Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 32 mins

Google Play retira 300 aplicaciones involucradas en ataques de denegación de servicio

Lun, 09/04/2017 - 12:17

La gran cantidad de dispositivos móviles y su aumento en prestaciones durante los últimos años ha hecho que los delincuentes preparen sus amenazas pensando también en afectar a dispositivos como smartphones y usarlos en ataques que, hasta no hace tanto, eran exclusivos de los ordenadores de escritorio.

Denegación de servicio desde tu móvil

Hace unos días supimos que Google acababa de retirar casi 300 aplicaciones de su mercado de aplicaciones Google Play, tras descubrir que algunas de estas aplicaciones eran utilizadas para lanzar ataques de denegación de servicio desde los móviles en los que estaban instalados. Este tipo de ataque era algo que se venía estudiando desde que investigadores de ESET alertaron de esta posibilidad a principios de agosto.

https://blogs.protegerse.com/wp-content/imagenes/hiddenapp6.mp4

Hace unos días supimos que Google acababa de retirar casi 300 aplicaciones de su mercado de aplicaciones Google Play, tras descubrir que algunas de estas aplicaciones eran utilizadas para lanzar ataques de denegación de servicio desde los móviles en los que estaban instalados. Este tipo de ataque era algo que se venía estudiando desde que investigadores de ESET alertaron de esta posibilidad a principios de agosto.probar que una botnet, de nombre WireX y compuesta de unos 70.000 dispositivos móviles Android, estaba realizando este tipo de ataques. Al detectarse esta botnet, Google se ha visto obligada a tomar cartas en el asunto y retirar las aplicaciones que habían sido utilizadas por los delincuentes.

No ha tenido que pasar demasiado tiempo para comprobar que una botnet, de nombre WireX y compuesta de unos 70.000 dispositivos móviles Android, estaba realizando este tipo de ataques. Al detectarse esta botnet, Google se ha visto obligada a tomar cartas en el asunto y retirar las aplicaciones que habían sido utilizadas por los delincuentes.

Analizando la amenaza

Tal y como ya hemos indicado, nuestro compañero Lukas Stefanko, ingeniero del laboratorio central de ESET en Bratislava, fue quien descubrió a principios de agosto las primeras aplicaciones que estaban siendo utilizadas de forma fraudulenta por los delincuentes.

Su investigación permitió informar al equipo de Google Security con detalles del funcionamiento de esta amenaza, algo que ha permitido eliminar estas 300 app maliciosas y evitar que nuevos usuarios infectasen sus dispositivos. La amenaza es detectada por las soluciones de seguridad de ESET como Android/HiddenApp.

La mayoría de aplicaciones maliciosas se hacían pasar por apps de reproducción de vídeo o descargadores de contenido, con nombres como Tube Mate, Vid Mate, Snap Tube y otras variaciones. Sin embargo, al instalarse en el dispositivo se muestra una aplicación con un nombre e icono diferente (p.ej. File Storage, Data Manage, Support Assist, Network Filter, Device Analysis).

En el caso de que nos hayamos visto afectados y queramos desinstalar alguna de estas aplicaciones maliciosas de nuestro dispositivo Android, lo primero que debemos hacer es cancelar los permisos de administrador que estas app se adjudican. Para ello debemos ir a Ajustes > Seguridad > Administradores de dispositivos y desmarcar la casilla de las aplicaciones correspondientes. Seguidamente ya podremos desinstalar estas aplicaciones desde Configuración > Aplicaciones.

Conclusión

La infección de dispositivos como los smartphone o tablets mediante aplicaciones maliciosas es algo frecuente a día de hoy y supone uno de los vectores de ataque más utilizados por los delincuentes. Que la finalidad sea conseguir que estos dispositivos formen parte de una botnet para lanzar ataques de denegación de servicio tampoco debería sorprendernos a estas alturas, puesto que la mayoría de estos dispositivos cuentan con conexión permanente.

Como usuarios, debemos estar atentos a las aplicaciones que descargamos e instalamos en nuestro smartphone y tablet. Además, podemos estar más seguros añadiendo capas de protección como ESET Mobile Security, que nos ayudará a detectar este tipo de apps fraudulentas.

Josep Albors

Actualiza tu marcapasos para que no te rompan el corazón

Vie, 09/01/2017 - 11:46

Existen ciertos hitos en la historia de la medicina que tuvieron una notoria relevancia. La implantación de marcapasos supuso una importante mejora en la calidad de vida de los  pacientes con problemas del corazón, de eso no cabe duda. Sin embargo, a pesar de que la evolución de estos dispositivos ha permitido que su implantación sea sencilla y su mantenimiento y revisiones se puedan realizar sin necesitar cirugía, también ha abierto la puerta a ataques que, hasta no hace mucho, eran impensables.

Salta la alarma

La inseguridad de los marcapasos actuales no es precisamente algo nuevo, puesto que llevamos varios años hablando de ello e incluso ha inspirado a algún guionista a la hora de preparar un asesinato fuera de lo común en series de ficción. Sin embargo, hasta ahora estos problemas siempre habían quedado relegados a eventos de seguridad donde los investigadores exponían sus descubrimientos, sin que las empresas fabricantes de estos dispositivos médicos hicieran mucho por solucionar los problemas descubiertos.

Pero parece que esto va a cambiar y todo gracias al aviso que el ICS-CERT de los Estados Unidos ha publicado recientemente, y que ha hecho que organismos sanitarios de ese país como la FDA hayan solicitado que se actualicen casi medio millón de marcapasos que podrían ser vulnerables a un ataque.

Los dispositivos que han sido llamados a actualizarse pertenecen al fabricante Abbot Laboratories (que adquirió la empresa St. Jude Medical el año pasado, uno de los principales fabricantes de marcapasos)  e incluye todos los dispositivos fabricados antes del 28 de agosto de 2017, entre los que se encuentran los siguientes modelos:

  • Accent/Anthem
  • Accent MRI
  • Assurity/Allure
  • Assurity MRI

Esta decisión se ha realizado tras comprobarse que un atacante podría aprovechar alguna de las múltiples vulnerabilidades presentadas por investigadores en varios congresos de seguridad para tomar el control de un marcapasos situado a corta distancia. De esta forma, podría lanzar comandos o interferir en el correcto funcionamiento del dispositivo para hacer que deje de funcionar como debiera, algo que pondría en riesgo la vida de la víctima.

Actualizando el marcapasos

A pesar de la gravedad de las vulnerabilidades en los marcapasos que ahora se quieren solucionar actualizando el firmware de estos dispositivos, la realidad para la mayoría de los usuarios que tienen implantado uno es que, en su próxima revisión periódica, su médico se conectará a corta distancia para proceder a aplicar el correspondiente parche de seguridad para evitar posibles ciberataques.

Como toda actualización que se precie, esto es algo que se debe hacer tomando las precauciones necesarias para no causar un fallo en el dispositivo, y por eso es probable que se vayan aplicando poco a poco y espaciadas en el tiempo para evitar problemas que puedan afectar a muchos pacientes a la vez.

Tampoco es la primera vez que esta empresa recibe una alerta de este tipo, puesto que a principios de año fueron informados de numerosas vulnerabilidades en su dispositivo Merlin@home, un transmisor por radiofrecuencia diseñado por St. Jude Medical para monitorizar a los pacientes con marcapasos desde casa.

Conclusión

Casos como este demuestran que incluso temas tan delicados como nuestra salud dependen cada vez más de la seguridad del Internet de las Cosas. Además, gracias a las investigaciones de hackers como Barnaby Jack (que falleció en 2013 justo antes de dar una charla en Defcon, precisamente sobre vulnerabilidades en marcapasos y bombas de insulina) o Marie Moe (que hizo las pruebas con su propio marcapasos), estas vulnerabilidades pueden ser corregidas, algo que les tenemos que agradecer.

Esperemos que la industria médica siga pendiente de las vulnerabilidades existentes en numerosos dispositivos sanitarios y estas puedan ser corregidas sin tener que lamentar daños a ningún paciente.

Josep Albors

Encuentran cientos de millones de cuentas de email usadas por delincuentes para enviar spam

Jue, 08/31/2017 - 13:11

Cada vez que un usuario recibe un correo no deseado, es posible que se haga la típica pregunta: “¿Cómo han averiguado mi dirección de correo electrónico?”. La verdad es que con la cantidad de servicios online a los que nos suscribimos hoy en día y el robo constante de información personal (ya sea al propio usuario o a las empresas que guardan estos datos), no es de extrañar que los delincuentes tengan bases de datos de las cuentas de email de millones de usuarios (e incluso sus contraseñas).

Descubrimiento de los millones de cuentas de correo

Es frecuente que cada cierto tiempo veamos noticias relacionadas con la filtración de datos de millones de usuarios, normalmente sus cuentas de correo electrónico o datos relacionados con su domicilio (aunque también han habido filtraciones donde se han observado datos de tarjetas de crédito).

Sin embargo, la obtención de cientos de millones de datos como en el caso que analizamos hoy no es tan frecuente, y además nos permite ver la capacidad que tienen algunos delincuentes para enviar cantidades ingentes de spam a usuarios de todo el mundo.

Esto fue posible gracias a la investigación realizada por el analista de malware @benkow_, quien realizó un más que interesante análisis sobre el funcionamiento de los spambots utilizados por los delincuentes para realizar las campañas masivas de propagación de correos con finalidades maliciosas.

Ficheros conteniendo las direcciones comprometidas visibles de forma pública – Fuente: Troy Hunt

En su investigación, este analista se topó con una serie de archivos que contenían información relacionada con cientos de millones de direcciones de correo y también credenciales SMTP de todo el mundo. Para poder ayudar a los millones de usuarios cuyos emails y credenciales SMTP estaban almacenados en estos archivos, el investigador decidió contactar con Troy Hunt, responsable del portal Have I been Pwned? y uno de los referentes a la hora de concienciar a los usuarios a la hora de evitar que sus datos confidenciales sean robados por los delincuentes.

Análisis de esta información

Una vez Troy Hunt tuvo toda esta información en sus manos, decidió revisarla para ver qué contenía, encontrando dos grupos de información interesantes. Por una parte tenemos las direcciones de correo electrónico tal cual, en cantidades muy grandes y separadas por ficheros que pueden llegar a contener cientos de millones de direcciones.

Por otra parte, también se encontraron direcciones de email junto a contraseñas, de forma que los delincuentes podían utilizarlas para usarlas en beneficio propio, usando el servidor SMTP del usuario para enviar spam a otros usuarios.

Direcciones de correo junto con sus respectivas credenciales SMTP – Fuente: Troy Hunt

Un detalle importante que se averiguó a partir del análisis de toda esta información es que muchas de las direcciones de correo electrónico almacenadas por los responsables de este spambot pertenecían a filtraciones anteriores como la de LinkedIn, que, recordemos, también incluía las contraseñas de los usuarios en formato SHA1 (fácilmente descifrable).

Los emails que no habían sido filtrados hasta el momento ya han sido añadidos al servicio Have I been Pwned?, para que los usuarios puedan revisar si sus correos se encuentran entre los usados por este grupo de delincuentes o aparecieron en filtraciones anteriores. Es altamente recomendable que echemos un vistazo a esta web y, en el caso de detectar que alguna de nuestras cuentas de correo ha sido filtrada, cambiar inmediatamente la contraseña y, en caso de que sea posible, activar el doble factor de autenticación.

Conclusión

Como acabamos de ver, los correos no deseados que recibimos todos los días no prueban sin ton ni son hasta que encuentran una dirección válida, sino que disponen de listados de emails gigantescos, cuyos propietarios pueden convertirse en víctimas potenciales.

Por eso mismo es importante estar alerta y evitar introducir datos como el email en páginas con poca o mala reputación y, en el caso de que algún servicio de confianza sufra un ataque que comprometa nuestra información privada, aplicar las medidas de seguridad necesarias para no sufrir un incidente de seguridad en nuestras propias carnes.

Josep Albors

¡Nuestro blog cumple 10 años!

Lun, 08/28/2017 - 12:30

Un caluroso 28 de agosto de 2007 (tal día como hoy pero hace 10 años), este humilde blog echó a andar sin otra intención que ofrecer noticias relacionadas con la seguridad informática de una forma distendida y que pudiera ser entendida por la mayoría de usuarios. Hoy, 10 años después, son muchos los artículos publicados tocando varios temas y con diferentes enfoques para todo tipo de públicos, algo que pensamos seguir haciendo en el futuro.

Evolución de las amenazas informáticas

Desde aquel lejano día de hace diez años (en el que dábamos la bienvenida a nuestro blog con una escueta entrada) hasta ahora, han pasado muchas cosas. Han sido 10 años en los que hemos vivido en primera persona la evolución de las amenazas informáticas y cómo los usuarios han intentado hacerles frente con mayor o menor éxito.

Por aquel entonces, las amenazas más destacadas eran los troyanos bancarios y las botnets, con múltiples variantes que intentaban robar nuestras credenciales de acceso a la banca online o conseguir que nuestro ordenador formase parte de un red de ordenadores zombis, redes que durante esos años frecuentemente alcanzaban los millones de sistemas infectados.

Estas amenazas han seguido presentes hasta hoy en día, evolucionando a lo largo de los años pero con unas características básicas muy parecidas a las que había entonces. También observábamos en uno de nuestros primeros artículos el interés que empezaban a tener los delincuentes en los usuarios más jugones, algo que se ha ido incrementando en los últimos años hasta observar campañas enteras pensadas en afectar únicamente a este sector de los usuarios.

Palabras como ransomware no nos decían nada por aquel entonces, pero poco después de inaugurar este blog empezamos a ver que los delincuentes usaron nuevas técnicas que podríamos considerar como las antecesoras de esta amenaza. Empezaron con los falsos antivirus que nos alertaban de múltiples infecciones inexistentes en nuestro sistema, programas que solo buscaban nuestro dinero y que muchas veces se aprovechaban de noticias de impacto para propagarse en enlaces bien posicionados en los principales buscadores.

Unos años más tarde, a mediados de 2011, se empezaron a ver los casos de secuestro del ordenador con el conocido comúnmente como “Virus de la Policía” que tanto dio que hablar durante unos años más. Esas primeras variantes tan solo impedían el acceso al sistema, por lo que eran relativamente fáciles de sortear y eliminar. Con las numerosas detenciones que se produjeron relacionadas con estos casos algunos pensaron que esta amenaza pasaría a la historia, pero nada más lejos de la realidad.

Durante la segunda mitad de 2013 se empezaron a ver las primeras variantes de Cryptolocker, un nuevo ransomware que cifraba los archivos en lugar de impedir el acceso al sistema. Pedía además un rescate que era mayor al solicitado por el “Virus de la Policía”, e incluso fueron apareciendo cada vez más variantes que solicitaban que el pago se realizase con bitcoin, una criptomoneda de la que pocos habían oído hablar hasta entonces (pese a que ya habíamos hablado en alguna ocasión de estas criptodivisas unos años antes).

