Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 2 horas 57 segs

“Hoy en día la gente no está concienciada de los peligros que existen en Internet”, Tamara Hueso

Mié, 08/08/2018 - 13:31

Hoy tengo el placer de entrevistar a una gran profesional del sector de la ciberseguridad: Tamara Hueso (@tamarahueso).Es Analista Senior de Ciberseguridad en Deloitte, miembro del blog especializado en seguridad informática Follow The White Rabbit, y la primera mujer finalista de la competición anual de ‘Atrapa la bandera’, organizada por CyberCamp.

  1. ¿Qué es lo más complicado para destacar en tu profesión?

Considero que, como en cualquier profesión, para destacar es necesario tener un amplio conocimiento de la materia, pero sin duda, también es muy importante el esfuerzo y la dedicación en tu trabajo.

En esto de la ciberseguridad es muy importante tener un conocimiento básico de todos los ámbitos que lo componen, sin embargo, creo que es necesario centrarse en alguna de estas ramas y especializarse en ella. La ciberseguridad es un sector muy extenso, por lo que considero inviable ser muy bueno en todas las ramas de este sector y es preferible ser experto en algo.

  1. ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Tres consejos que daría a los que sigan mis pasos serían:

– Constancia en tu trabajo.

– Disfrutar al máximo de lo que haces.

– Exigirte al máximo cada día, autoformándote y siendo curioso.

  1. ¿Cuál ha sido tu mejor día profesional?

Podría decir que hay dos momentos en mi carrera profesional que han sido muy buenos.

Uno fue cuando terminó el evento summerXperience que organiza Deloitte el verano pasado. En el evento montamos un minirreto en el cual los chic@s tenían que realizar varias pruebas del tipo a un CTF para ayudar a una empresa que había sufrido un ataque ransomware.

Al finalizar el evento los alumnos nos felicitaron y quedaron muy contentos, no se hacían a la idea de la ilusión que a mí me hacía. Ver tu trabajo recompensado en sus caras de ilusión y todo lo que aprendieron no tiene precio.

El segundo diría que es cuando me dieron mi primer feedback en mi trabajo actual, venía de una empresa en la cual no se reconocía el trabajo del empleado y me sentí muy realizada cuando me dijeron que estaban muy contentos conmigo. Es una motivación que te digan que lo estás haciendo bien, no en todas las empresas se hace.

  1. ¿Y el más duro…?

Creo que no podría decir uno en concreto, pero sí una etapa, la de mi trabajo anterior. Fue una muy mala experiencia en todos los sentidos. El trabajo no me gustaba, no me sentía útil. La relación, salvo excepciones, fue bastante mala. No se reconocía el trabajo de los que realmente lo realizaban y los que no hacían nada se llevaban los méritos. En resumen, muy mal.

Es complicado dar con la empresa en la que te sientes a gusto, puesto que hay muchos aspectos que valorar, pero yo creo que la he encontrado.

  1. ¿De qué te sientes orgullosa actualmente?

Actualmente (y siempre) me voy a sentir orgullosa de donde he llegado, empecé siendo una chica que no sabía qué estudiar, no tenía claro hacia dónde dirigir mi carrera profesional. Y creo que tuve la mejor decisión de mi vida.

He tenido el gran ejemplo de tener unos padres luchadores y por lo tanto me esfuerzo al máximo en cada cosa que hago, y eso me ha llevado a estar donde estoy.

  1. ¿Tu próximo reto?

Considero que, para conseguir cumplir nuestros retos, estos tienen que ser alcanzables y no muy idílicos. Como reto profesional, me gustaría seguir formándome y creciendo en mi trabajo, adquiriendo mayor valor como profesional y conseguir ser un gran apoyo para mis compañeros de trabajo. Ser una referencia en la que fijarse.

  1. ¿Cuáles son las lagunas más importantes que tiene la gente de la calle en relación a seguridad en la red?

Hoy en día la gente no está concienciada de los peligros que existen en Internet. Creo que como las consecuencias muchas veces no son físicas, la gente no lo ve como algo real.

No se dan cuenta de que mediante un ciberataque se pueden causar desastres catastróficos como pueden ser el hackeo de un avión, de una central eléctrica, centrales nucleares o simplemente abrir una presa que inunde pueblos enteros.

Se piensan que, por no ser famosos, los “malos” no van a querer atacarlos. Y ese es el gran problema: que no son conscientes en ningún sentido de los riesgos en la red.

¡Muchas gracias Tamara por dejarte robar unos minutos!

