de delincuentes conocido como KovCoreG. Este grupo se ha ganado fama por distribuir malware especializado en fraude en publicidad online, explotando su sistema de afiliados y utilizando los tres principales navegadores para Windows como vector de propagación.

Durante más de un año han estado utilizando esta técnica, pero la campaña más reciente detectada ha sido desmantelada rápidamente una vez que tanto la red de publicidad como el sitio web afectado fueron informados de este hecho.

Tal y como ya hemos comentado en casos anteriores, el malvertising ha sido utilizado en varias ocasiones por delincuentes para propagar sus amenazas, y aunque se ha venido observando un descenso en el uso de este vector de ataque durante los últimos meses, sigue siendo lo bastante interesante como para que, de tanto en tanto, algún grupo criminal decida volverlo a utilizar.

Lo que se ha observado en esta campaña es que, en lugar de utilizar técnicas de propagación masiva para intentar conseguir el mayor número de víctimas potenciales, los delincuentes han preferido utilizar técnicas más depuradas y aprovechar la ingeniería social para conseguir un porcentaje de éxito más elevado.

Objetivo: PornHub

Para conseguir un éxito considerable, los delincuentes centraron sus esfuerzos en aprovechar y explotar Traffic Junky, la red publicitaria que gestiona los anuncios en PornHub, conocida web de contenido pornográfico que ocupa el ranking mundial número 38 (o el 21 en Alexa).

Una vez un usuario accedía a esta web con Google Chrome, Firefox o Internet Explorer / Edge, era redireccionado a otro dominio desde donde se ejecutaba código JavaScript ofuscado, idéntico según los investigadores al usado en otros kits de exploit como Neutrino. La ejecución de este código hace que los usuarios de Chrome y Firefox vean en su navegador una supuesta actualización del mismo, mientras que los usuarios de Internet Explorer / Edge verán una supuesta actualización de Adobe Flash Player.

Ejemplo de las pantallas mostradas en los diferentes navegadores. Fuente: ProofPoint

A continuación se descargan dos archivos con extensiones .flv y .mp4, archivos que actúan como descargadores del malware Kovter, presentado en la forma de un archivo .avi. El troyano Kovter es conocido por la persistencia que logra en el sistema y su facilidad a la hora de pasar desapercibido y por estar relacionado en campañas de fraude publicitario, haciendo que los sistemas infectados pulsen sobre anuncios sin conocimiento de los usuarios.

Siendo PornHub una de las webs más visitadas a nivel mundial, no sería de extrañar que el número de víctimas haya sido elevado. Sin embargo, la rápida actuación de PornHub y Traffic Junky a la hora de solucionar el problema tras ser informados ha prevenido que muchos más sean infectados.

Conclusión

Si bien las campañas de malvertising tradicional unidas al uso de kits de exploits no están pasando por su mejor momento, los delincuentes siguen confiando en ellas ocasionalmente para conseguir sus objetivos. Por eso mismo es importante que estemos atentos a la hora de visitar cualquier tipo de web, incluidas las de confianza, por si se intenta descargar algún fichero malicioso que infecte nuestro sistema.

Josep Albors

Múltiples vulnerabilidades en sistemas mac OS

Mar, 10/03/2017 - 09:54

Durante las últimas semanas hemos visto que el sitema macOS utilizado en los ordenadores de Apple ha sido protagonista de varias noticias relacionadas con la seguridad informática. Es probable que el lanzamiento el pasado 25 de septiembre del nuevo sistema operativo High Sierra tenga algo de relación, aunque, como vamos a ver a continuación, las vulnerabilidades descubiertás van más allá.

Robo de credenciales

El mismo día del lanzamiento del nuevo sistema operativo de Apple, el exanalista de la NSA Patrick Wardle publicó una vulnerabilidad que permitía a un atacante robar los nombres de usuario y contraseñas de las cuentas almacenadas en el llavero del sistema. Al parecer, las aplicaciones sin firmar instaladas en macOS High Sierra podrían acceder a este llavero y mostrar los usuarios y contraseñas almacenados en texto plano sin necesidad de pedir la contraseña maestra del usuario. En el siguiente vídeo podemos ver un ejemplo de su funcionamiento.

No obstante, para que este ataque funcione se necesita que el usuario descargue y ejecute código desde sitios repositorios que Apple no considera de confianza. De hecho, el propio sistema operativo impide que aquellas aplicaciones que no pertenezcan a desarrolladores de confianza se ejecuten en el sistema, a menos que el usuario desactive esta medida de seguridad explícitamente.

Si el atacante consigue que el usuario ejecute un fichero malicioso desactivando las medidas de seguridad incorporadas en el sistema y este se encuentra con la sesión iniciada, se podrían llegar a obtener las claves almacenadas en el llavero del sistema, algo que comprometería la seguridad de muchos servicios online utilizados por la víctima a menos que tuviese activado el doble factor de autenticación.

Saltándose mecanismos de defensa

Como acabamos de decir, macOS incorpora medidas de seguridad dentro del propio sistema. Sin embargo, hace unos días el investigador Filippo Cavallarin descubrió una vulnerabilidad en sistemas macOS anteriores a High Sierra que permite saltarse Quarantine, una de las características utilizadas por Apple para proteger a los usuarios de ciberataques y códigos maliciosos mediante el uso de una cuarentena en caso de detectar algo sospechoso.

Quarantine hace lo que se puede deducir por su nombre. Esto es, poner en cuarentena aquellos archivos que puedan resultar sospechosos de contener código malicioso. Cuando se descarga o descomprime un fichero se establece un atributo adicional y los ejecuta en un entorno restringido, impidiendo, por ejemplo, que los ficheros HTML no puedan cargar recursos o conectarse a servicios remotos que puedan estar controlados por un atacante.

La vulnerabilidad es posible porque existe un archivo HTML que es parte del kernel de macOS en la ubicación:

/System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html

Este fichero es susceptible de recibir ataques DOM XSS y esto permite ejecutar código JavaScript con el máximo nivel de permisos.

De momento, la solución pasa por actualizar a macOS High Sierra o eliminar el fichero HTML problemático.

EFIs que no se actualizan

Para complicar aún más las cosas, y a pesar de que muchas veces estas vulnerabilidades se solucionan con una simple actualización, durante el último mes conocimos los resultados de un estudio que indicaba que muchos Mac fallan a la hora de instalar parches para el firmware EFI (utilizado para controlar el proceso de arranque antes de que se inicie el sistema operativo), o ni siquiera los reciben.

Además de permitir saltarse otras medidas de seguridad, un ataque exitoso aprovechando vulnerabilidades en EFI consigue que el atacante se oculte muy bien y sea muy difícil de detectar y eliminar, puesto que la reinstalación del sistema o incluso el uso de un nuevo disco duro no son suficientes.