Desde entonces se han producido numerosos casos destacables de campañas de propagación de ransomware, tanto a nivel mundial como local. Recordamos especialmente las campañas que suplantaban un email de Correos, la falsa factura de Endesa o los más recientes casos de WannaCry o Diskcoder.C (también conocido como NotPetya), lo que provoca que, a día de hoy, el ransomware sea una de las amenazas más temidas por empresas y particulares.

Del ordenador al smartphone y el IoT

Los hábitos de uso y los dispositivos utilizados por los usuarios han cambiado notablemente en estos diez años. Si en 2007 usábamos el móvil para poco más que llamar, enviar sms, descargarnos politonos y algún que otro juego en Java, a día de hoy es un dispositivo imprescindible en nuestro día a día, especialmente por la conectividad casi permanente que nos ofrece.

Apenas hablábamos de amenazas en dispositivos móviles, aunque ya habíamos visto algún caso, y los smartphones  acababan de nacer con el primer iPhone, el cual se presentó ese mismo verano. Las tablets, tal y como las conocemos hoy en día, aún tardarían un poco más en llegar, y el que es actualmente el sistema operativo más utilizado (incluso por encima de Windows) todavía estaba en desarrollo cuando este blog abrió sus puertas.

Sin embargo, con el paso de los años fuimos viendo cómo los delincuentes portaban sus amenazas de los ordenadores de escritorio a los dispositivos móviles, algo lógico viendo la brutal adopción que hicieron los usuarios tanto de smartphones como de tablets en casi todo el mundo. A día de hoy es frecuente ver amenazas (dirigidas especialmente a Android por su gran cuota de mercado) que apuntan directamente a usuarios de smartphones, y a pesar de que el número sigue siendo menor si lo comparamos con las amenazas que se generan para Windows, es una tendencia al alza.

Con respecto al Internet de las cosas (IoT por sus siglas en inglés), si hace diez años era un tema que apenas se tenía en cuenta, a día de hoy la inseguridad en este área es una de las mayores preocupaciones. En diez años hemos visto cómo se conectaba a Internet todo tipo de dispositivos, desde coches a electrodomésticos, pasando por televisores, juguetes, pistolas y hasta vibradores. Sin embargo, la conectividad no ha venido acompañada de medidas de seguridad y eso hace que los ataques se produzcan de forma continua, afectando a la información privada de sus usuarios o incluso a su propia salud.

Retos de cara al futuro

Uno de los primeros artículos publicados en este blog hablaba precisamente de la ciberguerra, un tema que ha ido despertando un creciente interés desde ese momento. Ya entonces hablábamos de ataques sufridos (y provocados) por gobiernos de todo el mundo, una tendencia que no ha hecho más que aumentar.

El descubrimiento de Stuxnet supuso un punto de inflexión en este tema, puesto que se demostró que estas ciberarmas existían realmente y se estaban utilizando para atacar intereses de otros países (no necesariamente enemigos). Desde entonces, se han descubierto diversas variantes de malware que estaban diseñadas para dañar infraestructuras críticas o robar información confidencial de empresas y gobiernos.

Uno de los casos más recientes ha sido el de Industroyer, relacionado con los ataques a centrales eléctricas en Ucrania. Su sofisticación y adaptabilidad para afectar a otros sectores críticos son solo una muestra de lo que podríamos ver a corto plazo. Por desgracia, queda mucho trabajo por hacer para proteger todas las infraestructuras críticas que, de una forma u otra, están conectándose a redes públicas.

Tampoco se ha avanzado mucho en la prevención de ataques que utilizan la ingeniería social, puesto que estos siguen funcionando igual de bien que hace una década. Un ejemplo lo tenemos con los casos de falso soporte técnico, que hace diez años llamaban directamente a sus probables víctimas haciéndose pasar por servicios de soporte de conocidas empresas como Microsoft, y que hoy elaboran webs fraudulentas para hacer creer al usuario que está infectado y necesita llamar a un número de asistencia.

Ejemplos como este demuestran que aún queda mucho por hacer a la hora de educar y concienciar a usuarios de todos los niveles, y precisamente con esta finalidad nació este blog.

Conclusión

Podríamos decir que hemos pasado una década de lo más interesante analizando la actualidad de la seguridad informática. Buena prueba de ello son los 2165 artículos publicados (sin contar este), lo que da una media de más de 4 artículos publicados por semana. A día de hoy no faltan temas de los que hablar en este campo, y buena prueba de ello son los numerosos blogs que han ido apareciendo en estos últimos años, algunos de ellos de buenos amigos y de recomendada lectura.

Echando la vista atrás podemos decir que han sido unos años intensos, en los que hemos aprendido mucho. De la misma forma, hemos intentado transmitir estos conocimientos a todos los lectores que nos siguen y esperamos haber sido de ayuda. Ahora toca trabajar para seguir en la brecha para que dentro de 10 años podamos volver a celebrarlo y, sobre todo, daros las gracias a todos por habernos acompañado durante estos años.

El equipo del blog Protegerse

Utilizan Facebook Messenger para propagar adware y extensiones maliciosas de Chrome

Vie, 08/25/2017 - 12:05

Con alrededor de 2.000 millones de usuarios, Facebook sigue posicionándose como la mayor red social que existe actualmente. Estos millones de usuarios comparten sus momentos, inquietudes, viajes, etc. pero muchos también utilizan Messenger, el sistema de mensajería de la compañía para comunicarse con sus amigos. Esto lo saben los delincuentes y lo aprovechan para propagar sus amenazas, tal y como vamos a ver ahora.

Messenger como vector de infección

El uso malicioso de publicaciones en perfiles de Facebook y mensajes de Messenger con enlaces como vector de ataque no es nada nuevo, y llevamos bastante tiempo viendo cómo periódicamente este tipo de campañas se repiten cada cierto tiempo. La técnica no ha variado demasiado en los últimos años y eso demuestra que aún a día de hoy siguen picando en el anzuelo muchos usuarios.

Durante esta semana, varios investigadores han visto que se han estado propagando una serie de mensajes con un enlace acortado adjunto. En el mensaje, que proviene de alguno de nuestros contactos que ha sido previamente afectado, se indica el nombre de la posible víctima junto a la palabra video, lo que puede hacer que no pocos usuarios pulsen sobre el enlace.

Ejemplos de mensajes maliciosos – Fuente: Securelist y CSIS Security Group

En el caso de que nos dejemos llevar por la curiosidad y hagamos clic en el enlace acortado, este redirige a una imagen presentada como un falso vídeo alojado en Google Docs. Es importante destacar que los delincuentes se toman la molestia de capturar alguna foto de nuestro perfil para intentar hacer el falso vídeo más convincente, aunque en realidad tan solo se trate de la imagen levemente difuminada a la que se le ha añadido un botón de play encima.

Web con el falso vídeo donde se puede observar la redirección realizada al pulsar sobre la imagen

Si nos fijamos en el código de la web, vemos que cuando pulsamos sobre el falso vídeo se nos intenta redirigir a una web fuera de Google docs. Es en este punto donde los delincuentes han preparado una serie de webs donde utilizan cookies de seguimiento para vigilar la actividad de la víctima y mostrarle anuncios o enlaces en los que pueda caer fácilmente.

Por ese motivo, no todos los usuarios verán lo mismo cuando pulsen sobre el falso vídeo. A dónde se les redirigirá dependerá en gran medida del navegador y el sistema operativo que estén usando, los complementos que tengan instalados y su idioma o ubicación, tal y como veremos a continuación.

Diferente comportamiento según varios parámetros

Así pues, en el caso de que el usuario esté utilizando Firefox como navegador en Windows, se le mostrará  una falsa actualización de Flash Player que resultará ser en realidad un adware en forma de archivo.exe. Lo mismo pasa si utilizamos Firefox en macOS, solo que en este caso el fichero descargado será del tipo .dmg.

Ventana con Falsa actualización de Flash Player – Fuente: Securelist

En cambio, si la víctima utiliza Google Chrome como navegador web se le redirige a un sitio que simula ser Youtube, donde se le mostrará un mensaje de error falso y se le invitará a instalar una extensión maliciosa para su navegador. Esta extensión actúa en realidad como downloader, lo que significa que los delincuentes podrían descargar nuevos archivos maliciosos al sistema de la víctima. Esta técnica ya la hemos visto en numerosas ocasiones anteriormente, y parece que a los delincuentes les sigue dando buenos resultados.

Web que simula ser Youtube intentando instalar extensiones maliciosoas en Chrome –  Fuente: Securelist

De momento no se ha observado que se esté descargando malware propiamente dicho en los ordenadores de las víctimas afectadas por esta campaña y todo se limita al adware (anuncios no deseados). Esto no quita que los delincuentes estén ganando cantidades importantes de dinero por los anuncios que ven las víctimas.

Quizás, el mayor problema se encuentre en el acceso no autorizado que están teniendo una vez consiguen que la víctima caiga en la trampa y empieza a enviar el mensaje malicioso a todos sus contactos a través de Facebook Messenger. Es bastante probable que la campaña se iniciase precisamente a través de perfiles de Facebook que fueron comprometidos por no tener una configuración de su seguridad y gestión de las contraseñas lo suficientemente buena.

Conclusión

Tal y como acabamos de ver, este tipo de campañas delictivas sigue funcionando bastante bien a la hora de engañar a usuarios de redes sociales como Facebook para que pulsen sobre un enlace y descarguen algo malicioso en sus sistema. Conviene, por lo tanto, extremar las precauciones y configurar nuestra cuenta de Facebook con una contraseña robusta. Tampoco está de más revisar la configuración de privacidad para añadir el doble factor de autenticación y, sobre todo, evitar pulsar sobre enlaces que no sabemos a dónde nos van a llevar.

Josep Albors

 

¿Factura pendiente? ¡Cuidado, es una nueva variante del troyano bancario Zbot!

Jue, 08/24/2017 - 13:15

Durante el día de ayer y hoy hemos venido observando cómo se han empezado a propagar de forma considerable una nueva campaña de spam con una supuesta factura en formato .xls. Este engaño, en apariencia simple, esconde una campaña del conocido y veterano troyano bancario Zbot, que vuelve a tener a los usuarios de banca online españoles en su punto de mira.

La factura pendiente

Los que sigan este blog recordarán que a mediados de 2015 vimos una oleada de correos similar a la que estamos viendo durante estos días. En aquella ocasión también empezaron con mensajes sencillos como los que hemos visto en nuestras bandejas de entrada de correo durante las últimas horas para, posteriormente, pasar a suplantar a la empresa Movistar, que, supuestamente, nos enviaba nuestra factura electrónica en un fichero adjunto.

En esta ocasión encontramos similitudes en el vector de infección (el correo electrónico), pero los delincuentes han sustituido el fichero ejecutable con doble extensión que simulaba ser un PDF por una hoja de cálculo que, efectivamente, contiene una factura, pero también algo peor. Veamos dos ejemplos de correos utilizados por esta nueva campaña:

Ejemplos de correos con la factura adjunta maliciosa recibidos el 23 y 24 de Agosto

Como se puede observar, los remitentes de los correos parecen ser direcciones que ya han sido infectadas y están siendo utilizadas como bots para enviar este spam de forma masiva. En el caso de que el usuario decida abrir la factura, esto es lo que se va a encontrar:

Ejemplo de hoja de cálculo fraudulenta con macros maliciosas que descargan el troyano Zbot

Hace años que venimos observando cómo los delincuentes han vuelto a utilizar macros maliciosas como vector de ataque para descargar malware en los sistemas de sus víctimas. Esta técnica, que tiene 20 años de antigüedad, ha vuelto a resurgir con fuerza, y esto es indicativo de que algo está fallando a la hora de concienciar a los usuarios.

Macros maliciosas y descarga del malware

Como todo apunta a que este documento de Excel tiene mala pinta, procedemos a ver si esconde algo dentro de su código con la clásica herramienta OfficeMalScanner. Efectivamente, el documento contiene macros y nos toca a nosotros analizarlas para ver si hacen algo malicioso.

Extracción de las macros incluidas en la factura con OfficeMalScanner

Las macros se pueden extraer y revisar una por una en local, pero también podemos utilizar un servicio como Virustotal para revisarlas de forma más cómoda online si enviamos el fichero .xls para que sea analizado. Si revisamos el apartado “Macros and VBA code streams” veremos cómo se incluyen muchas macros inofensivas y una en concreto, que es la que nos interesa.

Visualización de la macro maliciosa ofuscada mediante Virustotal

Al analizar el código de esa macro podemos ver que se ejecutan comandos de PowerShell en el sistema, utilizando la concatenación de caracteres dentro de funciones creadas específicamente, para así intentar evadir su detección por parte de los sistemas de seguridad de los usuarios.

Código almacenado en la macro maliciosa con comandos de PowerShell incrustados

Utilizando otro sistema de análisis online de ficheros como Hybrid Analysis podemos obtener mucha información del comportamiento del fichero. Entre esa información se encuentran los comandos de PowerShell que acabamos de mencionar y, muy importante, las direcciones desde las cuales se descarga el payload en forma de fichero ejecutable.

Enlaces de descarga de los payload – Fuente: Hybrid Analysis

En el momento de escribir este análisis, hay dos ficheros identificados que intentan descargarse al ordenador de la víctima desde varias direcciones URL. Estos dos ficheros responden al nombre de keys.exe y utilite.exe. Cuando se realiza la conexión con estos dominios maliciosos, uno de los ejecutables se descarga al escritorio de la víctima y se ejecuta.

Descarga del payload en el escritorio de la víctima – Fuente: ESET Threat Intelligence Sandbox

Unos ejecutables muy bien preparados

Sobre los ejecutables que los delincuentes han preparado para esta campaña, hay que tener en cuenta varias cosas que los hacen especiales con respecto a los utilizados en campañas anteriores. Si analizamos las propiedades de ambos ejecutables observaremos como ambos tiene una firma digital válida (aunque diferente para cada ejecutable).

Detalles de los ficheros maliciosos con fírmas digitales aparentemente legítimas

Esto significa que a la vista del sistema no despertarán muchas sospechas y, además, no serán marcados como sospechosos en primera instancia por algunos sistemas de seguridad (a menos hasta que los analicen en una sandbox y revisen su comportamiento). Un vistazo rápido a las propiedades de uno de estos archivos con utilidades como PEStudio ya nos revela que ese fichero parece estar firmado de forma legítima y que, supuestamente, pertenece a una empresa real.

Información del fichero ejecutable malicioso mediante PEStudio

Si volvemos a revisar la información proporcionada por Virustotal sobre ese fichero, veremos la fecha en la que se ha producido esta firma digital en el fichero malicioso más reciente (utilite.exe): ha sido hoy mismo, a las 6:28 de la mañana.

Información de la firma digital del archivo  con su fecha de creación – Fuente: Virustotal

Actividad del bot

Zbot no es precisamente un desconocido, y sus múltiples variantes llevan años infectando los sistemas de los usuarios con sucesivas campañas. Una vez infecta la máquina, se encarga por una parte de recopilar credenciales bancarias y, por otra, de convertirla en un ordenador zombi utilizado, por ejemplo, para enviar más mensajes de spam como los utilizados por esta campaña, los cuales hemos visto al inicio del artículo.

En este caso se observa que el malware realiza conexiones a dos dominios en concreto que disponen de varias direcciones IP. Estas direcciones son utilizadas por el bot para reportar su estado y recibir órdenes de su centro de mando y control.

Dominios contactados por el troyano Zbot – Fuente: ESET Threat Intelligence

En la muestra de ayer vemos cómo se suceden las peticiones POST con información del sistema infectado a una dirección de Ucrania, que es probable que sea donde los delincuentes tengan ubicado su centro de mando y control y estén gestionando todos los bots conseguidos hasta el momento, y recopilando la información sobre credenciales bancarias robadas.

Conexiones de Zbot a sus centros de mando y control – Fuente: Hybrid Analysis

Bancos afectados

Ya que el correo está escrito en castellano, es de esperar que haya entidades bancarias españolas entre los objetivos a la hora de robar credenciales de los usuarios infectados. Gracias a la colaboración de otros investigadores, hemos podido identificar algunas de ellas.

Por ejemplo, Fernando Díaz (analista de malware en Hispasec Sistemas) fue el primero que reconoció una cadena en el código del malware donde se identificaba una entidad española, en este caso Bankia. Fernando ha colgado también en Pastebin información sobre otras entidades bancarias que están entre el objetivo de los delincuentes.

También el investigador que trabaja bajo el pseudónimo MyOnlineSecurity (todo un referente a la hora de analizar malware) ha proporcionado información complementaria muy interesante, entre la que encontramos más entidades españolas en el punto de mira como Santander, Ruralvia o Abanca.

Otros investigadores están analizando campañas similares en otros países como, precisamente, Ucrania, por lo que sospechamos que esta propagación del troyano Zbot se está realizando en otros países en una escala similar.

Conclusión

Como ya hemos comprobado en numerosas ocasiones anteriores, a veces lo más sencillo es lo que más éxito consigue. En esta ocasión acabamos de comprobar que un correo escrito de forma sencilla y con un adjunto aparentemente inofensivo puede causar mucho daño.

No obstante, también resulta fácil protegerse de estas amenazas. Si no estamos esperando ninguna factura y el remitente no nos suena de nada, lo lógico es descartar ese correo. Además, las macros vienen desactivadas por defecto en Microsoft Office desde hace muchos años y no encontramos motivos suficientes para que un usuario tenga habilitada su ejecución por defecto, por lo que recomendamos revisar la configuración de nuestro Office para comprobar que no estamos poniendo nuestro sistema en riesgo.

Josep Albors

Indicadores de compromiso

Hashes SHA256 de las muestras analizadas

0DC4B91DA8265383D13B6932818DE59582E26BB73773543042AB9574DB3E36F6

0dc4b91da8265383d13b6932818de59582e26bb73773543042ab9574db3e36f6

1dda7a17e1f7c0a65d7e8c734c7867ab8f6a1648f26d41e455cf9a4084966877

bc38a0ef3c9a8ff5a1d5b6384de278bea602afecb000ae1e6d3541220a13884c

ac877abc950e5ade62f28b19900e27fdeb979d32c8684c4b8c5361d8f3db6b5c

Dominios relacionados

paolonstruction[dot]cc

  1. 224. 53. 146
  2. 137. 167. 240
  3. 137. 49. 200
  4. 34. 93. 145
  5. 44. 158. 196
  6. 61. 35. 212
  7. 210. 34. 180
  8. 78. 37. 232

http://paolonstruction[dot]cc/neryjn/foots.php

  1. 224. 53. 146
  2. 137. 49. 200
  3. 34. 93. 145
  4. 44. 158. 196
  5. 61. 35. 212
  6. 210. 34. 180
  7. 78. 37. 232
  8. 137. 167. 240

Ficheros maliciosos

N__186_.01.AL.2017AGOSTO.xls

FACV201700005279.xls

2017 Fra-6086.xls

FACV201700006796.xls

Keys.exe (detectado por ESET como una variante del troyano Win32/Kryptik.DKHB)

utilite.exe (detectado por ESET como una variante del troyano Win32/Kryptik.ATND)

Hashes SHA256 de las muestras analizadas

 

 

El malware que mina criptomonedas, una tendencia en auge

Mié, 08/23/2017 - 18:32

No cabe duda de que estas últimas semanas están siendo bastante movidas en lo que respecta a todo lo relacionado con las criptomonedas. Por eso mismo, es comprensible que algunos delincuentes tengan ahora como objetivo infectar las máquinas de los usuarios para utilizarlas como mineros de Bitcoins, Ethereum, Monero o cualquier otra criptodivisa.

Utilización de publicidad maliciosa

A la hora de conseguir infectar un sistema los delincuentes suelen utilizar varias tácticas, aunque siempre hay unas que destacan sobre las otras. Un ejemplo lo tenemos en los millones de correos electrónicos que se utilizan a diario para propagar amenazas como el ransomware y que suelen ir adjuntas a ese mismo correo, o bien se descargan desde un enlace que podemos encontrar en el cuerpo del mensaje.

Otra técnica utiliza los kits de exploits que, aunque han visto disminuir su uso con respecto a años anteriores, siguen siendo un vector de ataque a tener en cuenta. Esta ha sido el método utilizado recientemente por un grupo de delincuentes para propagar malware que se encargaba de minar criptomonedas, aprovechando para ello los recursos de las máquinas infectadas.

Este malware, descubierto por los investigadores de FireEye, utiliza el kit de exploits Neptune (también conocido como Terror Exploit Kit) dentro de una campaña que usa de forma maliciosa un servicio de anuncios publicitarios online, consiguiendo así que el usuario termine descargando un software de minado de la criptomoneda Monero.

El kit de exploits hace que se muestren ventanas de publicidad emergentes relacionadas con el senderismo, páginas que están controladas por los delincuentes y que contienen exploits que se aprovechan de vulnerabilidades en HTML y Adobe Flash. Esta redirección maliciosa parece estar bastante conseguida, ya que las ventanas emergentes simulan muy bien sitios webs de senderismo legítimos.

También se han detectado otros ejemplos donde lo que se suplanta son sitios webs originales utilizados habitualmente por los usuarios para convertir vídeos de Youtube a otros formatos. Cuando los usuarios son redirigidos a las webs falsas controladas por los atacantes se descarga el cliente de Monero que empezará a minar consumiendo los recursos de la máquina de la víctima y enviando los beneficios a los delincuentes.

Conclusión

A mucha gente puede parecerles curioso ver como los delincuentes utilizan el malware para obtener de forma ilegítima estas criptodivisas, pero hace años que venimos comentando casos donde se robaban las carteras utilizadas para almacenarlas o se infectaba la máquina de la víctima para usar su recursos y destinarlos a la minería de criptodivisas.

Viendo el auge que han experimentado estas monedas en los últimos meses, el incremento de su valor y que cada vez hay más usuarios dedicando recursos no precisamente baratos (como son las tarjetas gráficas de alta  gama) al minado de criptomonedas, es de esperar que este tipo de incidentes de seguridad se sigan produciendo a corto plazo.

Josep Albors

Roban cientos de miles de euros en Ethereum tras conseguir hackear la plataforma Enigma

Mar, 08/22/2017 - 10:43

Últimamente las noticias relacionadas con  las criptomonedas se están multiplicando, y no solo para decir el aumento significativo del valor que algunas de estas divisas han experimentado. Lamentablemente, conforme aumenta este valor y el interés de los usuarios, también aumenta el interés de los delincuentes, y solo durante las últimas semanas llevamos ya unos cuantos ejemplos de robos y plataformas de criptodivisas comprometidas.

Enigma es solo el último ejemplo

Nada más comenzar la semana, hemos sabido de otro incidente similar a los que analizamos a mediados de julio, en el que uno o varios atacantes se hicieron con el control de varios canales asociados con la el Proyecto Enigma, incluyendo su web oficial, su canal de Slack y su lista de correo oficial. Posteriormente, se utilizaron esas vías de comunicación para convencer a los usuarios de esta plataforma de que enviasen sus criptomonedas Ethereum a la dirección equivocada controlada por los delincuentes.

Tal y como sucedió en anteriores ocasiones, este robo se ha producido durante la preventa de la ICO inicial de la empresa, prevista para el próximo 11 de septiembre. Estas ICO (Initial Coin Offering por sus siglas en inglés) sirven para financiar el lanzamiento o ampliación de este tipo de plataformas, donde los usuarios compran tokens en lugar de acciones. De la misma forma que sucede con las acciones, los usuarios pueden quedarse los tokens y venderlos posteriormente o esperar a que la empresa los decida recomprar.

El método de actuación de los delincuentes en este caso fue similar al de casos anteriores, y muy probablemente se aprovechó de una mala política de gestión de contraseñas para hacerse con el control de la web oficial, el canal de Slack y la lista de correo. Precisamente, a la lista de correo mandaron los delincuentes el siguiente mensaje:

Mensaje fraudulento enviado a la lista de correo de Enigma – Fuente: cryptoiskey

No contentos con enviar este mensaje a la lista de correo oficial, también lo propagaron por el canal de Slack de este proyecto, para así llegar al mayor número de usuarios posible y maximizar el beneficio de este robo.

Mensaje fraudulento enviado al canal de Slack de Enigma – Fuente: cryptoiskey

El enlace publicado en ambos mensajes redirigía a la web oficial, pero los delincuentes se encargaron de modificar la dirección a la que los usuarios enviaban sus pagos en Ethereum para adquirir tokens y así quedarse con ellos. Durante el tiempo que esta dirección fraudulenta estuvo activa, los delincuentes consiguieron acumular una cifra que se estima entre 470.000 $ y 600.000 $.

¿Cómo se pudo realizar este ataque?

Tras descubrir que el enlace al que los usuarios estaban realizando los pagos no era el legítimo, los responsables de Enigma comenzaron a investigar y, poco después, descubrieron lo que había pasado. Mediante un comunicado tanto en su web como a través de Twitter avisaron a sus usuarios de que su web oficial había resultado comprometida, así como también el canal de Slack y la lista de correo.

Según informaron los responsables de la plataforma, otros datos sensibles como los fondos de la empresa, direcciones de carteras, contraseñas y claves privadas de los usuarios no fueron comprometidos.

Todo apunta a que una mala política de gestión de contraseñas permitió a los atacantes tomar el control de los canales de comunicación con los usuarios afectados. Hay incluso usuarios que apuntan a que el dueño de esta plataforma vio comprometida su cuenta de correo y contraseña en la filtración de datos que sucedió tras el ataque a la web Ashley Madison. Al parecer, podría haber estado reutilizando esta contraseña en otros servicios como los que se han comprometido durante este ataque, y eso ha facilitado la labor de los delincuentes.

Conclusión

Es bastante probable que incidentes de este tipo se vuelvan a producir a corto plazo viendo el éxito que tienen actualmente las criptomonedas, pues cada vez más usuarios se animan a adquirirlas y a operar con ellas. Por eso es importante que los responsables de plataformas como Enigma tomen las medidas de seguridad necesarias, puesto que acabamos de ver cómo una mala gestión de las contraseñas puede ocasionar cientos de miles de euros en pérdidas.

El cambio periódico de la contraseña y que esta sea robusta, acompañado de alguna medida adicional como el doble factor de autenticación, ayuda a prevenir incidentes como el que acabamos de analizar y su implementación es sencilla y nada costosa, especialmente si tenemos en cuenta el posible daño provocado por no haber tenido en cuenta estas medidas de seguridad.

Josep Albors

El grupo Ourmine compromete las cuentas de Twitter y Facebook de PlayStation

Lun, 08/21/2017 - 11:22

Durante esta semana se celebra en Colonia (Alemania) la Gamescon, una de las ferias del videojuego más importantes del mundo (junto al E3 de Los Ángeles y el Tokyo Game Show). En ella, las principales compañías desarrolladoras de videojuegos presentan sus novedades, y las tres grandes del sector (Sony, Microsoft y Nintendo) preparan su artillería de cara a la temporada más importante del año en cuanto a ventas.

Sony sufre un imprevisto

Precisamente cuando todo estaba a punto para dar el pistoletazo de salida al evento, Sony ha vuelto a sufrir uno de esos incidentes que tanto daño le han hecho en el pasado, aunque su alcance aún está por confirmar. Durante el día de ayer se publicaron varios tweets y publicaciones sin autorización en las cuentas oficiales de PlayStation en Twitter y Facebook.

Estos mensajes fueron publicados por el grupo Ourmine, un grupo del que ya hemos tenido noticias anteriormente cuando ha comprometido cuentas oficiales en redes sociales de otras empresas importantes. Uno de los casos más sonados fue el del creador de Facebook, Mark Zuckerberg, aunque no fue, ni mucho menos, el único.

En los mensajes publicados ayer se ve como este grupo anuncia haber conseguido bases de datos de PlayStation Network, la red que los usuarios de las consolas de Sony utilizan para, entre otras cosas, jugar online con otros usuarios. También afirman que no van a filtrar esa base de datos, ya que ello son una “empresa de seguridad”.

Los más veteranos recordarán el incidente sufrido por Sony en 2011, en la que toda la información de los más de 75 millones de usuarios con los que contaba PlayStation Network por aquel entonces fue filtrada, incluyendo datos personales como el nombre, dirección postal, email e incluso los datos de la tarjeta de crédito. Tras este grave incidente, Sony se vio obligada a compensar a los usuarios de algún modo y no fueron pocos los que se llevaron varios juegos de regalo.

Ahora parecería que estamos ante un caso similar, aunque siempre según la información proporcionada por el mismo grupo responsable del ataque. En lo que a Sony respecta, aún no ha realizado ninguna declaración oficial, limitándose a borrar las publicaciones realizadas por el grupo Ourmine en sus perfiles de redes sociales.

Relación con ataques a HBO y webs infectadas

Como ya hemos dicho, este grupo ha estado bastante activo durante los últimos meses y una de las empresas que ha sufrido su “visita” recientemente es HBO, quien no está pasando por su mejor momento tras el ataque sufrido hace unas semanas y que ha revelado información confidencial de la empresa y sus empleados, y filtrado capítulos de series tan importantes como Juego de tronos.