En determinados modelos de Mac el porcentaje que no recibió la actualización correspondiente de su EFI se eleva hasta el 43%, lo que revela que un elevado porcentaje de estos ordenadores son vulnerables a ciertos tipos de ataque como Thunderstrike 1 y 2, algo que afectaría notoriamente a sus usuarios.

Conclusión

Sin duda, septiembre ha sido un mes interesante en lo que a vulnerabilidades para Mac se refiere, y es muy probable que veamos nuevas investigaciones similares. Lo importante es que estas vulnerabilidades sean descubiertas por investigadores que luego las comuniquen para que sean solucionadas, y no por delincuentes que las aprovechen para infectar equipos.

Josep Albors

Blindando nuestro Kernel: Round 3

Lun, 09/25/2017 - 19:56

En este tercer post de la saga vamos a evitar que el malware pueda insertarse en nuestro kernel. Para ello compilaremos nuestro propio kernel para que no permita los LKM (loadable kernel modules).

Lo primero será descargar de kernel.org la versión que se adapte a aquello que estamos usando actualmente (uname -r). En mi caso estoy en un Ubuntu 16.04.2 LTS, de modo que descargamos la versión 4.4.84 y la extraemos, pero para que no nos falte ningún módulo actual copiaremos /boot/config-$(uname -r) como .config dentro de la carpeta que se generó en la extracción. Al copiar los módulos actualmente instalados evitaremos problemas después del reinicio, ya que hay características que podrían quedar desactivadas.

Modificando el .config del kernel que vamos a compilar observaremos que la característica CONFIG_DEVMEM está activa, esto limita el acceso a la memoria física y CONFIG_STRICT_DEVMEM restringirá su acceso. Ambas quedarán marcadas con una “n”. Esto es así porque el kernel tiene un espacio reservado única y exclusivamente para él, por motivos de seguridad. Con el comando make menuconfig también se pueden desmarcar estas opciones.

Ahora solo nos queda compilar nuestro Custom kernel con el comando make, o si nuestro ordenador dispone de 4 u 8 núcleos, en mi caso make -j4. Mientras éste se compila podemos salir a pasear al perro y cuando regresemos solo faltaría instalar los módulos del nuevo kernel con un make modules_install install, pero no sin antes desactivar la carga de módulos también en /etc/sysctl.conf, simplemente añadiendo o modificando esta línea “kernel.modules_disabled = 1” ya que “0” habilita la carga de módulos. Este archivo sysctl.conf contiene características del kernel, por ejemplo, la de desactivar módulos, tal y como acabamos de ver.

Como habréis observado al final del output durante la compilación nos regenerará el boot tal y como lo hemos configurado en el .config, de hecho, si abrimos el nuevo fichero config-(uname -r) en /boot observaremos que los módulos que no nos interesan están marcados con una “n”.

El siguiente paso será modificar el menú de inicio llamado grub, desde el que se pueden marcar distintas opciones de arranque. Ahora modificaremos el grub (/etc/default/grub) para cambiar el GRUB_TIMEOUT y subirlo a 10 segundos.

Ahora solo faltará lanzar el update-grub2 para actualizar la configuración, de este modo nuestro nuevo kernel protegido saldrá marcado por defecto en el menú de inicio. ¡Es hora de reiniciar y comprobar que todo funciona correctamente!.

Para comprobar si todo funciona como debe podemos hacer todo el procedimiento anterior, ahora el kernel ya no soportará la característica LKM (carga de módulos). Ahora ningún módulo puede insertarse dentro del kernel: hemos forzado que no admita la carga de nuevos módulos.

Son muchos los métodos y consejos que existen para este tipo de amenazas, estos son algunos.

NOTA:

Si te perdiste el round 1, aún estás a tiempo: Blindando nuestro kernel. Round 1 y sigue con el Round 2 para iniciar la fase defensiva.

Nos vemos en el próximo post: ¡¡PROTEGEROS!!

Técnicas de minado de criptomonedas usadas por los delincuentes

Lun, 09/25/2017 - 18:01

Las técnicas utilizadas para conseguir criptomonedas, tanto por parte de usuarios legítimos como por parte de cibercriminales, han experimentado una interesante progresión a lo largo de los últimos años. Lo habitual para un usuario es descargar alguno de los software de minado de las criptomonedas correspondientes, pero los delincuentes tienen sus propios métodos.

Del robo de monederos al minado vía web

A lo largo de los años hemos visto cómo los delincuentes han ido incorporando técnicas de lo más variopintas para conseguir estas criptodivisas de forma ilegal. Al principio se limitaron a crear malware que buscaba las carteras donde los usuarios almacenaban la clave privada que les permitía realizar operaciones con las criptomonedas de las que disponían.

Al cabo de un tiempo vimos como se incrementaban los ataques a los servicios online destinados tanto al almacenamiento de criptomonedas como a su compra y venta. Estos ataques se han ido multiplicando con el tiempo y durante los últimos meses hemos visto varios ejemplos, donde los delincuentes han conseguido robar cientos de miles de euros.

Además, se ha comprometido la seguridad de aplicaciones legítimas en varias ocasiones para incorporar funcionalidades de minado de criptodivisas. Sabiendo que el proceso de minado se beneficia de procesadores y tarjetas gráficas potentes, no es de extrañar que algunos de los objetivos preferidos de los delincuentes sean los jugadores que invierten grandes cantidades de dinero en tener su equipo a la última.

Sin embargo, en las últimas semanas hemos visto cómo se están extendiendo técnicas que consisten en propagar malware a través de kits de exploits ubicados en anuncios que aparecen en ventanas emergentes o directamente suplantando webs legítimas. La evolución de esta técnica consiste en minar criptomonedas directamente desde el navegador, sin descargar nada en el sistema, y hemos visto también cómo ha empezado a utilizarse en webs muy conocidas.

El minado desde The Pirate Bay

La semana pasada saltó la noticia de que la conocida web de descargas The Pirate Bay estaría utilizando la capacidad de proceso de los sistemas de sus visitantes para minar criptodivisas mediante un código javascript proporcionado por la plataforma Coin Hive. Esto sorprendió a la mayoría de usuarios y las quejas no tardaron en llegar, especialmente tras comprobarse que, efectivamente, la página principal de esta conocida web de descargas incorporaba ese código de minado.

Página principal de The Pirate Bay con el código JavaScript encargado del minado

Hay que tener en cuenta que no debería pasar nada si, al realizar este proceso de minado desde el navegador, se informara a los usuarios de su existencia y no se abusara de la capacidad de proceso del sistema conectado. El problema es que, por querer quitarse de en medio los molestos anuncios publicitarios, alguien en The Pirate Bay olvidó avisar a los usuarios que habían incorporado este nuevo sistema de financiación.

Tras recibir varias quejas, y también debido a que no pocos foros muy concurridos y webs especializadas se hicieron eco de este cambio en la forma de financiación, responsables de The Pirate Bay decidieron lanzar un comunicado indicando que la incorporación del código de minado había sido una prueba y preguntaron a los usuarios si querían seguir con los anuncios tradicionales o migrar hacia esta nueva forma de costear los gastos de la web.

Si se hubiera anunciado a los usuarios debidamente, este sería un ejemplo de uso legítimo de estos scripts de minado desde web. Sin embargo, y debido a las posibilidades que ofrece a la hora de camuflar este código de forma maliciosa en webs legítimas, los delincuentes ya han empezado a usarlo como método para obtener criptodivisas de forma eficaz.

Explotando la minería desde navegadores

Como ya hemos indicado, en los casos en los que el proceso de minería se ejecuta directamente dentro del navegador, no hay necesidad de infectar a la víctima o aprovecharse de vulnerabilidades existentes. El delincuente tan solo necesita que la víctima ejecute un navegador con JavaScript activado, algo que viene activado por defecto en la mayoría de los casos.

En un artículo publicado recientemente por nuestros compañeros de ESET en el blog WeLiveSecurity se analizó a fondo una campaña de este tipo, utilizando para ello la propia telemetría de ESET. Uno de los puntos más destacados de estas campañas es que el tipo de criptomonedas para minar elegidas por los delincuentes no requieren de hardware especializado como potentes tarjetas gráficas, por lo que cualquier dispositivo les sirve, independientemente de su potencia.

Los datos obtenidos revelaron que la mayoría de usuarios afectados, así como las webs utilizadas para distribuir el código, se encontraban en Rusia y Ucrania, tal y como se puede observar en el siguiente gráfico:

En esta investigación se localizaron decenas de sitios web con un código Javascript que iniciaba el proceso de minado directamente desde la página de inicio de la web visitada.

Conclusión

Como acabamos de ver, los delincuentes siguen innovando a la hora de intentar maximizar sus beneficios, y el minado de criptodivisas utilizando los recursos de sus víctimas es una de sus líneas de negocio con un amplio potencial de crecimiento.

Si queremos evitar que estos criminales utilicen nuestras máquinas en beneficio propio mientras navegamos por Internet, sería recomendable utilizar algún complemento para nuestro navegador que deshabilite la ejecución de código Javascript de forma automática. Si bien es una medida que algunos pueden considerar drástica, tras un periodo de adaptación puede ayudarnos a evitar esta y otras formas de amenazas.

Josep Albors

Blindando nuestro Kernel: Round 1

Mar, 09/19/2017 - 18:23

En esta primera entrada hablaremos sobre los conceptos básicos que debemos entender antes de profundizar en materia, de modo que …. ¿Qué es el kernel? Es posible que hayáis oído hablar de él en alguna ocasión, pero ¿cuál es la verdadera función de esta parte del sistema? Todas las acciones que el sistema operativo necesita hacer son procesadas por este núcleo. Podríamos decir que lo engloba todo: desde las teclas que pulsamos hasta lo que muestra la pantalla. Dado que tiene control total de los eventos internos que suceden en el sistema, es una parte muy crítica y atacada, sobre todo en los sistemas unix, desde FreeBSD hasta los más conocidos en la actualidad (Ubuntu, Debian, CentOS, etc…).

Este software tan poderoso está programado mayoritariamente en “C”, excepto algunos controladores muy concretos. Para que pueda gobernar nuestro sistema de manera eficiente se necesita involucrar a muchas de las partes en las que se divide. La parte en la que nos centraremos ahora será la tabla de llamadas que el kernel expone al usuario. A través de esta syscall le enviamos acciones al sistema. Por ejemplo, para listar los ficheros de un directorio realizaremos la llamada a la función open() en la tabla. Todo esto sucede de manera invisible y automática, sin que el usuario pueda apreciar el proceso. Al igual sucede con la función write() situada en la misma tabla de llamadas, la cual se ejecuta, por ejemplo, cuando un usuario guarda un documento en el disco duro.


Dado que la única parte que el kernel expone es la mencionada tabla, es el vector de ataque que un malware podría usar en caso de querer apoderarse del kernel para tener poder total dentro de nuestro sistema.

Otra parte de la que se encarga el kernel es de gestionar algunos drivers que el sistema necesita. Estos drivers, también llamados controladores, son el software encargado de que el hardware del dispositivo y el kernel encargado de enviar y recibir las órdenes, puedan comunicarse mutuamente. Estos drivers son cargados dentro del kernel a través de módulos que los desarrolladores de software programan. Por ejemplo, en caso de que nuestro sistema no detecte los drivers de la antena wifi, necesitaremos descargarlos y el sistema automáticamente sin que tengamos que preocuparnos, cargará el módulo encargado de la comunicación con la antena.

Supongamos que el driver que dice ser el controlador para nuestra wifi, lo que hace es (a través de la tabla de llamadas), instalar el módulo necesario para poder usar el wifi y, además, modifica la función de la syscall encargada de abrir archivos para que no nos muestre “alguno” de ellos, ocultando algún tipo de malware.

Una vez entendido dónde los ciberdelincuentes podrían ocultar malware en el kernel del sistema y cómo funcionan, ya podemos pasar a la fase defensiva que os explicaré en el siguiente post de la serie.

Google Play retira 300 aplicaciones involucradas en ataques de denegación de servicio

Lun, 09/04/2017 - 12:17

La gran cantidad de dispositivos móviles y su aumento en prestaciones durante los últimos años ha hecho que los delincuentes preparen sus amenazas pensando también en afectar a dispositivos como smartphones y usarlos en ataques que, hasta no hace tanto, eran exclusivos de los ordenadores de escritorio.

Denegación de servicio desde tu móvil

Hace unos días supimos que Google acababa de retirar casi 300 aplicaciones de su mercado de aplicaciones Google Play, tras descubrir que algunas de estas aplicaciones eran utilizadas para lanzar ataques de denegación de servicio desde los móviles en los que estaban instalados. Este tipo de ataque era algo que se venía estudiando desde que investigadores de ESET alertaron de esta posibilidad a principios de agosto.

https://blogs.protegerse.com/wp-content/imagenes/hiddenapp6.mp4

Hace unos días supimos que Google acababa de retirar casi 300 aplicaciones de su mercado de aplicaciones Google Play, tras descubrir que algunas de estas aplicaciones eran utilizadas para lanzar ataques de denegación de servicio desde los móviles en los que estaban instalados. Este tipo de ataque era algo que se venía estudiando desde que investigadores de ESET alertaron de esta posibilidad a principios de agosto.probar que una botnet, de nombre WireX y compuesta de unos 70.000 dispositivos móviles Android, estaba realizando este tipo de ataques. Al detectarse esta botnet, Google se ha visto obligada a tomar cartas en el asunto y retirar las aplicaciones que habían sido utilizadas por los delincuentes.