Si bien en el caso de Sony no parece que, al menos en esta ocasión, exista una motivación de chantajear directamente a la empresa como si la hay en el caso de HBO, aún es pronto para descartar esta posibilidad. Por lo pronto, el grupo Ourmine solicita que contacten con ellos, supuestamente para ofrecerles sus servicios como empresa de seguridad y evitar sufrir este tipo de ataques en el futuro.

Para contactar con ellos dejan la dirección de una web, dirección en la que proporcionan información de su “empresa” y sus servicios. Como ya hemos indicado, este grupo se promociona como una empresa de seguridad, capaz de asesorar a grandes multinacionales. La realidad, no obstante, es que su propia web ha sido comprometida (o la han preparado así ellos mismos) y cuando un usuario accede no tardará en ver cómo se abre una  ventana de su navegador indicándole con una falsa alarma que su sistema está infectado.

Este tipo de avisos son similares a los que reciben las víctimas del falso soporte técnico, aunque en esta variante lo que persiguen los delincuentes es que el usuario termine comprando un supuesto software de seguridad a un precio nada económico y que, en realidad, no realiza ninguna labor de desinfección sobre el sistema, puesto que los mensajes avisando de amenazas detectadas son falsos.

Conclusión

Hasta que Sony no se pronuncie de forma oficial sobre este tema o se pueda demostrar de alguna forma que, efectivamente, se ha conseguido robar la base de datos de usuarios de PlayStation Network, todo lo que se diga no son más que conjeturas. Desde luego, la coincidencia de esta supuesta filtración con el inicio de la Gamescon no le debe de hacer mucha gracia los directivos de Sony, aunque si finalmente todo queda en un susto la solución podría pasar simplemente en implementar el doble factor de autenticación en sus cuentas oficiales en redes sociales.

Josep Albors

 

Aprovechan el auge del bitcoin para estafar con la adaptación de un scam anterior

Vie, 08/18/2017 - 12:52

No cabe duda de que llevamos unos meses de locura desatada con todo lo relacionado con el minado de criptomonedas. Ya sean Bitcoin, Ethereum, ZCash u otras divisas similares, solo hay que echar un vistazo a la escasez y a la subida de precio de varios modelos de tarjetas gráficas que, en lugar de emplearse para obtener mejores gráficos y rendimiento en videojuegos, se destinan a la minería intensiva.

Cierto es que el valor de estas monedas ha sufrido altibajos, pero la tendencia es que sigan al alza y eso lo saben los delincuentes, que no solo demandan el pago de los rescates a los afectados por el ransomware en estas divisas, sino que también tienen en su punto de mira a todos aquellos mineros que han empezado a acumular criptodivisas o están pensando hacerlo.

El correo que promete cambiarnos la vida

No es de extrañar que se estén recibiendo últimamente correos electrónicos que nos hablan de las bondades de invertir en Bitcoin y de los grandes beneficios económicos que se pueden obtener en muy poco tiempo y sin apenas esfuerzo. Veamos, por ejemplo, uno de los correos recibidos en nuestro laboratorio durante las últimas horas.

El cuerpo del mensaje lo deja bien claro. Un supuesto usuario de un sistema de compra-venta de Bitcoins que afirma haber obtenido la cantidad de casi 14.000 dólares en apenas 24 horas y que, en un alarde de generosidad, nos invita a participar para que nosotros también nos beneficiemos.

A estas alturas de la película, lo normal sería que muchos usuarios desconfiasen del correo y lo eliminasen de su bandeja de entrada sin pensárselo demasiado. Sin embargo, como ya hemos dicho, el tema de las criptomonedas está de actualidad y hay mucha gente que solo ha oído campanas y piensa que esto de las criptomonedas puede servirles para hacerse ricos de la noche a la mañana.

De ese desconocimiento se aprovechan estafas como la que vamos a analizar hoy, y es que si el usuario ha mordido el anzuelo y pulsa sobre el correo que acabamos de ver, será redirigido a la siguiente web.

Como vemos, está todo preparado para ser lo suficientemente convincente, dando cierta apariencia de profesionalidad e incluso incluyendo un vídeo explicatorio donde se observan los beneficios de confiar en un negocio así. En realidad, esta estafa es muy similar a otra que analizamos el año pasado y que ha estado propagándose durante los últimos meses, adaptándose a usuarios de numerosos países.

Para generar aun más confianza, se nos ofrecen testimonios de supuestos usuarios que ya están beneficiándose de este sistema y muestran orgullosos las cantidades obtenidas hasta el momento. Por supuesto, ninguno de estos usuarios ni las cantidades mostradas son reales, y la única finalidad de mostrarlos es terminar de convencer al ingenuo que haya aterrizado en esa web pensando que va a hacer una fortuna.

Cosas de las que sospechar

Como siempre se pilla antes a un mentiroso que a un cojo, vamos a fijarnos en los detalles que nos confirman que estamos ante un engaño. Empezamos con la imagen anterior, y es que si bien se nos indica que la última actualización de las operaciones es del día 18 de agosto de 2017, todas las que aparecen son del 8 de agosto… ¡de 2016! A alguien se lo olvidó cambiar este dato en la plantilla usada para este tipo de estafas y actualizarlo con la fecha correspondiente.

Siguiente punto. Como en todo tipo de negocio de éxito que se precie, siempre ha de aparecer la figura del emprendedor, el genio de las finanzas que nos va a permitir alcanzar nuestro sueño de ser millonario. La web se encarga de mostrárnoslo muy orgulloso posando ante la cámara y, en esta ocasión, nuestro mesías se llama Sergio Marlón.

En la fotografía observamos un hombre joven, sonriente, feliz de compartir su sabiduría con nosotros junto a una breve biografía que demuestra lo listo que es. Todo un dechado de virtudes y el marido que toda madre querría para su hija. Un emprendedor nato, de esos que hablan de criptomonedas y el blockchain como si lo hubieran inventado ellos mismos con esa habilidad que la madre naturaleza les otorgó.

Pero claro, si el tal Sergio Marlón es un crack de las finanzas, ¿por qué su foto aparece realizando una sencilla búsqueda como una foto de stock? ¿Será que es tan humilde, guapo, rico y buen inversor que prefiere ocultar su identidad real con una fachada falsa? ¿No será que ese perfil es más falso que una moneda de tres euros y alguien nos la quiere colar creando la imagen de una persona de éxito que no existe? Va a ser eso…

Pero bueno, vamos a pasar esos detalles por alto y pensar que el encargado de preparar la web tuvo un mal día. Procedamos a registrarnos y a empezar a ganar dinero. Nos piden nuestros datos de contacto (nombre, apellidos, email y teléfono) y accedemos a un supuesto portal donde empezar a realizar las operaciones que nos convertirán en millonarios. Pero, ¡oh, sorpresa! Antes de nada, hay que realizar un pequeño depósito. Solo son 250 $ de nada, una cantidad insignificante comparado con los miles de euros que vamos a ganar.

Aquí ya deberían saltar todas las alarmas pero, aun así, seguro que ya ha picado más de uno.

Sin embargo, hay otro aviso que, al menos si sabemos inglés, debería servir como alerta definitiva. En ese aviso nos indican del elevado riesgo que supone realizar estas inversiones y que la empresa detrás de todo este tinglado no se hace responsable de las posibles pérdidas en las que podamos incurrir.

Hablando de esa empresa, la verdad es que no hay que buscar mucho para encontrar referencias no especialmente buenas y que deberían servir para alejar a cualquier usuario con dos dedos de frente de estas operaciones de elevado riesgo.

Conclusión

Parece claro que todo el boom de las criptomonedas que estamos viviendo actualmente ha despertado interés en los ciberdelincuentes y ya no es raro ver estafas de este tipo, como tampoco lo son los malware que infectan sistemas para utilizarlos en la minería o los que se dedican a robar las carteras de los mineros de criptomonedas.

Esta tendencia no parece que vaya a disminuir a corto plazo, por lo que tanto si estás pensando en ponerte a minar o invertir en este tipo de divisas como si ya lo estás haciendo desde hace tiempo, adopta las precauciones necesarias para quedarte sin el dinero que tanto nos cuesta ganar.

Josep Albors

Análisis de nuevas variantes del troyano bancario Trickbot

Jue, 08/17/2017 - 14:00

El troyano bancario Trickbot ha demostrado ser un malware de lo más interesante, puesto que los delincuentes detrás de su creación y mantenimiento no paran de mejorarlo con cada nueva variante que aparece. En el artículo de hoy vamos a analizar la campaña de propagación más reciente y una funcionalidad que posiblemente veamos implementada de forma definitiva en futuras versiones, y que podría causar una propagación masiva de esta amenaza.

El falso fax con sorpresa

El principal vector de ataque inicial de Trickbot sigue siendo el correo electrónico, y todo apunta a que lo seguirá siendo durante una temporada. Es una forma sencilla, barata y eficaz de propagar una amenaza y muchos usuarios siguen picando en correos con asuntos tan básicos como el que vemos a continuación.

Ejemplo de correo utilizado por Trickbot – Fuente: MyOnlineSecurity

En ese correo se hace referencia a un supuesto eFax y también se menciona el fichero adjunto en formato .doc de Microsoft Word. Como ya hemos visto en numerosos ejemplos anteriores, adjuntar este tipo de ficheros hace que muchos usuarios bajen la guardia pensando que resultan inofensivos, pero, como veremos a continuación, si el usuario sigue las instrucciones indicadas por los delincuentes, este tipo de archivos puede utilizarse perfectamente para descargar archivos maliciosos.

Por defecto, todas las versiones modernas de Microsoft Office utilizan la vista protegida para evitar precisamente que se ejecute código malicioso a través de las macros. Por ese motivo los delincuentes intentan mostrar avisos los suficientemente convincentes para que los usuarios desactiven las medidas de seguridad implementadas en Office y poder ejecutar el malware.

Documento de Word adjunto invitando al usuario a permitir la ejecución de macros maliciosas

Una imagen que no es lo que parece

En esta ocasión las macros maliciosas que contiene el documento de Word realizan una petición GET de un fichero de nombre nothing44.png, petición que se realiza a una dirección de una web legítima que ha sido comprometida por los delincuentes y en la que se aloja un archivo de nombre nothing.png.

Como dato curioso, la web que se ha utilizado para alojar el malware está registrada a nombre de un usuario residente en Girona, nada extraño, ya que solo por el nombre del dominio (cfigueras.com) ya se puede deducir que podría pertenecer a alguien de esa provincia catalana.

Análisis de las peticiones HTTP realizadas en la fase inicial de la infección

Si revisamos el fichero que se descarga podríamos pensar en un primer vistazo que, efectivamente, se trata de una imagen. El icono se corresponde con el de una imagen, la extensión del archivo también, e incluso si revisamos las propiedades del fichero el propio sistema nos dice que es una imagen PNG.

Falsa imagen descargada que contienen en realidad un ejecutable malicioso

Sin embargo, esto no es más que una inteligente artimaña utilizada por los delincuentes para camuflar su creación, ya que si revisamos las características del archivo vemos como se trata en realidad de un PE (iniciales de Portable Executable), o lo que es lo mismo, un archivo ejecutable de Windows con la extensión cambiada para aparentar lo que no es.

Propiedades del archivo donde se comprueba que es un ejecutable y no una imagen

En lo que respecta a la ejecución del proceso, una vez se descarga la falsa imagen en el sistema de la víctima se crean varios ficheros ejecutables en carpetas temporales del sistema que son los que, en última instancia, activan el código malicioso del bot y proceden a realizar las funciones maliciosas de este troyano bancario, que son, fundamentalmente, el robo de credenciales e información relacionada con entidades bancarias.

Creación y ejecución de sucesivos ficheros maliciosos que conforman el troyano Trickbot – Fuente: Any.Run

La peligrosa evolución de Trickbot

Como ya hemos dicho, Trickbot ha dado mucho que hablar durante los últimos meses y se ha convertido en el ejemplo de troyano bancario a seguir por varios grupos de delincuentes. La continua revisión a la que está sometido por parte de sus desarrolladores hace que constantemente se les estén añadiendo funcionalidades que mejoran su funcionamiento y tasas de infección.

Durante las últimas semanas se han estado observando modificaciones en el código fuente de este malware, que apuntan a que los delincuentes responsables de su creación y mantenimiento están probando nuevas vías de propagación que aumenten considerablemente las tasas de infección.

A finales de julio vimos que el investigador Vitali Kremez publicaba en el blog de Flashpoint un extenso análisis de las últimas variantes de Locky recibidas. En ese análisis se observaba que, aparentemente, los desarrolladores de Trickbot estaban probando un módulo de propagación que permitiera que esta amenaza se extendiese como un gusano informático utilizando para ello SMB (como hicieron Wannacry y Diskcoder.C recientemente) y la enumeración de otros ordenadores de la red vía LDAP.

Hasta el momento no se ha observado que se haya implementado esta característica en las versiones más recientes de Trickbot, como la que acabamos de analizar, pero es algo que no deberíamos descartar a corto y medio plazo.

Conclusión

No cabe duda de que el grupo de delincuentes detrás de Trickbot está invirtiendo tiempo y recursos en hacer su creación cada vez más eficiente y fácil de propagar. Su impacto a día de hoy se podría considera casi global, con bancos españoles en su punto de mira desde principios de julio y realizando continuas campañas de spam en busca de nuevas víctimas.

Si el módulo que proporcionaría una capacidad de propagación como la de un gusano informático termina viendo la luz, estaríamos ante una amenaza muy peligrosa por las posibilidades de movimiento lateral dentro de una red corporativa que estas características le proporcionarían. Con un número mayor de bots, los delincuentes no solo podrían robar más credenciales relacionadas con operaciones a través de banca online, sino que también podrían realizar otras actividades delictivas igual o más peligrosas si cabe.

La mejor forma de prevenir una infección de este tipo es atajándola en su origen, evitando abrir correos electrónicos no solicitados y menos aún los ficheros adjuntos que estos contienen, aunque provengan de remitentes de confianza y sean archivos aparentemente inofensivos. Estas medidas, acompañadas de soluciones de seguridad capaces de detectar este tipo de emails y bloquearlos antes de que lleguen al usuario final, pueden ahorrarnos más de un quebradero de cabeza.