No ha tenido que pasar demasiado tiempo para comprobar que una botnet, de nombre WireX y compuesta de unos 70.000 dispositivos móviles Android, estaba realizando este tipo de ataques. Al detectarse esta botnet, Google se ha visto obligada a tomar cartas en el asunto y retirar las aplicaciones que habían sido utilizadas por los delincuentes.

Analizando la amenaza

Tal y como ya hemos indicado, nuestro compañero Lukas Stefanko, ingeniero del laboratorio central de ESET en Bratislava, fue quien descubrió a principios de agosto las primeras aplicaciones que estaban siendo utilizadas de forma fraudulenta por los delincuentes.

Su investigación permitió informar al equipo de Google Security con detalles del funcionamiento de esta amenaza, algo que ha permitido eliminar estas 300 app maliciosas y evitar que nuevos usuarios infectasen sus dispositivos. La amenaza es detectada por las soluciones de seguridad de ESET como Android/HiddenApp.

La mayoría de aplicaciones maliciosas se hacían pasar por apps de reproducción de vídeo o descargadores de contenido, con nombres como Tube Mate, Vid Mate, Snap Tube y otras variaciones. Sin embargo, al instalarse en el dispositivo se muestra una aplicación con un nombre e icono diferente (p.ej. File Storage, Data Manage, Support Assist, Network Filter, Device Analysis).

En el caso de que nos hayamos visto afectados y queramos desinstalar alguna de estas aplicaciones maliciosas de nuestro dispositivo Android, lo primero que debemos hacer es cancelar los permisos de administrador que estas app se adjudican. Para ello debemos ir a Ajustes > Seguridad > Administradores de dispositivos y desmarcar la casilla de las aplicaciones correspondientes. Seguidamente ya podremos desinstalar estas aplicaciones desde Configuración > Aplicaciones.

Conclusión

La infección de dispositivos como los smartphone o tablets mediante aplicaciones maliciosas es algo frecuente a día de hoy y supone uno de los vectores de ataque más utilizados por los delincuentes. Que la finalidad sea conseguir que estos dispositivos formen parte de una botnet para lanzar ataques de denegación de servicio tampoco debería sorprendernos a estas alturas, puesto que la mayoría de estos dispositivos cuentan con conexión permanente.

Como usuarios, debemos estar atentos a las aplicaciones que descargamos e instalamos en nuestro smartphone y tablet. Además, podemos estar más seguros añadiendo capas de protección como ESET Mobile Security, que nos ayudará a detectar este tipo de apps fraudulentas.

Josep Albors

Actualiza tu marcapasos para que no te rompan el corazón

Vie, 09/01/2017 - 11:46

Existen ciertos hitos en la historia de la medicina que tuvieron una notoria relevancia. La implantación de marcapasos supuso una importante mejora en la calidad de vida de los  pacientes con problemas del corazón, de eso no cabe duda. Sin embargo, a pesar de que la evolución de estos dispositivos ha permitido que su implantación sea sencilla y su mantenimiento y revisiones se puedan realizar sin necesitar cirugía, también ha abierto la puerta a ataques que, hasta no hace mucho, eran impensables.

Salta la alarma

La inseguridad de los marcapasos actuales no es precisamente algo nuevo, puesto que llevamos varios años hablando de ello e incluso ha inspirado a algún guionista a la hora de preparar un asesinato fuera de lo común en series de ficción. Sin embargo, hasta ahora estos problemas siempre habían quedado relegados a eventos de seguridad donde los investigadores exponían sus descubrimientos, sin que las empresas fabricantes de estos dispositivos médicos hicieran mucho por solucionar los problemas descubiertos.

Pero parece que esto va a cambiar y todo gracias al aviso que el ICS-CERT de los Estados Unidos ha publicado recientemente, y que ha hecho que organismos sanitarios de ese país como la FDA hayan solicitado que se actualicen casi medio millón de marcapasos que podrían ser vulnerables a un ataque.

Los dispositivos que han sido llamados a actualizarse pertenecen al fabricante Abbot Laboratories (que adquirió la empresa St. Jude Medical el año pasado, uno de los principales fabricantes de marcapasos)  e incluye todos los dispositivos fabricados antes del 28 de agosto de 2017, entre los que se encuentran los siguientes modelos:

  • Accent/Anthem
  • Accent MRI
  • Assurity/Allure
  • Assurity MRI

Esta decisión se ha realizado tras comprobarse que un atacante podría aprovechar alguna de las múltiples vulnerabilidades presentadas por investigadores en varios congresos de seguridad para tomar el control de un marcapasos situado a corta distancia. De esta forma, podría lanzar comandos o interferir en el correcto funcionamiento del dispositivo para hacer que deje de funcionar como debiera, algo que pondría en riesgo la vida de la víctima.

Actualizando el marcapasos

A pesar de la gravedad de las vulnerabilidades en los marcapasos que ahora se quieren solucionar actualizando el firmware de estos dispositivos, la realidad para la mayoría de los usuarios que tienen implantado uno es que, en su próxima revisión periódica, su médico se conectará a corta distancia para proceder a aplicar el correspondiente parche de seguridad para evitar posibles ciberataques.

Como toda actualización que se precie, esto es algo que se debe hacer tomando las precauciones necesarias para no causar un fallo en el dispositivo, y por eso es probable que se vayan aplicando poco a poco y espaciadas en el tiempo para evitar problemas que puedan afectar a muchos pacientes a la vez.

Tampoco es la primera vez que esta empresa recibe una alerta de este tipo, puesto que a principios de año fueron informados de numerosas vulnerabilidades en su dispositivo Merlin@home, un transmisor por radiofrecuencia diseñado por St. Jude Medical para monitorizar a los pacientes con marcapasos desde casa.

Conclusión

Casos como este demuestran que incluso temas tan delicados como nuestra salud dependen cada vez más de la seguridad del Internet de las Cosas. Además, gracias a las investigaciones de hackers como Barnaby Jack (que falleció en 2013 justo antes de dar una charla en Defcon, precisamente sobre vulnerabilidades en marcapasos y bombas de insulina) o Marie Moe (que hizo las pruebas con su propio marcapasos), estas vulnerabilidades pueden ser corregidas, algo que les tenemos que agradecer.

Esperemos que la industria médica siga pendiente de las vulnerabilidades existentes en numerosos dispositivos sanitarios y estas puedan ser corregidas sin tener que lamentar daños a ningún paciente.

Josep Albors

Encuentran cientos de millones de cuentas de email usadas por delincuentes para enviar spam

Jue, 08/31/2017 - 13:11

Cada vez que un usuario recibe un correo no deseado, es posible que se haga la típica pregunta: “¿Cómo han averiguado mi dirección de correo electrónico?”. La verdad es que con la cantidad de servicios online a los que nos suscribimos hoy en día y el robo constante de información personal (ya sea al propio usuario o a las empresas que guardan estos datos), no es de extrañar que los delincuentes tengan bases de datos de las cuentas de email de millones de usuarios (e incluso sus contraseñas).

Descubrimiento de los millones de cuentas de correo

Es frecuente que cada cierto tiempo veamos noticias relacionadas con la filtración de datos de millones de usuarios, normalmente sus cuentas de correo electrónico o datos relacionados con su domicilio (aunque también han habido filtraciones donde se han observado datos de tarjetas de crédito).

Sin embargo, la obtención de cientos de millones de datos como en el caso que analizamos hoy no es tan frecuente, y además nos permite ver la capacidad que tienen algunos delincuentes para enviar cantidades ingentes de spam a usuarios de todo el mundo.

Esto fue posible gracias a la investigación realizada por el analista de malware @benkow_, quien realizó un más que interesante análisis sobre el funcionamiento de los spambots utilizados por los delincuentes para realizar las campañas masivas de propagación de correos con finalidades maliciosas.

Ficheros conteniendo las direcciones comprometidas visibles de forma pública – Fuente: Troy Hunt

En su investigación, este analista se topó con una serie de archivos que contenían información relacionada con cientos de millones de direcciones de correo y también credenciales SMTP de todo el mundo. Para poder ayudar a los millones de usuarios cuyos emails y credenciales SMTP estaban almacenados en estos archivos, el investigador decidió contactar con Troy Hunt, responsable del portal Have I been Pwned? y uno de los referentes a la hora de concienciar a los usuarios a la hora de evitar que sus datos confidenciales sean robados por los delincuentes.

Análisis de esta información

Una vez Troy Hunt tuvo toda esta información en sus manos, decidió revisarla para ver qué contenía, encontrando dos grupos de información interesantes. Por una parte tenemos las direcciones de correo electrónico tal cual, en cantidades muy grandes y separadas por ficheros que pueden llegar a contener cientos de millones de direcciones.

Por otra parte, también se encontraron direcciones de email junto a contraseñas, de forma que los delincuentes podían utilizarlas para usarlas en beneficio propio, usando el servidor SMTP del usuario para enviar spam a otros usuarios.

Direcciones de correo junto con sus respectivas credenciales SMTP – Fuente: Troy Hunt

Un detalle importante que se averiguó a partir del análisis de toda esta información es que muchas de las direcciones de correo electrónico almacenadas por los responsables de este spambot pertenecían a filtraciones anteriores como la de LinkedIn, que, recordemos, también incluía las contraseñas de los usuarios en formato SHA1 (fácilmente descifrable).

Los emails que no habían sido filtrados hasta el momento ya han sido añadidos al servicio Have I been Pwned?, para que los usuarios puedan revisar si sus correos se encuentran entre los usados por este grupo de delincuentes o aparecieron en filtraciones anteriores. Es altamente recomendable que echemos un vistazo a esta web y, en el caso de detectar que alguna de nuestras cuentas de correo ha sido filtrada, cambiar inmediatamente la contraseña y, en caso de que sea posible, activar el doble factor de autenticación.

Conclusión

Como acabamos de ver, los correos no deseados que recibimos todos los días no prueban sin ton ni son hasta que encuentran una dirección válida, sino que disponen de listados de emails gigantescos, cuyos propietarios pueden convertirse en víctimas potenciales.

Por eso mismo es importante estar alerta y evitar introducir datos como el email en páginas con poca o mala reputación y, en el caso de que algún servicio de confianza sufra un ataque que comprometa nuestra información privada, aplicar las medidas de seguridad necesarias para no sufrir un incidente de seguridad en nuestras propias carnes.

Josep Albors

¡Nuestro blog cumple 10 años!

Lun, 08/28/2017 - 12:30

Un caluroso 28 de agosto de 2007 (tal día como hoy pero hace 10 años), este humilde blog echó a andar sin otra intención que ofrecer noticias relacionadas con la seguridad informática de una forma distendida y que pudiera ser entendida por la mayoría de usuarios. Hoy, 10 años después, son muchos los artículos publicados tocando varios temas y con diferentes enfoques para todo tipo de públicos, algo que pensamos seguir haciendo en el futuro.

Evolución de las amenazas informáticas

Desde aquel lejano día de hace diez años (en el que dábamos la bienvenida a nuestro blog con una escueta entrada) hasta ahora, han pasado muchas cosas. Han sido 10 años en los que hemos vivido en primera persona la evolución de las amenazas informáticas y cómo los usuarios han intentado hacerles frente con mayor o menor éxito.

Por aquel entonces, las amenazas más destacadas eran los troyanos bancarios y las botnets, con múltiples variantes que intentaban robar nuestras credenciales de acceso a la banca online o conseguir que nuestro ordenador formase parte de un red de ordenadores zombis, redes que durante esos años frecuentemente alcanzaban los millones de sistemas infectados.

Estas amenazas han seguido presentes hasta hoy en día, evolucionando a lo largo de los años pero con unas características básicas muy parecidas a las que había entonces. También observábamos en uno de nuestros primeros artículos el interés que empezaban a tener los delincuentes en los usuarios más jugones, algo que se ha ido incrementando en los últimos años hasta observar campañas enteras pensadas en afectar únicamente a este sector de los usuarios.

Palabras como ransomware no nos decían nada por aquel entonces, pero poco después de inaugurar este blog empezamos a ver que los delincuentes usaron nuevas técnicas que podríamos considerar como las antecesoras de esta amenaza. Empezaron con los falsos antivirus que nos alertaban de múltiples infecciones inexistentes en nuestro sistema, programas que solo buscaban nuestro dinero y que muchas veces se aprovechaban de noticias de impacto para propagarse en enlaces bien posicionados en los principales buscadores.

Unos años más tarde, a mediados de 2011, se empezaron a ver los casos de secuestro del ordenador con el conocido comúnmente como “Virus de la Policía” que tanto dio que hablar durante unos años más. Esas primeras variantes tan solo impedían el acceso al sistema, por lo que eran relativamente fáciles de sortear y eliminar. Con las numerosas detenciones que se produjeron relacionadas con estos casos algunos pensaron que esta amenaza pasaría a la historia, pero nada más lejos de la realidad.