Josep Albors

Indicadores de compromiso

Hash256 de la muestra analizada

BC52DE68B68840D4BECADD10DDE75D659A61A38E0B116AC7B4BED067948B315E

Enlaces de descarga del malware

http://cfigueras[dot]com/nothing44.png

Nombre y ruta de los ficheros realcionados con el malware:

C:\Users\admin\AppData\Roaming\winapp\Pgchyvf.exe

C:\Users\admin\AppData\Local\Temp\Qhdizwg.exe

C:\Users\admin\AppData\Local\Temp\xzahmd.bat

C:\Users\admin\AppData\Local\Temp\TRICKBOT.doc

Los ransomware Nemucod y Mamba vuelven a la carga durante el verano

Mié, 08/16/2017 - 13:03

A pesar de que cada día aparecen nuevas variantes de ransomware, existen ciertas familias que, bien por ser especialmente efectivas o por tener a un grupo de desarrollo importante detrás que las actualizan constantemente (o por ambas razones), siguen estando muy presentes. Lo vimos hace unos días cuando analizamos una nueva variante del ransomware Locky, que tanto tiempo lleva entre nosotros y la historia parece repetirse en las muestras que analizamos en este post.

Nemucod no se toma descanso por vacaciones

Uno de los malware que más activo estuvo durante 2016 y la primera mitad de 2017 lleva unas semanas protagonizando sucesivas campañas de spam. Nemucod se activa como descargador de malware y se le ha visto en numerosas campañas descargando en las máquinas de sus víctimas tanto ransomware como troyanos bancarios.

Las nuevas campañas de spam que propagaban las variantes más recientes empezaron a distribuirse a principios de julio y estuvieron activas durante todo el mes. Tras un parón de dos semanas hemos visto como esta semana han empezado a aparecer nuevos correos que se hacen pasar por una factura de la empresa de transporte UPS para intentar convencer a los usuarios que descarguen y ejecuten el contenido del fichero .zip adjunto.

Ejemplo de correo malicioso – Fuente: MyOnlineSecurity

Dentro del fichero comprimido adjunto suele haber un archivo JavaScript ofuscado que es el que se encarga de descargar y ejecutar el archivo responsable de cifrar el contenido del disco duro de la víctima. La peculiaridad con las últimas variantes de ransomware descargadas por Nemucod es que, si bien muestra la llamativa pantalla indicando al usuario lo que acaba de suceder, no cambia la extensión de los archivos a los que afecta, por lo que no se puede saber si han sido cifrados hasta que se intentan ejecutar.

Ejemplo de nota de rescate – Fuente Michael Gillespie

Tal y como comentan desde MyOnlineSecurity, se puede dar el caso de que la solución de seguridad instalada detecte los archivos creados por el ransomware (como la nota con el aviso y las instrucciones para pagar el rescate) o el fichero javascript original, pero no el ransomware en sí, por lo que el usuario puede tardar en darse cuenta de que sus archivos han sido afectados por este malware.

Conforme ha evolucionado esta variante durante las últimas semanas no sería de extrañar que aún la sigamos viendo durante un tiempo más, hasta que realice alguna modificación en su vector de ataque o simplemente sus desarrolladores se tomen un tiempo de descanso. Hasta entonces, hay que tener mucho cuidado con las supuestas facturas enviadas por correo electrónico.

Mamba también reaparece

El otro ransomware que ha vuelto a aparecer en los últimos días es Mamba, un ransomware con características similares a la variante original de Petya de 2016. Este tipo de ransomware se caracteriza por cifrar completamente el disco duro en lugar de seleccionar por tipo de archivos, por lo que la víctima no puede ni siquiera iniciar el sistema.

Mamba se hizo mundialmente famoso a finales de noviembre de 2016 cuando una de sus variantes logró infectar sistemas asociados al transporte público de San Francisco, provocando retrasos considerables durante varias horas y que no se pudieran cobrar los billetes.

Durante estas últimas semanas se ha observado que los delincuentes detrás de esta variante de ransomware han vuelto a la acción, utilizando nuevas muestras para atacar empresas en Brasil y Arabia Saudí. Para conseguir cifrar los archivos, el malware hace uso de una utilidad del propio sistema operativo Windows conocida como DiskCryptor, cuyo cifrado es muy robusto, y además el malware genera una contraseña única por cada sistema infectado.

No está claro de momento cuál es el vector de ataque utilizado por los delincuentes para conseguir que este ransomware se infiltre en redes corporativas, aunque todo apunta a que se consiga mediante el método clásico de adjuntos maliciosos a correos o mediante kits de exploits ubicados en webs comprometidas.

Lo que sí que parece claro es que, tal y como pasó con el ciberataque de finales de junio protagonizado por Diskcoder.C (también conocido como ExPetr, PetrWrap, Petya, o NotPetya) se utilizaron herramientas legítimas como PsExec para conseguir ejecutar el ransomware dentro de la red corporativa.

La manera que tiene de avisar a la víctima de que ha sido infectada y que proceda a pagar el rescate es también bastante rudimentaria. Tan solo indica que los datos han sido cifrados y proporciona dos direcciones de correo junto a un identificador de la máquina y deja un campo para introducir la clave de descifrado.

Conclusión

Que dos variantes de ransomware hayan vuelto a la acción con energías renovadas demuestra que los delincuentes detrás de estas campañas siguen muy interesados en hacer su agosto (nunca mejor dicho) a costa de los usuarios.

Si queremos evitar que nuestros equipos sufran un ataque de este tipo y perder todos los datos almacenados en ellos no debemos olvidar aplicar sencillos consejos como mantener una copia de seguridad actualizada de toda la información que consideremos crítica, contar con una solución de seguridad que nos haga de primera línea de defensa contra el ransomware y, sobre todo, concienciarnos de cuáles son los vectores de ataque usados por los delincuentes para reconocerlos y evitar caer en su trampa.

Josep Albors

Nueva campaña del ransomware Locky que cifra los archivos con la variante Diablo6

Vie, 08/11/2017 - 13:37

Durante esta semana hemos visto como una nueva campaña del conocido ransomware Locky ha vuelto a propagarse por países de todo el mundo. Debido al número relativamente elevado de muestras detectadas, vamos a proceder a realizar un análisis de esta nueva variante de Locky (conocida también como Diablo6 por la extensión que asigna a los archivos cifrados), utilizando en gran medida información y herramientas públicas para que cualquiera que esté interesado pueda analizar este ransomware por su cuenta.

De nuevo el email como vector de ataque

Si algo funciona, no lo toques. Eso mismo deben de pensar los creadores de malware,  especialmente los de ransomware, a la hora de elegir el vector de ataque para propagar sus códigos maliciosos. En pleno 2017, el correo electrónico sigue siendo uno de los principales vectores de ataque utilizados y los usuarios desprevenidos siguen picando en viejas trampas.

Ejemplo de correo utilizado por esta campaña de Locky – Fuente: Microsoft MMPC

Esta nueva variante de Locky sigue utilizando este vector de ataque y ni siquiera intenta convencer al usuario con un atractivo asunto o cuerpo del mensaje. Una simple frase indicando que hay archivos adjuntos y un supuesto nombre de una hoja de cálculo en el asunto son suficientes para que usuarios de todo el mundo muerdan el anzuelo.

El archivo adjunto viene comprimido, y en lugar de contener la prometida hoja de cálculo contiene un fichero con código Visual Basic Script, código que, en caso de que lo ejecutemos, comenzará todo el proceso preparado por los delincuentes para cifrar los archivos importantes del usuario y demandar un rescate para su recuperación.

Contenido del fichero comprimido mostrando un archivo VBS – Fuente: Malware Traffic Analysis

Si el usuario ejecuta ese archivo VBS, el proceso de infección y cifrado comenzará y pocos segundos después se observará que la extensión de los ficheros cambia a la mencionada .diablo6 y el fondo de pantalla muestra el conocido mensaje usado por variantes anteriores del ransomware Locky.

Ejemplo de infección en máquina virtual utilizando el servicio online Any Run

Como viene siendo habitual, en todas las ubicaciones donde se haya cifrado algún archivo se deja una nota en HTML que se abre en el navegador, recordando al usuario lo que acaba de suceder e indicando los pasos a seguir a continuación. Por defecto, cada víctima tiene un ID único y el enlace proporcionado está dentro de la red Tor para que sea más difícil localizar a los delincuentes.

Es en ese enlace donde se muestran las instrucciones para comprar bitcoins y realizar el pago en una cartera asignada a cada víctima. En esta ocasión el rescate solicitado es de 0.5 bitcoins (que en el momento de escribir este artículo equivale aproximadamente a 1500 €), y los delincuentes no han escatimado a la hora de proporcionar enlaces para que las víctimas paguen el rescate.

Como dato curioso, la nota se encuentra en varios idiomas, entre ellos el catalán, lo que demuestra que los delincuentes quieren llegar al mayor número de víctimas posibles.

Diseccionando la infección

Ahora que ya hemos visto cómo actúa esta variante de Locky, al menos en la parte que ve el usuario, vamos a revisar qué sucede en segundo plano, centrándonos especialmente en las conexiones que se realizan desde que se ejecuta el archivo VBS que viene comprimido en el adjunto del correo electrónico.

En primer lugar se realiza una petición GET para obtener un segundo archivo de nombre “y872ff2f?”, que puede estar ubicado en alguna de las muchas URL utilizadas por los delincuentes. La mayoría de estas URL pertenecen a páginas webs legítimas que han sido comprometidas y que ahora están siendo utilizadas por los delincuentes para propagar malware.

Conexiones realizadas a partir de la ejecución malware – Fuente: Any Run

Tras obtener este segundo archivo y guardarlo en la carpeta de archivos temporales de Internet, observamos que se realizan peticiones POST a dos direcciones IP en concreto alojadas en Ucrania (aunque como veremos a continuación, hay más direcciones IP implicadas). En última instancia vemos cómo se realiza una conexión a una dirección en la red Tor que se corresponde con la de la web preparada por los delincuentes para explicar a sus víctimas cómo pagar el rescate.

Con respecto a las direcciones conectadas en primera instancia, es muy posible que sean utilizadas para enviar el identificador único de cada máquina infectada y, tratándose de este tipo de malware, es bastante frecuente encontrar direcciones que apunten a este país. Además, Rusia también aparece entre los países a los que se conecta según el análisis realizado en el servicio Hybrid Analysis.

Al revisar los cambios en los archivos y en los procesos generados tras ejecutar el malware, vemos cómo, tras descargar el archivo “y872ff2f?”, se genera otro archivo de nombre “urhGlyTz.exe” en una carpeta temporal del sistema y que es el que comienza el proceso de cifrado de cierto tipo de archivos en el sistema.

Hablando de ficheros cifrados, un análisis del código del ransomware revela numerosas extensiones de archivos que el ransomware tiene como objetivo, entre los que encontramos las más comunes utilizadas en documentos ofimáticos (.doc, .xls , .ppt, etc.) y las utilizadas a la hora de guardar imágenes y ficheros multimedia (como .jpg, .bmp, .png, .mp3, .avi, etc.) pero también las relacionadas con los archivos de carteras utilizados para almacenar criptomonedas (wallet).

Algunas extensiones cifradas por esta variante de Locky – Fuente: Vitali Kremez

Países más afectados

Si bien esta variante del ransomware Locky no es comparable a otras anteriores por la menor cantidad de sistemas afectados (al menos de momento), su propagación en varios países demuestra que ha tenido un alcance global. Vemos como desde Nueva Zelanda a Estados Unidos, pasando por Europa y Latinoamérica, son muchos los países en los que se han detectado archivos maliciosos con esta variante de Locky.

Detección de muestras con variantes de Locky durante la última semana –  Fuente: Virus Radar

En lo que respecta a aquellos países en los que se han detectado más ficheros VBS maliciosos adjuntos a correos pertenecientes a esta campaña de Locky, destacan especialmente Japón, la República Checa y Reino Unido, con otros países como Holanda y Alemania con también un número importante de detecciones.

Conclusión

Esta nueva campaña demuestra que los responsables actuales de la creación y distribución del ransomware Locky siguen activos y desarrollando nuevas variantes. Por eso debemos tomar las precauciones necesarias para evitar ser infectados, precauciones que incluyen vigilar qué tipo de archivos descargamos y ejecutamos de los emails que recibimos, contar con una copia de seguridad actualizada de la información importante y contar con una solución de seguridad que sea capaz de detectar y eliminar este tipo de amenazas.

Josep Albors

Indicadores de compromiso

Hash SHA256 de las muestras analizadas

F689391B0527FBF40D425E1FFB1FAFD5C84FA68AF790E8CC4093BCC81708C11B

788F28E498F32AAABED5D835627DFEA1E9894C275D4833EE83C823347E244FF3

4F3F5F29B94A9259EBD32E65B99270B8986233D35B95A6BE2D8B71C80CF8B804

A0034191437957BDBF16FE164F415C217A1E1EE893824F2A2479A1DB99D99ED2

Conexiones de red

POST http://31[dot]202.130.9/checkupdate 31. 202. 130. 9

POST http://91[dot]234.35.106/checkupdate 91. 234. 35. 106

Enlaces de descarga de ficheros maliciosos

http://dbr663dnbssfrodison[dot]net/af/y872ff2f U

http://binarycousins[dot]com/y872ff2f?

http://ambrogiauto[dot]com/y872ff2f?

http://adnangul[dot]av.tr/y872ff2f?

http://dbr663dnbssfrodison[dot]net/af/y872ff2f

http://willemshoeck[dot]nl/y872ff2f?

http://homeownersinsurance[dot]ca/y872ff2f?

http://jaysonmorrison[dot]com/y872ff2f

http://apositive[dot]be/y872ff2f?

http://aisp74[dot]asso.fr/y872ff2f

http://peluqueriacaninaencordoba[dot]com/y872ff2f?

http://boschettoristorante[dot]i t/y872ff2f?

http://aisp74[dot]asso.fr/y872ff2f?

http://searchlightcare[dot]com/y872ff2f?

http://azlinshaharbi[dot]com/y872ff2f?

Creación de procesos

“C:\Users\Administrator\Desktop\_00BF0000.exe”

cmd. exe /C del /Q /F “C:\Users\ADMINI~1\AppData\Local\Temp\sys3B0C.tmp”

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content. IE5\NNLY46FR\y872ff2f

C:\Users\Administrator\AppData\Local\Temp\urhGlyTz.exe

Consiguen ocultar malware en el ADN. ¿Nuevo vector de ataque o simple prueba de concepto?

Jue, 08/10/2017 - 12:57

Los avances a la hora de conseguir sistemas con una gran capacidad de almacenamiento, sin que ello suponga utilizar un espacio demasiado elevado, es algo que ha estado comentándose durante los últimos años. No en vano, la cantidad de contenido digital, almacenada cada vez a resoluciones más elevadas, no deja de crecer, y este contenido ha de ser almacenado en algún sitio durante largos periodos de tiempo.

El ADN es el nuevo disco duro

Esta necesidad urgente de conseguir almacenar contenido digital de forma duradera y ocupando el menor espacio posible ha hecho que no pocos científicos y empresas hayan dedicado muchos recursos recientemente a investigar alternativas a los clásicos discos duros.