Durante la segunda mitad de 2013 se empezaron a ver las primeras variantes de Cryptolocker, un nuevo ransomware que cifraba los archivos en lugar de impedir el acceso al sistema. Pedía además un rescate que era mayor al solicitado por el “Virus de la Policía”, e incluso fueron apareciendo cada vez más variantes que solicitaban que el pago se realizase con bitcoin, una criptomoneda de la que pocos habían oído hablar hasta entonces (pese a que ya habíamos hablado en alguna ocasión de estas criptodivisas unos años antes).

Desde entonces se han producido numerosos casos destacables de campañas de propagación de ransomware, tanto a nivel mundial como local. Recordamos especialmente las campañas que suplantaban un email de Correos, la falsa factura de Endesa o los más recientes casos de WannaCry o Diskcoder.C (también conocido como NotPetya), lo que provoca que, a día de hoy, el ransomware sea una de las amenazas más temidas por empresas y particulares.

Del ordenador al smartphone y el IoT

Los hábitos de uso y los dispositivos utilizados por los usuarios han cambiado notablemente en estos diez años. Si en 2007 usábamos el móvil para poco más que llamar, enviar sms, descargarnos politonos y algún que otro juego en Java, a día de hoy es un dispositivo imprescindible en nuestro día a día, especialmente por la conectividad casi permanente que nos ofrece.

Apenas hablábamos de amenazas en dispositivos móviles, aunque ya habíamos visto algún caso, y los smartphones  acababan de nacer con el primer iPhone, el cual se presentó ese mismo verano. Las tablets, tal y como las conocemos hoy en día, aún tardarían un poco más en llegar, y el que es actualmente el sistema operativo más utilizado (incluso por encima de Windows) todavía estaba en desarrollo cuando este blog abrió sus puertas.

Sin embargo, con el paso de los años fuimos viendo cómo los delincuentes portaban sus amenazas de los ordenadores de escritorio a los dispositivos móviles, algo lógico viendo la brutal adopción que hicieron los usuarios tanto de smartphones como de tablets en casi todo el mundo. A día de hoy es frecuente ver amenazas (dirigidas especialmente a Android por su gran cuota de mercado) que apuntan directamente a usuarios de smartphones, y a pesar de que el número sigue siendo menor si lo comparamos con las amenazas que se generan para Windows, es una tendencia al alza.

Con respecto al Internet de las cosas (IoT por sus siglas en inglés), si hace diez años era un tema que apenas se tenía en cuenta, a día de hoy la inseguridad en este área es una de las mayores preocupaciones. En diez años hemos visto cómo se conectaba a Internet todo tipo de dispositivos, desde coches a electrodomésticos, pasando por televisores, juguetes, pistolas y hasta vibradores. Sin embargo, la conectividad no ha venido acompañada de medidas de seguridad y eso hace que los ataques se produzcan de forma continua, afectando a la información privada de sus usuarios o incluso a su propia salud.

Retos de cara al futuro

Uno de los primeros artículos publicados en este blog hablaba precisamente de la ciberguerra, un tema que ha ido despertando un creciente interés desde ese momento. Ya entonces hablábamos de ataques sufridos (y provocados) por gobiernos de todo el mundo, una tendencia que no ha hecho más que aumentar.

El descubrimiento de Stuxnet supuso un punto de inflexión en este tema, puesto que se demostró que estas ciberarmas existían realmente y se estaban utilizando para atacar intereses de otros países (no necesariamente enemigos). Desde entonces, se han descubierto diversas variantes de malware que estaban diseñadas para dañar infraestructuras críticas o robar información confidencial de empresas y gobiernos.

Uno de los casos más recientes ha sido el de Industroyer, relacionado con los ataques a centrales eléctricas en Ucrania. Su sofisticación y adaptabilidad para afectar a otros sectores críticos son solo una muestra de lo que podríamos ver a corto plazo. Por desgracia, queda mucho trabajo por hacer para proteger todas las infraestructuras críticas que, de una forma u otra, están conectándose a redes públicas.

Tampoco se ha avanzado mucho en la prevención de ataques que utilizan la ingeniería social, puesto que estos siguen funcionando igual de bien que hace una década. Un ejemplo lo tenemos con los casos de falso soporte técnico, que hace diez años llamaban directamente a sus probables víctimas haciéndose pasar por servicios de soporte de conocidas empresas como Microsoft, y que hoy elaboran webs fraudulentas para hacer creer al usuario que está infectado y necesita llamar a un número de asistencia.

Ejemplos como este demuestran que aún queda mucho por hacer a la hora de educar y concienciar a usuarios de todos los niveles, y precisamente con esta finalidad nació este blog.

Conclusión

Podríamos decir que hemos pasado una década de lo más interesante analizando la actualidad de la seguridad informática. Buena prueba de ello son los 2165 artículos publicados (sin contar este), lo que da una media de más de 4 artículos publicados por semana. A día de hoy no faltan temas de los que hablar en este campo, y buena prueba de ello son los numerosos blogs que han ido apareciendo en estos últimos años, algunos de ellos de buenos amigos y de recomendada lectura.

Echando la vista atrás podemos decir que han sido unos años intensos, en los que hemos aprendido mucho. De la misma forma, hemos intentado transmitir estos conocimientos a todos los lectores que nos siguen y esperamos haber sido de ayuda. Ahora toca trabajar para seguir en la brecha para que dentro de 10 años podamos volver a celebrarlo y, sobre todo, daros las gracias a todos por habernos acompañado durante estos años.

El equipo del blog Protegerse

Utilizan Facebook Messenger para propagar adware y extensiones maliciosas de Chrome

Vie, 08/25/2017 - 12:05

Con alrededor de 2.000 millones de usuarios, Facebook sigue posicionándose como la mayor red social que existe actualmente. Estos millones de usuarios comparten sus momentos, inquietudes, viajes, etc. pero muchos también utilizan Messenger, el sistema de mensajería de la compañía para comunicarse con sus amigos. Esto lo saben los delincuentes y lo aprovechan para propagar sus amenazas, tal y como vamos a ver ahora.

Messenger como vector de infección

El uso malicioso de publicaciones en perfiles de Facebook y mensajes de Messenger con enlaces como vector de ataque no es nada nuevo, y llevamos bastante tiempo viendo cómo periódicamente este tipo de campañas se repiten cada cierto tiempo. La técnica no ha variado demasiado en los últimos años y eso demuestra que aún a día de hoy siguen picando en el anzuelo muchos usuarios.

Durante esta semana, varios investigadores han visto que se han estado propagando una serie de mensajes con un enlace acortado adjunto. En el mensaje, que proviene de alguno de nuestros contactos que ha sido previamente afectado, se indica el nombre de la posible víctima junto a la palabra video, lo que puede hacer que no pocos usuarios pulsen sobre el enlace.