Entre las alternativas surgidas hay una que ha sorprendido a muchos, a pesar de ser uno de los contenedores de información más importantes que se conocen. Estamos hablando del ADN, lugar donde se almacenan las instrucciones genéticas que gobiernan todos los organismos vivos y cuya función principal es, precisamente, el almacenamiento a largo plazo de la información.

Hace un mes supimos gracias a la prestigiosa revista Nature del éxito de un grupo de científicos a la hora de almacenar un vídeo en el genoma de una bacteria viva. Este vídeo no es más que una sencilla animación, pero sirve perfectamente como ejemplo de las posibilidades que se abren a partir de ahora.

El resultado no es exactamente igual que la animación original, pero es lo suficientemente parecido como para que se empiece a considerar seriamente la posibilidad a medio plazo de almacenar grandes cantidades de información en el ADN. El principal inconveniente a día de hoy es el costoso proceso necesario para almacenar la información y extraerla posteriormente.

ADN utilizado para almacenar malware

Sabiendo que con esta técnica se podría almacenar cualquier tipo de información, a un grupo de investigadores de la Universidad de Washington se les ocurrió la idea de almacenar código malicioso en una secuencia de ADN sintético. No deja de ser algo paradójico, ya que los virus informáticos originales tomaban mucho prestado de los virus biológicos a la hora de propagarse, infectando archivos inofensivos e incluyendo su propio código en los mismos para replicarse en un sistema.

Lo realmente llamativo de este experimento no es que se pueda almacenar código malicioso perteneciente a un malware dentro de una secuencia de ADN. Lo llamativo es que esta secuencia pueda llegar a infectar a un ordenador como los que se utilizan para analizar estas cadenas utilizando una máquina secuenciadora de ADN.

Obviamente, los sistemas objetivos de esta investigación son muy limitados, ya que solo podrían infectar originalmente a aquellas máquinas conectadas y encargadas de secuenciar las cadenas de ADN. Es por eso que los propios investigadores no ven esto como una amenaza a corto ni medio plazo.

Infectando el sistema a partir del ADN

Sin embargo, una cosa es crear el código malicioso y almacenarlo en una secuencia de ADN, y otra conseguir que el secuenciador de ADN lo ejecute y este consiga infectar la máquina. Para empezar, se debería conseguir que el código del malware no sufra alteraciones y, como hemos visto en los ejemplos de las imágenes, estas pueden producirse. También es cierto que si el código del malware no es muy grande, las probabilidades de que este se corrompa no serían muy elevadas.

Investigadores responsables del experimento – Fuente: Wall Street Journal

Luego tenemos el tema de la ejecución del código malicioso almacenado en la cadena de ADN una vez este es leído por el secuenciador. En la información publicada hasta el momento, y a falta de que se celebre la conferencia el próximo día 17 donde se expondrán con mayor detalle los resultados de esta investigación, se dice que cuando esta secuencia de ADN maliciosa es analizada, esto provoca la ejecución del malware y se consigue tomar el control del sistema.

Esta afirmación habría que tomarla con pinzas hasta que se desvelen los detalles de la investigación, puesto que no es lo mismo “leer” el ADN que hacer que se ejecute el código incluido. No obstante, una sencilla búsqueda en Google y algunas preguntas a cierta amiga bioquímica nos han permitido averiguar que hay un fabricante que, aparentemente, es el que más cuota de mercado dispone cuando se trata de analizadores genéticos.

Echando un vistazo a los manuales disponibles, vemos que algunas de las máquinas más antiguas de finales de los 90 y principios de los 2000 utilizaban MacOS, sistema que sería sustituido más adelante por Windows XP. Los modelos más actuales ya soportan hasta Windows 7 SP1, que si bien ya lleva bastantes años en el mercado, al menos sigue disponiendo de soporte por parte de Microsoft.

También es curioso que en la documentación recomienden la instalación de un software antivirus, pero no que se instalen las actualizaciones de Windows ni que se cambie la configuración del cortafuegos.

El problema es que muchos laboratorios no habrán cambiado estos dispositivos en muchos años, por lo que seguramente se encuentren vulnerables a un ataque de este tipo y, lo que es peor, esto podría ser solamente la puerta de entrada a algo más dañino. Imaginemos un escenario en el que un atacante utiliza una secuencia de ADN para camuflar un código malicioso.

Este código podría ejecutarse cuando sea leído por la máquina secuenciadora, infectar el sistema y, desde ahí, pivotar a otros sistemas más críticos o que almacenen información confidencial que el atacante puede considerar valioso robar. Por poner un símil, sería como los típicos casos en los que se utilizan documentos de Word aparentemente inofensivos para ocultar macros maliciosas que descargan más malware una vez han conseguido ejecutarse en el sistema.

Conclusión

Si bien de momento esta investigación está muy limitada al ámbito académico, no deja de ser interesante ver cómo este nuevo vector de ataque podría ser utilizado en entornos reales. Al final, este ejemplo nos sirve para recordar que cualquier medio que utilicemos para almacenar y compartir información puede ser utilizado de forma maliciosa para intentar infectarnos si no andamos con cuidado, ya sea un fichero adjunto a un email, un enlace, un pendrive, una memoria flash o una cadena de ADN sintético.

Josep Albors

Créditos de la imagen de cabecera: Foter.com

2hack2furious 2017: la ciberseguridad en los automóviles sigue siendo deficiente

Mié, 08/09/2017 - 12:03

Como cada año por estas fechas y tras la celebración de BlackHat USA y Defcon, las noticias relacionadas con la ciberseguridad de los automóviles aumentan. Hace tiempo que este tema saltó a la primera plana de los medios generalistas, e incluso al cine, y no son pocos los investigadores que dedican esfuerzos a encontrar fallos en los sistemas que gobiernan los coches modernos.

Del desguace al laboratorio

Viendo cómo las conferencias de ediciones anteriores centradas en este tema atraían mucha atención, era de esperar que en las de este año también pasase lo mismo. Así pues, la charla que ofrecieron en Defcon los investigadores Jesse Michael, Mickey Shkatv y Oleksandr Bazhaniuk era bastante esperada por el público.

En esta ocasión los investigadores advirtieron que, al decidirse a realizar esta investigación, contaban con escasos conocimientos sobre todo lo relacionado con automóviles y su seguridad en la parte lógica. Sin embargo, sí que contaban con experiencia previa a la hora de hackear un sistema de entretenimiento instalado en un vehículo, por lo que con el paso del tiempo y gracias al material publicado durante los últimos años, aprendieron rápidamente y consiguieron su objetivo.

Además, en lugar de utilizar un coche para realizar su investigación decidieron centrarse en la parte que les interesaba, concretamente la parte del salpicadero, mandos y consola de comunicación y entretenimiento. Si bien eso les impediría comprobar si su investigación afectaba a sistemas críticos del coche como los frenos o el motor, también les permitiría realizar pruebas de una manera más cómoda.

Como dato importante, los investigadores vieron que el automóvil incluía NissanConnectSM EV, un sistema diseñado para gestionar el modelo eléctrico Nissan LEAF y que permite gestionar aspectos como el estado de la batería, la calefacción o las estaciones de recarga más cercanas desde un aplicación en nuestro smartphone u ordenador.

Esta aplicación fue motivo de análisis el año pasado, puesto que se demostró que tenía fallos de seguridad importantes que permitían a un atacante tomar el control de estas funcionalidades de forma remota, solo con conocer el número VIN o número del bastidor del vehículo.

Una dirección web muy interesante

Con respecto al sistema operativo encargado de gobernar el sistema de entretenimiento e información del automóvil (IVI por sus siglas en inglés), este corría bajo Windows Automotive 7. Los investigadores consiguieron analizar ficheros de depuración obtenidos a partir de volcados de la SRAM y la memoria flash y encontraron una URL interesante:

“http://biz.nissan-gev.com/WARCondelivbas/it-m_gw10/”

Sorprendentemente, se dieron cuenta rápido de que nadie tenía registrado este dominio, por lo que procedieron a comprarlo y esperar a ver qué pasaba. No tardaron en recibir las primeras peticiones de conexión, concretamente desde Japón y desde una dirección IP asociada a Nissan, pero lo que les sorprendió realmente fueron las conexiones que vinieron a continuación.

Tras revisar estas conexiones se dieron cuenta de que se trataban de peticiones realizadas desde automóviles y que proporcionaban información muy interesante, incluyendo la posición del vehículo. También disponían del número del bastidor, por lo que podían llegar a averiguar quién era el propietario.

Vulnerabilidades en la TCU y su modem 2G

Tras descubrir la vulnerabilidad que permitía identificar y rastrear vehículos, los investigadores no se detuvieron aquí y dirigieron su atención a otro punto: la Unidad de Control Telemático (o TCU) desarrollado por Continental, que incluye un modem 2G utilizado para acceder remotamente a los sistemas internos del vehículo y obtener información como la utilizada para realizar una diagnosis del estado del automóvil, información que puede ser mostrada en paneles web y aplicación móviles.

Gracias al análisis y a la ingeniería inversa aplicada se descubrieron dos vulnerabilidades en estas TCU. La primera de ellas requiere acceso físico al vehículo para poder aprovecharla y consiste en un stack-based buffer overflow que permitiría la ejecución de código arbitrario.

Con respecto a la segunda vulnerabilidad, esta se encuentra en el identificador temporal del suscriptor móvil (TMSI) y podría ser utilizada de forma remota por un atacante para acceder a la memoria de control del sistema. Esto podría permitir una ejecución remota de código en el procesador de radio de banda base de la TCU.

Consecuencias de estas vulnerabilidades

Según informan desde el ICS-Cert, si un atacante consiguiera aprovechar alguna de estas vulnerabilidades y ejecutar código arbitrario, esto le permitiría desactivar el sistema de entretenimiento e información y afectar a otras funcionalidades del automóvil.

Los fabricantes de los coches afectados, entre los que encontramos algunos modelos de BMW, Ford, Infinity y Nissan, han minimizado el impacto de estas vulnerabilidades diciendo que tan solo se vería afectado el sistema de entretenimiento e información y no afectarían a los sistemas críticos de seguridad del vehículo.

A pesar de estas declaraciones, los fabricantes afectados no han tardado en anunciar que o bien ya se encontraban en proceso de deshabilitar estos módems 2G o lo harán en breve. BMW también anunció que ofrecería un servicio de asistencia a los usuarios afectados.

No obstante, los investigadores ya advirtieron al finalizar su investigación que una vez conseguido el acceso al firmware de la TCU, se puede trabajar en aplicar ingeniería inversa sobre este y saltar al CAN Bus, donde se podría intentar acceder a sistemas de control críticos del automóvil.

Conclusión

Hay que reconocer que la seguridad lógica en los vehículos despierta mucho interés actualmente y cada poco tiempo vemos que aparecen investigaciones interesantes como la que acabamos de analizar. Esperemos que esto ayude a solucionar problemas y desarrollar sistemas más seguros, sobre todo pensando en que los coches cada vez están más conectados y eso es algo que puede jugar en su contra si no se toman las medidas adecuadas.

Josep Albors

Análisis del ransomware Globeimposter 2.0 propagado por email

Jue, 08/03/2017 - 13:50

A pesar de que estos últimos días han estado llenos de noticias relacionadas con el mundo de la ciberseguridad (noticias sobre las que daremos buena cuenta en futuros posts) debido a la celebración de BlackHat USA y Defcon, no debemos olvidar que los delincuentes no han dejado de propagar amenazas “clásicas” como el ransomware.

Globeimposter 2.0 empieza a destacar

Una de las variantes de ransomware que más actividad ha tenido durante los últimos días ha sido Globeimposter 2.0 . Originalmente, esta variante fue detectada a mediados de abril y su actividad ha aumentado en fechas recientes gracias a que está siendo propagada de forma masiva utilizando mensajes de correo electrónico fraudulentos.

Ejemplo de correo propagando Globeimposter 2.0 – Fuente: malware-traffic-analysis.net

Estos emails pueden venir con todo tipo de asuntos o, directamente, sin ningún asunto definido en el correo. Lo que todos tiene en común es que van acompañados de un fichero adjunto comprimido que contiene algún tipo de fichero malicioso. Ya hemos visto que los delincuentes pueden utilizar todo tipo de ficheros para propagar sus creaciones y no es extraño ver cómo se usan archivos de Office (Word y Excel principalmente), ficheros javascript, ficheros VBS o, directamente, un ejecutable (aunque a día de hoy ya no es tan habitual).

La finalidad última es conseguir que el usuario ejecute estos archivos en su sistema para que el malware empiece a realizar las acciones maliciosas para lo cual lo programaron los delincuentes responsables de su creación y difusión. Sin embargo, es extraño que, a día de hoy, este tipo de ataques empiecen a cifrar los archivos del sistema nada más ejecutarse y siempre hay una serie de acciones previas que se realizan.

Los pasos de la infección

En este caso, igual que en muchos otros, lo habitual es encontrarnos con que la ejecución del fichero malicioso provoque que el sistema de la víctima se conecte a una serie de dominios controlados por los usuarios. En esta ocasión, el análisis de estos dominios parece revelar que la mayoría de ellos son dominios legítimos que han sido comprometidos por los delincuentes para alojar una copia del fichero encargado de ejecutar el malware que cifra los archivos.

Una vez descargado este archivo, se ejecuta y, poco tiempo después, el usuario verá cómo aquellos archivos que contuvieran información almacenada en forma de imágenes, texto, hojas de calculo, vídeos, etc. han sido cifrados por el ransomware y se ha cambiado la extensión de los archivos, tal y como vemos a continuación:

Ficheros cifrados por Globeimposter 2.0 – Fuente: malware-traffic-analysis.net

Además, como viene siendo habitual se añade un archivo html con las instrucciones que se han de seguir para pagar el rescate y recuperar los archivos cifrados. Si abrimos el fichero, lo primero que veremos es un mensaje avisándonos de lo sucedido, invitándonos a comprar el descifrador y también ofreciéndonos descifrar un archivo de forma gratuita.

En el caso de que la víctima opte por intentar pagar el rescate para tratar de recuperar los archivos cifrados, se le redirige a una URL dentro de la red Tor donde se le proporciona información sobre el coste del rescate (alrededor de 1000$ en el momento de escribir este artículo), el tiempo restante antes de que el coste se duplique, información acerca de dónde comprar bitcoins para efectuar el pago, la cartera en la que se debe realizar el ingreso y un campo donde introducir el email para recibir el descifrador.

También se incluye un formulario para enviar un archivo que será descifrado de forma gratuita y así demostrar que los delincuentes tienen la capacidad de descifrar el resto de archivos afectados por el ransomware.

Como dato curioso pero que cada vez más variantes de ransomware están incluyendo, se proporciona a la víctima la posibilidad de ponerse en contacto con los delincuentes mediante un servicio de soporte por correo electrónico. Este tipo de soporte se utiliza principalmente para guiar a las víctimas en la compra de bitcoins y el pago del rescate, pero también para ayudarles a ejecutar el descifrador.

No es algo extraño ver este tipo de ayuda proporcionada por los propios delincuentes, e incluso hemos llegado a ver variantes de ransomware que incorporan servicio de chat. Seguramente, con la experiencia se habrán dado cuenta de que, ayudando a las víctimas a realizar los pasos para pagar el rescate y recuperar los archivos, los ingresos aumentan.

Disección del ransomware

Las muestras analizadas para realizar este artículo han sido compiladas por sus creadores en los últimos días. Como ejemplo, tenemos una de las muestras utilizadas para realizar este análisis que fue compilada el pasado viernes 28 de julio, pero otras muestras posteriores han sido compiladas este mismo lunes 31 de julio. Esta variante de ransomware es detectado por las soluciones de seguridad de ESET como Win32/Filecoder. FV.

Los dominios utilizados para alojar el ransomware propiamente dicho, que será descargado en el sistema de la víctima una vez esta abra y ejecute el archivo adjunto a los correos maliciosos, también han ido cambiando durante estos días y entre ellos encontramos dominios de webs legítimas de varios países, entre los que también se encuentra España. En el caso de contar con una solución de seguridad de ESET actualizada, se bloqueará el acceso a estos enlaces y se mostrará un aviso al usuario.

Centrándonos en la ejecución del ransomware propiamente dicho, revisando la línea temporal de los procesos iniciados por el mismo, vemos como se copian ficheros en las carpetas temporales del sistema, ficheros que ejecutan una serie de comandos entre los que se incluyen:

  • La eliminación de las Shadow Copies del sistema para evitar que el usuario pueda recuperar sus archivos. Para ello se utiliza el comando siguiente y los parámetros necesarios para que se realice de forma transparente al usuario:

          vssadmin.exe Delete Shadows /All /Quiet

  • La eliminación de dos cadenas del registro de Windows relacionadas con Terminal Server y usando los parámetros necesarios para que se borren todas las entradas ubicadas bajo la clave de registro eliminada y sin pedir confirmación por parte del usuario:

          reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” /va /f

          reg delete “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers” /f

  • La creación de nuevo de una cadena de registro relacionada con Terminal Server para permitir conexiones remotas por parte de los delincuentes:

          reg add “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers”

  • Se genera un archivo Default.rdp y mediante el comando attrib y los parámetros –s y –h se limpian los atributos de sistema de ese fichero y se queda como fichero visible en lugar de oculto. 

          attrib Default. rdp -s –h 

Este fichero se genera cuando se inicia una conexión vía Escritorio Remoto de Windows por primera vez en un sistema y se utiliza para almacenar información de esa conexión, entre la que se incluyen las contraseñas. Es muy probable que los delincuentes utilicen esta conexión remota, especialmente para ejecutar el ransomware de forma manual en aquellas máquinas que han detectado de mayor interés (p.ej. servidores) no sin antes hacer una copia de los archivos que consideren más valiosos para usarlos en beneficio propio (contraseñas para futuros ataques, filtraciones, venta de información a la competencia, etc.)

Con respecto a la propagación de este ransomware por diferentes partes del mundo, se han visto muestras de diferentes variantes de Globeimposter 2.0 por varios países de Europa (incluyendo España), Asía, Oceanía y Latinamérica

Conclusión

Tal y como acabamos de ver, Globeimposter 2.0 es un ransomware bastante completo con el añadido de que, de momento, no existe herramienta gratuita que permita descifrar los archivos afectados sin ceder al chantaje.

Ante estas situaciones siempre es recomendable contar con una copia de seguridad de los archivos que consideremos más importantes, así como asegurarse de tener una solución de seguridad actualizada y que incorpore capas de protección frente al ransomware.

Josep Albors

Indicadores de compromiso

Hash SHA256 de las muestras analizadas

72DDCEEBE717992C1486A2D5A5E9E20AD331A98A146D2976C943C983E088F66B

BE345C3BEEA2F6E489A9541361FC50221088CA166504A3BEAE237004FCB9AC5A

Dominios comprometidos utilizados para alojar variantes de Globeimposter 2.0

http://cambarerilaw[dot]com/rf734rgf?
http://3e[dot]com.pt/rf734rgf?
http://cagliaricity[dot]com/rf734rgf?
http://abacoconsultores[dot]es/rf734rgf?

http://aafkescreaties[dot]nl/rf734rgf?
http://catterydel acanai l l e[dot]be/rf734rgf?
http://carriereiserphotography[dot]com/rf734rgf?
http://castillodepalazuelos[dot]es/rf734rgf?
http://casajenty[dot]com/rf734rgf?

 

Ponen a prueba la seguridad de dispositivos de monitorización de radiación

Mié, 08/02/2017 - 12:57

En cada edición de las conferencias de seguridad BlackHat USA y Defcon, celebradas recientemente en Las Vegas, hay una serie de ponencias que se suelen marcar en rojo por lo llamativo del tema o por el interés generado en las semanas previas.

En esta ocasión se trata de un tema ya interesante de por sí, y al que Rubén Santamarta ha aportado toda su experiencia como investigador para sacar a la luz deficiencias en sistemas tan críticos como los que se encargan de monitorizar la radiación nuclear e intentar así que los fabricantes los solucionen.

Monitores de radiación ¿Qué son?

Santamarta no es precisamente un recién llegado en el mundo de la seguridad, y ya hace años que demostró sus conocimientos e inquietudes sobre la seguridad en infraestructuras tan críticas como las centrales nucleares en charlas como la que realizó en 2011 en RootedCon. Es más, ha demostrado ser un investigador todoterreno, puesto que la última vez que lo vimos subido al escenario de BlackHat USA en 2014 fue para hablarnos de los secretos y fallos existentes en los terminales de comunicación por satélite que se utilizan, por ejemplo, en barcos y aviones.

Durante este tiempo, Santamarta no ha estado precisamente de brazos  cruzados y hace un mes ya nos avanzaba que la investigación que iba a presentar en esta edición de BlackHat USA iba a ser igual o más interesante que las anteriores. En su ponencia “Go Nuclear: Breaking Radiation Monitoring Devices” (y de la cual se han extraído las imágenes que ilustran este artículo) nos habló de unos dispositivos desconocidos para el gran público pero que juegan un papel crucial a la hora de gestionar y evitar posibles desastres de origen nuclear.

Dispositivos de monitorización de radiación en un paso fronterizo – Fuente: ludlums.com

Estos dispositivos se utilizan para monitorizar y controlar los niveles de radiación en infraestructuras como las centrales nucleares, pero también en otras como puestos fronterizos, puertos y estaciones meteorológicas ubicadas tanto en ciudades como en zonas rurales. Gracias a ellos se puede averiguar si alguien está tratando de introducir o llevarse material radiactivo sin autorización o detectar un incremento de los niveles de radiación en una zona en concreto.

En la investigación recientemente presentada se analizaron los dispositivos de tres fabricantes, que abarcan desde grandes medidores de radiación capaces de analizar vehículos enteros a pequeños sensores utilizados en centrales nucleares e instalaciones similares que necesitan monitorizar  constantemente cualquier cambio en los niveles de radiación.

Vulnerabilidades en portales de monitorización

Entre los fabricantes de estos dispositivos analizados por Santamarta se encuentra uno que fabrica lo que se conoce como portales de monitorización (RPM por sus siglas en inglés). Estos portales suelen instalarse en lugares con un elevado tráfico de vehículos y mercancías como puestos fronterizos y puertos, para detectar la entrada o salida de materiales radioactivos.

El fabricante de este tipo de portales se encuentra presente en 20 países y, según ellos mismos anuncian, han vendido 2500 de estos portales y esperan vender un buen número de ellos próximamente a países como China o Estados Unidos. Santamarta analizó primero modelos destinados a monitorizar el paso de personas, y aunque no tuvo acceso a físico a uno de ellos sí que pudo obtener una copia del software de gestión utilizado.

Dispositivo de análisis de radiación personal – Fuente: ludlums.com

Aplicando ingeniería inversa a este software que corría bajo Microsoft Windows, Santamarta descubrió que la aplicación principal disponía de dos niveles diferentes de permisos, ambos protegidos con su correspondiente contraseña (que puede ser modificada). Hasta aquí todo normal, si no fuera porque, rebuscando en el código, se encontró con una puerta trasera con su propia contraseña que permite acceder al dispositivo con el máximo nivel de permisos, algo que un atacante agradecerá sobremanera para desactivar el análisis a voluntad.

En lo que respecta al segundo tipo de portales de monitorización encargados de revisar vehículos, el software que lo gestiona también se instala sobre sistemas Windows y es capaz de mostrar alarmas, recopilar información de todos los carriles en los que estos dispositivos están instalados (incluyendo fotografías de los vehículos analizados) y generar informes. Las comunicaciones entre los RPM y el software de gestión se pueden realizar mediante red local o WiFi usando dos protocolos.

Aplicación de gestión de los medidores de radiación – Fuente: ludlums.com

Así pues, un atacante que consiguiera acceso a la red WiFi o a la red local usada por estos portales de monitorización podría realizar lo que se conoce como un ataque man-in-the-middle para interceptar las comunicaciones y conseguir modificar los resultados de los análisis para, por ejemplo, conseguir pasar material radioactivo por estos sensores sin ser detectados.

Revisando los índices de radioactividad en centrales nucleares

La segunda parte de la investigación es la que más atención atrajo por parte de los medios, ya que Santamarta describió posibles escenarios en los que una lectura incorrecta de los niveles de radiación podría tener graves consecuencias en una instalación nuclear. En la investigación realizada se habla de varios tipos de dispositivos de monitorización tanto estacionarios como portátiles que se encargarían de medir los niveles de radiación ambiental, del personal, del área, de los procesos y los residuos.

La información emitida por estos sensores y recopilada por los sistemas de monitorización sirven para emitir alertas en caso de detectarse fugas o contaminación en alguna área de la central. De esta forma, los protocolos de seguridad se activarían a partir de las lecturas de estos sensores, y por eso es tan importante asegurarse de que la información recopilada y transmitida es correcta.

Radio transmisor con capacidad WRM2 – Fuente: Mirion Technologies

Mediante el análisis y aplicación de ingeniería inversa del hardware y el software, Santamarta descubrió que se podían espiar o generar transmisiones modificadas por un atacante, siempre que se encuentre relativamente cerca o utilice repetidores de señal que le permitirían estar a decenas de kilómetros del objetivo.

De esta forma, los atacantes podrían (hipotéticamente) preparar una serie de lecturas falsas para simular una falsa fuga de radiación, activar así los protocolos de emergencia y provocar incluso la paralización del funcionamiento de una central.

La situación se complicaría bastante en el caso de que los atacantes saboteasen el funcionamiento de los sensores en una situación de accidente nuclear. Esto podría provocar fallos o retrasos en la evacuación de los trabajadores o dirigir a los responsables de la evacuación a lugares incorrectos, incrementando el daño o las víctimas potenciales.

Uso de los radio transmisores con capacidad WRM2 en caso de accidente

Todo esto son suposiciones en escenarios hipotéticos y hay que decir que las centrales nucleares cuentan con estrictos protocolos de seguridad que se basan en la información proporcionada por varios sensores, no solo los que miden la radiación, sensores que pueden estar completamente aislados de otras redes y a los que no se puede acceder si no es de forma física.  Así pues, aunque la investigación de Santamarta hace bien en apuntar los posibles fallos para que estos sean corregidos, también debemos confiar en otros mecanismos que han sido implementados desde hace tiempo y que no son vulnerables a este tipo de ataques.

Conclusión

Investigaciones tan interesantes como la que acabamos de revisar sirven como llamada de atención, para que aquellos fabricantes encargados de desarrollar dispositivos y sistemas que monitorizan infraestructuras críticas como una central nuclear los mejoren y evitar así posibles ataques. Esta investigación ya ha servido para que al menos dos de los tres fabricantes implicados empiecen a tomar cartas en el asunto, y eso es bueno para todos.

Esperamos ver más investigaciones así en el futuro y solo nos queda felicitar a Rubén Santamarta por un trabajo tan bien hecho y comunicado de forma responsable, algo que permite implementar mejoras en la seguridad, minimizando también la posibilidad de que alguien con malas intenciones se aproveche de los fallos descubiertos.

Josep Albors

Hackeando Smartguns no tan inteligentes como aparentan

Mar, 08/01/2017 - 11:38

Cada vez es más frecuente que hablemos de problemas de seguridad en los dispositivos del conocido como el Internet de las cosas y, por desgracia, no parece que eso vaya a cesar a corto plazo. Sin embargo, no es lo mismo detectar vulnerabilidades en cámaras o juguetes que hacerlo en dispositivos especialmente peligrosos en las manos inadecuadas, como las armas de fuego.

Pistolas inteligentes a día de hoy

Cuando hablamos de smartguns, a muchos nos vienen a la cabeza imágenes de varias películas y series donde se utilizan este armamento que solo puede activarse por su legítimo dueño. Desde los Dominator del anime Psycho Pass hasta la versión personalizada de la clásica Walther PPK que usa James Bond en Skyfall, hay varios ejemplos de armas de este tipo.

En la práctica, no ha sido hasta hace poco que los fabricantes han empezado a desarrollar este tipo de armamento, muy probablemente motivados por casos de muertes accidentales producidos en el entorno doméstico al ser manipuladas estas armas por personas no autorizadas.

Uno de los modelos disponibles en el mercado es la Armatix iP1, desarrollada por la empresa alemana Armatix. En su web oficial podemos ver como esta pistola ha sido diseñada para ser usada de forma segura, pudiendo dispararse únicamente si se dispone del dispositivo en forma de reloj que lo autoriza a una distancia no superior a 25 cm.

La comunicación entre estos dispositivos se realiza mediante RFID y el reloj se puede bloquear mediante un código PIN para activar la pistola. Además, se puede programar el reloj para definir un tiempo de uso del arma, bloqueándose cuando este expira.

Eliminando la restricción por proximidad

Con un dispositivo así en el mercado era cuestión de tiempo que alguien intentase hackearla. Y así es que el investigador conocido como Plore presentó durante la semana pasada en Defcon los resultados de sus investigaciones para saltarse las medidas de seguridad implementadas por el fabricante.

El primer reto al que se enfrentó este investigador fue el de aumentar la distancia desde la cual el reloj puede autorizar el uso de la smartgun. Con un límite por defecto de 25 centímetros, lo normal es que el arma solo se active cuando el usuario lleva puesto el reloj en su muñeca.