Ejemplos de mensajes maliciosos – Fuente: Securelist y CSIS Security Group

En el caso de que nos dejemos llevar por la curiosidad y hagamos clic en el enlace acortado, este redirige a una imagen presentada como un falso vídeo alojado en Google Docs. Es importante destacar que los delincuentes se toman la molestia de capturar alguna foto de nuestro perfil para intentar hacer el falso vídeo más convincente, aunque en realidad tan solo se trate de la imagen levemente difuminada a la que se le ha añadido un botón de play encima.

Web con el falso vídeo donde se puede observar la redirección realizada al pulsar sobre la imagen

Si nos fijamos en el código de la web, vemos que cuando pulsamos sobre el falso vídeo se nos intenta redirigir a una web fuera de Google docs. Es en este punto donde los delincuentes han preparado una serie de webs donde utilizan cookies de seguimiento para vigilar la actividad de la víctima y mostrarle anuncios o enlaces en los que pueda caer fácilmente.

Por ese motivo, no todos los usuarios verán lo mismo cuando pulsen sobre el falso vídeo. A dónde se les redirigirá dependerá en gran medida del navegador y el sistema operativo que estén usando, los complementos que tengan instalados y su idioma o ubicación, tal y como veremos a continuación.

Diferente comportamiento según varios parámetros

Así pues, en el caso de que el usuario esté utilizando Firefox como navegador en Windows, se le mostrará  una falsa actualización de Flash Player que resultará ser en realidad un adware en forma de archivo.exe. Lo mismo pasa si utilizamos Firefox en macOS, solo que en este caso el fichero descargado será del tipo .dmg.

Ventana con Falsa actualización de Flash Player – Fuente: Securelist

En cambio, si la víctima utiliza Google Chrome como navegador web se le redirige a un sitio que simula ser Youtube, donde se le mostrará un mensaje de error falso y se le invitará a instalar una extensión maliciosa para su navegador. Esta extensión actúa en realidad como downloader, lo que significa que los delincuentes podrían descargar nuevos archivos maliciosos al sistema de la víctima. Esta técnica ya la hemos visto en numerosas ocasiones anteriormente, y parece que a los delincuentes les sigue dando buenos resultados.

Web que simula ser Youtube intentando instalar extensiones maliciosoas en Chrome –  Fuente: Securelist

De momento no se ha observado que se esté descargando malware propiamente dicho en los ordenadores de las víctimas afectadas por esta campaña y todo se limita al adware (anuncios no deseados). Esto no quita que los delincuentes estén ganando cantidades importantes de dinero por los anuncios que ven las víctimas.

Quizás, el mayor problema se encuentre en el acceso no autorizado que están teniendo una vez consiguen que la víctima caiga en la trampa y empieza a enviar el mensaje malicioso a todos sus contactos a través de Facebook Messenger. Es bastante probable que la campaña se iniciase precisamente a través de perfiles de Facebook que fueron comprometidos por no tener una configuración de su seguridad y gestión de las contraseñas lo suficientemente buena.

Conclusión

Tal y como acabamos de ver, este tipo de campañas delictivas sigue funcionando bastante bien a la hora de engañar a usuarios de redes sociales como Facebook para que pulsen sobre un enlace y descarguen algo malicioso en sus sistema. Conviene, por lo tanto, extremar las precauciones y configurar nuestra cuenta de Facebook con una contraseña robusta. Tampoco está de más revisar la configuración de privacidad para añadir el doble factor de autenticación y, sobre todo, evitar pulsar sobre enlaces que no sabemos a dónde nos van a llevar.

Josep Albors

 

¿Factura pendiente? ¡Cuidado, es una nueva variante del troyano bancario Zbot!

Jue, 08/24/2017 - 13:15

Durante el día de ayer y hoy hemos venido observando cómo se han empezado a propagar de forma considerable una nueva campaña de spam con una supuesta factura en formato .xls. Este engaño, en apariencia simple, esconde una campaña del conocido y veterano troyano bancario Zbot, que vuelve a tener a los usuarios de banca online españoles en su punto de mira.

La factura pendiente

Los que sigan este blog recordarán que a mediados de 2015 vimos una oleada de correos similar a la que estamos viendo durante estos días. En aquella ocasión también empezaron con mensajes sencillos como los que hemos visto en nuestras bandejas de entrada de correo durante las últimas horas para, posteriormente, pasar a suplantar a la empresa Movistar, que, supuestamente, nos enviaba nuestra factura electrónica en un fichero adjunto.

En esta ocasión encontramos similitudes en el vector de infección (el correo electrónico), pero los delincuentes han sustituido el fichero ejecutable con doble extensión que simulaba ser un PDF por una hoja de cálculo que, efectivamente, contiene una factura, pero también algo peor. Veamos dos ejemplos de correos utilizados por esta nueva campaña:

Ejemplos de correos con la factura adjunta maliciosa recibidos el 23 y 24 de Agosto

Como se puede observar, los remitentes de los correos parecen ser direcciones que ya han sido infectadas y están siendo utilizadas como bots para enviar este spam de forma masiva. En el caso de que el usuario decida abrir la factura, esto es lo que se va a encontrar:

Ejemplo de hoja de cálculo fraudulenta con macros maliciosas que descargan el troyano Zbot

Hace años que venimos observando cómo los delincuentes han vuelto a utilizar macros maliciosas como vector de ataque para descargar malware en los sistemas de sus víctimas. Esta técnica, que tiene 20 años de antigüedad, ha vuelto a resurgir con fuerza, y esto es indicativo de que algo está fallando a la hora de concienciar a los usuarios.

Macros maliciosas y descarga del malware

Como todo apunta a que este documento de Excel tiene mala pinta, procedemos a ver si esconde algo dentro de su código con la clásica herramienta OfficeMalScanner. Efectivamente, el documento contiene macros y nos toca a nosotros analizarlas para ver si hacen algo malicioso.

Extracción de las macros incluidas en la factura con OfficeMalScanner

Las macros se pueden extraer y revisar una por una en local, pero también podemos utilizar un servicio como Virustotal para revisarlas de forma más cómoda online si enviamos el fichero .xls para que sea analizado. Si revisamos el apartado “Macros and VBA code streams” veremos cómo se incluyen muchas macros inofensivas y una en concreto, que es la que nos interesa.

Visualización de la macro maliciosa ofuscada mediante Virustotal

Al analizar el código de esa macro podemos ver que se ejecutan comandos de PowerShell en el sistema, utilizando la concatenación de caracteres dentro de funciones creadas específicamente, para así intentar evadir su detección por parte de los sistemas de seguridad de los usuarios.