Sabiendo que la comunicación entre la pistola y el reloj utiliza la banda de los 5,35 kHz (de muy corto alcance) y que la comunicación entre el reloj y la pistola utiliza la banda de 916,5 Mhz (que permite alcanzar hasta tres metros de distancia fácilmente), lo que se le ocurrió a este investigador fue utilizar un transmisor para capturar las señales emitidas por la pistola y enviarlas a otro transmisor que estaría situado al lado del reloj. Los dos transmisores le costaron 20$.

De esta forma se amplía la distancia desde la cual se puede activar la pistola con el reloj de los 25 centímetros iniciales a 3 metros. Si bien es difícil imaginar un escenario en el que esto sea útil, fue un comienzo para este investigador, algo que le animó a seguir analizando a fondo el funcionamiento de esta pistola.

Impidiendo el funcionamiento

Algo que sí puede ser interesante es evitar que la pistola dispare cuando su usuario quiere que lo haga. En este escenario el investigador se encontró con que no solo podía evitarse el funcionamiento correcto mediante una interferencia provocada, sino que otros dispositivos que operan en frecuencias similares también pueden provocar que la pistola no dispare cuando queramos.

Algunos de los dispositivos que pueden interferir de forma accidental con el correcto funcionamiento de la pistola e impedir que esta pueda disparar son los teléfonos inalámbricos y las cámaras que utilizan muchos padres para vigilar a sus bebés, dispositivos que operan en la banda de los 900 MHz por los 916,5 MHz de la comunicación entre el reloj y la pistola.

Sabiendo esto, el investigador construyó un transmisor en la mencionada banda de los 916,5MHz para que bloquease la señal de autorización enviada por el reloj emitiendo la suya propia. El alcance efectivo al 100% son 3 metros y el coste del transmisor varía entre 5$ y 20$, dependiendo de los componentes.

Disparando el arma sin permiso

El escenario más peligroso de todos y paradójicamente el más sencillo de conseguir es el que permite a un usuario no autorizado y que no dispone del reloj disparar la pistola. Para comprenderlo hay que conocer el funcionamiento del arma y cómo se autoriza que esta dispare o se quede bloqueada.

Esto se consigue mediante la combinación de un material ferroso y un electroimán que hacen de seguro. Si el electroimán no se activa, el material ferroso bloquea el mecanismo que dispara, mientras que si está activo, hace que el material se desplace hacia abajo y desactive el seguro tal y como se puede observar en la siguiente diapositiva preparada por el investigador para su charla en Defcon.

Una vez averiguado esto, el investigador solo tuvo que diseñar una forma efectiva para desplazar el material ferroso hacia abajo y conseguir así que se desbloquease el seguro de la pistola, sin necesidad de tener el reloj cerca. La forma de conseguir esto fue de lo más sencillo, puesto que solo tuvo que conseguir unos imanes de neodimio, unirlos a un trozo de madera y colocarlos en el ángulo adecuado para activar el mecanismo de disparo.

El coste en materiales de este hackeo mecánico es de apenas 15$ y supone un peligro real si alguien se hace con la pistola y quiere dispararla sin disponer del reloj que bloquea o desbloquea el seguro.

En el siguiente vídeo de la revista Wired podemos ver un resumen de los tres hackeos descritos por el investigador y cómo los llevó a cabo.

Conclusión

No cabe duda de que toda medida de seguridad adicional que impida el uso no autorizado de algo tan peligroso como es un arma de fuego es bien recibida. Sin embargo, investigaciones como esta demuestran que no se puede optar por soluciones tan simples y que pueden saltarse de forma tan sencilla, por lo que esperamos que futuras versiones de smartguns sean más seguras y difíciles de hackear.

Josep Albors

¿Qué está pasando con las criptomonedas?

Vie, 07/21/2017 - 13:02

Durante las últimas semanas hemos visto varias noticias que tenían como protagonistas a las conocidas como monedas criptográficas. Por desgracia para los poseedores de estas monedas, la mayoría de estas noticias hablaban de robos o casos de phishing aprovechando la popularidad con la que cuentan actualmente. Sin embargo, a la mayoría de usuarios todo esto aún les suena a chino, por lo que mejor empezar por el principio.

¿Qué son las monedas criptográficas y el blockchain?

Según todo un referente en nuestro país sobre este tema, como es Pablo Fernández Burgueño (jurista especializado en ciberseguridad y derecho del entretenimiento): “Una criptomoneda es una moneda virtual que actúa como dinero en efectivo en Internet. Esta moneda se transmite de persona a persona, a través de sistemas P2P, sin más intermediarios que los servidores (o mineros) que apuntan la transacción en un libro contable distribuido, denominado cadena de bloques pública o blockchain”.

Criptomonedas como Bitcoin, Ethereum y similares son una variante de moneda digital, basadas en la criptografía, que no tiene representación física, sino que se crea y almacena de forma electrónica. Estas monedas digitales se engloban a su vez en lo que se conoce como monedas virtuales, que se caracterizan por ser un tipo de dinero que se emite de forma digital y que, normalmente, está controlado por sus desarrolladores y es utilizado por los miembros de una comunidad virtual específica.

Los usuarios que forman parte de estos sistemas monetarios, que no están gestionados por empresas o estados, no tienen la necesidad de identificarse, lo que les permite disfrutar de un mayor grado de privacidad o, incluso, anonimato en sus transacciones.

También hay que destacar que las criptomonedas, al apoyarse en las matemáticas para su generación e intercambio, no están vinculadas a referentes usados por las monedas tradicionales, como el oro. Precisamente, una de las particularidades de este tipo de monedas es que cualquiera con una capacidad de cálculo aceptable como la que proporcionan las tarjetas gráficas y microprocesadores actuales de gama media-alta puede empezar a generarlas en un proceso que se conoce como minería.

La forma de gestionar las transacciones también es particular y es algo que ha despertado más interés incluso que las propias criptomonedas, principalmente por las múltiples aplicaciones en las que se puede utilizar. Este registro de contabilidad público conocido como blockchain o cadena de bloques anota todas y cada una de las operaciones realizadas pero manteniendo siempre el anonimato de sus usuarios.

Popularización e incidentes recientes

Aunque Bitcoin fuera la primera moneda criptográfica en aparecer (2009) y sentara las bases para todas las que vinieron después, actualmente existen muchas otras disponibles. Una de las monedas que más ha captado la atención de los usuarios recientemente es Ethereum, que en los últimos meses ha visto cómo su valor aumentaba considerablemente para, en fechas más recientes, volver a bajar de valor y estabilizarse.

 

Si nos fijamos en la gráfica, hasta mediados de marzo de este año el valor de Ethereum estaba bastante bajo, pero fue a partir de esa fecha cuando empezó a subir de forma vertiginosa hasta alcanzar los 400 dólares a mediados de junio. Esta escalada de valor fue provocada por el interés de grupos de mineros que empezaron a invertir en equipos con tarjetas gráficas potentes (y provocando de paso escasez en el mercado) para realizar la minería, no solo de Ethereum, sino también de otras monedas como ZCash.

No obstante, esta llegada repentina de una gran cantidad de mineros ha hecho que, paradójicamente, la dificultad para generar estas monedas aumente y no son pocos los que están vendiendo el equipamiento adquirido recientemente para tratar de recuperar lo invertido o, al menos, no salir perdiendo en exceso.

Por si fuera poco, se han producido varios incidentes en los que Ethereum se ha visto implicado que han hecho cundir el pánico entre varios mineros, provocando, de paso, que su valor se reduzca considerablemente con respecto a los máximos que consiguió a mediados de junio.

Uno de los incidentes más curiosos fue el robo de 7,4 millones de dólares en monedas criptográficas del pasado lunes 17 de julio aprovechando que CoinDash, una startup de Israel, lanzó una operación de financiación de proyectos con la finalidad de recaudar fondos, fondos que todo el que quisiera apoyar a la empresa podía ingresar enviando sus Ethereums a una dirección en concreto.

Al parecer, alguien que conocía que esa operación iba a producirse modificó la dirección a la que los usuarios enviaban sus monedas criptográficas y la cambió por la suya propia, haciéndose con un botín más que apetecible en muy breve espacio de tiempo.

Pero si esta cantidad no es para nada despreciable, la verdad es que palidece frente al robo de los casi 32 millones de dólares en monedas criptográficas que un atacante consiguió este miércoles 19 de julio, aprovechándose de una vulnerabilidad crítica en un cliente de ethereum conocido como Parity.

Y es que muchos de los usuarios que han mostrado interés en las monedas criptográficas durante los últimos meses no se han molestado ni en la optimización de sus sistemas de minado (y por eso mismo, obteniendo mucho menos rendimiento del esperado) ni en almacenar de forma segura lo conseguido, lo que ha provocado el aumento del malware que busca robar dinero de las carteras donde se almacenan estas monedas o, directamente, infectar sistemas para aprovechar sus recursos y transformarlos en máquinas de minería.

Conclusión

No cabe duda de que nos encontramos en una época de lo más interesante en lo que a monedas criptográficas se refiere, más aun si tenemos en cuenta el importante cambio que está por venir el próximo mes de agosto en la pionera de todas ellas, el Bitcoin.

Sin embargo, los delincuentes también están al tanto y no solo usan estas monedas para tratar de camuflar sus operaciones delictivas, sino que también tienen a los mineros y otros usuarios (como los gamers por los PCs potentes que suelen utilizar) en su punto de mira. Es importante pues que si tenemos interés de adentrarnos en este mundo, lo hagamos de forma segura e informándonos de todos los riesgos y precauciones a adoptar.

Josep Albors

Blackhat, Defcon y los fallos del IoT

Mié, 07/19/2017 - 13:33

Cuando estamos a una semana del inicio de las conferencias de BlackHat (evento al que seguidamente seguirá Defcon), consideramos que es una buena idea repasar alguno de los temas que allí se van a tratar. Un año más, el Internet de las cosas tendrá un protagonismo especial y no serán pocos los que aprovecharán estos congresos para presentar sus investigaciones.

Los juguetes en el punto de mira

Durante el año pasado vimos como se daba la voz de alarma debido a  la implementación de conectividad a redes inalámbricas por parte de juguetes tradicionales como las clásicas muñecas Barbie. Aunque se presentase como una novedad y algo que actualizaba estos juguetes clásicos, no tardaron en aparecer varias investigaciones que pusieron de relevancia los problemas de seguridad que esta conectividad implicaba.

Esta conectividad en juguetes destinados a los más pequeños de la casa ha cobrado tal relevancia que incluso el FBI ha tomado cartas en el asunto, y ha publicado recientemente un aviso en el que se explica por qué aquellos juguetes que disponen de conexión a Internet podrían suponer un riesgo para la seguridad y privacidad de los niños que jueguen con ellos.

La gran cantidad de sensores, e incluso dispositivos como cámaras o micrófonos, o la posibilidad de grabar conversaciones con los niños y almacenarlas en sistemas fuera del control de los tutores, presentan un grave problema que debe atajarse lo antes posible para evitar males mayores.

Es por eso que se recomienda a los padres que estén pensando en adquirir uno de estos juguetes que se informen muy bien antes de comprarlos y monitoricen el uso que hacen de ellos sus hijos para evitar problemas.

Tampoco debemos olvidar otro tipo de juguetes para adultos, y es que si el año pasado fueron una de las estrellas en Defcon, su seguridad no ha mejorado a pesar de todos los fallos que se encontraron en algunos modelos. De hecho, hemos visto como aparecían modelos más avanzados que ponían la privacidad de sus usuarios aún más en peligro.

Luego ya tenemos dispositivos más avanzados que proponen poco menos que tener una pareja virtual, pero eso, de momento, solo en países avanzados como Japón con gustos y particularidades “especiales”.

El IoT como vector de ataque

Por si fuera poco, durante 2016 vimos que dispositivos inseguros conectados a Internet como pueden ser routers, cámaras de vigilancia IP o grabadores de vídeo fueron utilizados en ataques de gran relevancia como el realizado por la botnet Mirai a finales de octubre.

Este hecho puso de manifiesto algo que ya se sabía: la inseguridad intrínseca de muchos de los dispositivos que se están conectando a Internet hace que los delincuentes lo tengan especialmente fácil para crear sus propias redes de dispositivos zombis de un tamaño considerable, y atacar así objetivos importantes que paralicen temporalmente servicios esenciales de Internet.

A pesar de que ya hemos visto de lo que es capaz uno de estos ataques, los fabricantes no es que estén haciendo demasiado para prevenir incidentes futuros. De hecho, cada vez son más los dispositivos que se conectan sin tener en cuenta las medidas de seguridad más básicas, y no cabe duda de que tarde o temprano se verán comprometidos. Solo hay que ver lo que le sucede a un router cualquiera en tan solo 24 horas para darse cuenta de que hay mucha gente interesada en hacerse con el control de nuestros dispositivos.

También hay que indicar que no solo a los delincuentes esta situación les parece un escenario ideal para realizar sus fechorías. Alguna agencia gubernamental ya ha demostrado su interés (aunque lleve años haciéndolo) en usar todos estos dispositivos inseguros conectados para recopilar información y facilitar sus investigaciones, algo que seguramente también salga a relucir la semana que viene en alguna charla, especialmente en Defcon.

Riesgos en infraestructuras críticas conectadas

Uno de los peores escenarios imaginables hoy en día relacionados con la seguridad informática tiene entre sus protagonistas a un buen número de infraestructuras críticas que conectan sus sistemas a Internet. No es de extrañar que cada novedad relacionada con un fallo de seguridad o un ataque producido en una de estas infraestructuras llame la atención.

Posiblemente, una de las investigaciones más importantes en este aspecto de lo que llevamos de año sea la llevada a cabo por nuestros compañeros de ESET y la empresa de ciberseguridad industrial Dragos, investigación que será expuesta la semana que viene para todos los que acudan a BlackHat.

Pero no es la única charla acerca de la seguridad en entornos industriales e infraestructuras críticas que seguiremos de cerca durante la semana que viene. Todo un experto y veterano de BlakHat como es Rubén Santamarta tiene una charla preparada sobre cómo interferir en los sensores encargados de medir la radiación tanto en infraestructuras críticas como en puntos menos clave pero no por ello menos importantes, como son las estaciones meteorológicas.

Conclusión

Durante los próximos días vamos a ver un aluvión de noticias relacionadas con la ciberseguridad precisamente debido a la celebración de estos dos congresos de referencia en todo el mundo. No cabe duda de que el Internet de las cosas volverá a cobrar un protagonismo importante y por eso debemos estar atentos para saber cuáles son los riesgos que corremos e instar a los fabricantes a que desarrollen dispositivos más seguros o, en última instancia, no comprar aquellos que son inseguros por diseño.

Josep Albors

 

Páginas