Código almacenado en la macro maliciosa con comandos de PowerShell incrustados

Utilizando otro sistema de análisis online de ficheros como Hybrid Analysis podemos obtener mucha información del comportamiento del fichero. Entre esa información se encuentran los comandos de PowerShell que acabamos de mencionar y, muy importante, las direcciones desde las cuales se descarga el payload en forma de fichero ejecutable.

Enlaces de descarga de los payload – Fuente: Hybrid Analysis

En el momento de escribir este análisis, hay dos ficheros identificados que intentan descargarse al ordenador de la víctima desde varias direcciones URL. Estos dos ficheros responden al nombre de keys.exe y utilite.exe. Cuando se realiza la conexión con estos dominios maliciosos, uno de los ejecutables se descarga al escritorio de la víctima y se ejecuta.

Descarga del payload en el escritorio de la víctima – Fuente: ESET Threat Intelligence Sandbox

Unos ejecutables muy bien preparados

Sobre los ejecutables que los delincuentes han preparado para esta campaña, hay que tener en cuenta varias cosas que los hacen especiales con respecto a los utilizados en campañas anteriores. Si analizamos las propiedades de ambos ejecutables observaremos como ambos tiene una firma digital válida (aunque diferente para cada ejecutable).

Detalles de los ficheros maliciosos con fírmas digitales aparentemente legítimas

Esto significa que a la vista del sistema no despertarán muchas sospechas y, además, no serán marcados como sospechosos en primera instancia por algunos sistemas de seguridad (a menos hasta que los analicen en una sandbox y revisen su comportamiento). Un vistazo rápido a las propiedades de uno de estos archivos con utilidades como PEStudio ya nos revela que ese fichero parece estar firmado de forma legítima y que, supuestamente, pertenece a una empresa real.

Información del fichero ejecutable malicioso mediante PEStudio

Si volvemos a revisar la información proporcionada por Virustotal sobre ese fichero, veremos la fecha en la que se ha producido esta firma digital en el fichero malicioso más reciente (utilite.exe): ha sido hoy mismo, a las 6:28 de la mañana.

Información de la firma digital del archivo  con su fecha de creación – Fuente: Virustotal

Actividad del bot

Zbot no es precisamente un desconocido, y sus múltiples variantes llevan años infectando los sistemas de los usuarios con sucesivas campañas. Una vez infecta la máquina, se encarga por una parte de recopilar credenciales bancarias y, por otra, de convertirla en un ordenador zombi utilizado, por ejemplo, para enviar más mensajes de spam como los utilizados por esta campaña, los cuales hemos visto al inicio del artículo.

En este caso se observa que el malware realiza conexiones a dos dominios en concreto que disponen de varias direcciones IP. Estas direcciones son utilizadas por el bot para reportar su estado y recibir órdenes de su centro de mando y control.

Dominios contactados por el troyano Zbot – Fuente: ESET Threat Intelligence

En la muestra de ayer vemos cómo se suceden las peticiones POST con información del sistema infectado a una dirección de Ucrania, que es probable que sea donde los delincuentes tengan ubicado su centro de mando y control y estén gestionando todos los bots conseguidos hasta el momento, y recopilando la información sobre credenciales bancarias robadas.

Conexiones de Zbot a sus centros de mando y control – Fuente: Hybrid Analysis

Bancos afectados

Ya que el correo está escrito en castellano, es de esperar que haya entidades bancarias españolas entre los objetivos a la hora de robar credenciales de los usuarios infectados. Gracias a la colaboración de otros investigadores, hemos podido identificar algunas de ellas.

Por ejemplo, Fernando Díaz (analista de malware en Hispasec Sistemas) fue el primero que reconoció una cadena en el código del malware donde se identificaba una entidad española, en este caso Bankia. Fernando ha colgado también en Pastebin información sobre otras entidades bancarias que están entre el objetivo de los delincuentes.

También el investigador que trabaja bajo el pseudónimo MyOnlineSecurity (todo un referente a la hora de analizar malware) ha proporcionado información complementaria muy interesante, entre la que encontramos más entidades españolas en el punto de mira como Santander, Ruralvia o Abanca.

Otros investigadores están analizando campañas similares en otros países como, precisamente, Ucrania, por lo que sospechamos que esta propagación del troyano Zbot se está realizando en otros países en una escala similar.

Conclusión

Como ya hemos comprobado en numerosas ocasiones anteriores, a veces lo más sencillo es lo que más éxito consigue. En esta ocasión acabamos de comprobar que un correo escrito de forma sencilla y con un adjunto aparentemente inofensivo puede causar mucho daño.

No obstante, también resulta fácil protegerse de estas amenazas. Si no estamos esperando ninguna factura y el remitente no nos suena de nada, lo lógico es descartar ese correo. Además, las macros vienen desactivadas por defecto en Microsoft Office desde hace muchos años y no encontramos motivos suficientes para que un usuario tenga habilitada su ejecución por defecto, por lo que recomendamos revisar la configuración de nuestro Office para comprobar que no estamos poniendo nuestro sistema en riesgo.

Josep Albors

Indicadores de compromiso

Hashes SHA256 de las muestras analizadas

0DC4B91DA8265383D13B6932818DE59582E26BB73773543042AB9574DB3E36F6

0dc4b91da8265383d13b6932818de59582e26bb73773543042ab9574db3e36f6

1dda7a17e1f7c0a65d7e8c734c7867ab8f6a1648f26d41e455cf9a4084966877

bc38a0ef3c9a8ff5a1d5b6384de278bea602afecb000ae1e6d3541220a13884c

ac877abc950e5ade62f28b19900e27fdeb979d32c8684c4b8c5361d8f3db6b5c

Dominios relacionados

paolonstruction[dot]cc

  1. 224. 53. 146
  2. 137. 167. 240
  3. 137. 49. 200
  4. 34. 93. 145
  5. 44. 158. 196
  6. 61. 35. 212
  7. 210. 34. 180
  8. 78. 37. 232

http://paolonstruction[dot]cc/neryjn/foots.php

  1. 224. 53. 146
  2. 137. 49. 200
  3. 34. 93. 145
  4. 44. 158. 196
  5. 61. 35. 212
  6. 210. 34. 180
  7. 78. 37. 232
  8. 137. 167. 240

Ficheros maliciosos

N__186_.01.AL.2017AGOSTO.xls

FACV201700005279.xls

2017 Fra-6086.xls

FACV201700006796.xls

Keys.exe (detectado por ESET como una variante del troyano Win32/Kryptik.DKHB)

utilite.exe (detectado por ESET como una variante del troyano Win32/Kryptik.ATND)

Hashes SHA256 de las muestras analizadas

 

 

Páginas