ZombieBoy: malware con funcionalidad de gusano centrado en la minería de criptomonedas

Lun, 08/06/2018 - 13:19

El mundo de las criptomonedas está en constante evolución, y de la misma forma que los usuarios buscan la forma de obtener las máximas ganancias minando o negociando con estas divisas, los delincuentes siguen desarrollando amenazas cada vez más sofisticadas para conseguir infectar más dispositivos que poner al servicio de sus redes de minado.

Criptominero con funcionalidades de gusano

Durante los últimos meses hemos visto como los delincuentes han ido adaptando sus técnicas para conseguir infectar cada vez más dispositivos para tenerlos a su disposición. Si al principio veíamos como se confiaba en que las víctimas instalasen el software de minado (engañándolas mediante la descarga de ficheros maliciosos camuflados como aplicaciones legítimas para luego pasar al minado a través de código JavaScript en todo tipo de webs), desde hace un tiempo se han observado campañas que combinan el criptominado con la capacidad de propagación de un gusano informático.

Esquema de funcionamiento de ZombieBoy – Fuente: AlienVault

Precisamente un malware con funciones de minado, y que incluye esta característica de gusano que le proporciona rapidez de propagación, ha sido detectado recientemente por el investigador James Quinn, quien publicó un completo análisis. Este investigador ha descubierto que, además de utilizar varios exploits para propagarse rápidamente, este malware también los utiliza para intentar evitar ser detectado.

Este malware ha sido bautizado como ZombieBoy por el uso que hace de una herramienta llamada ZombieBoyTools y que es utilizada para descargar la primera librería maliciosa en el sistema y luego utiliza varios exploits para propagarse, de formaparecida a como lo hacía otra amenaza similar como MassMiner, aunque utilizando sus propias herramientas para encontrar sistemas que infectar.

Uso de exploits conocidos

En el análisis de esta amenaza se han observado varios puntos interesantes, como por ejemplo un posible origen localizado en China, ya que lenguaje utilizado en su desarrollo es el chino simplificado. Si bien esta pista puede parecer definitiva a la hora de realizar atribuciones, nunca debemos de fiarnos al 100% de este tipo de detalles, puesto que esas evidencias podrían haber sido incluidas para despistar a los investigadores.

En cuanto al uso de exploits conocidos, ZombieBoy utiliza nada menos que 3 de ellos para propagarse y que aprovechan sendas vulnerabilidades, además de los sobradamente conocidos DoublePulsar y EternalBlue, para conseguir instalar remotamente la librería principal del malware, todo esto gracias a las herramientas ZombieBoyTools.

  • CVE-2017-0176: vulnerabilidad en escritorio remoto que permite la ejecución de código arbitrario en Windows XP y Windows Server 2003.
  • CVE-2017-0143: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.
  • CVE-2017-0146: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.

Captura de pantalla de la herramienta ZombieBoyTools – Fuente: AlienVault

A pesar de que esta amenaza está centrada en el minado de criptomonedas, la instalación de una funcionalidad backdoor por RDP permitiría al atacante infectar el sistema con otras amenazas tales como el ransomware. Una vez infectado el sistema, este empezará a minar la criptomoneda Monero, reportándole un beneficio directo a los delincuentes e incrementando este beneficio conforme más sistemas logren infectar.

Según el investigador, esta amenaza está actualizándose constantemente, seguramente para intentar evadir la detección por parte de los motores antivirus. Además, utiliza técnicas de detección de entornos virtualizados para dificultar su análisis, ya que no se ejecuta normalmente si detecta que se intenta ejecutar en una máquina virtual.

Conclusión

El uso de exploits que permiten a una amenaza como esta propagarse rápidamente en una red corporativa permite a un atacante tener a su merced a una importante cantidad de equipos en poco tiempo, ya sea para realizar funciones de minado u otras acciones maliciosas como las que vimos el año pasado con casos como WannaCry o Petya.

Por amenazas como ZombieBoy y muchas otras, es importante mantener nuestros dispositivos actualizados con los parches de seguridad que se vayan publicado. La minería de criptomonedas sigue proporcionando importantes beneficios a los delincuentes y por eso no sería raro ver más amenazas similares en las próximas semanas o meses.

Josep Albors

 

SMS como doble factor de autenticación, ¿sigue siendo seguro?

Vie, 08/03/2018 - 11:53

Desde hace años venimos recomendando la utilización de un doble factor de autenticación (2FA) para mejorar la seguridad de aquellos servicios o aplicaciones que, inicialmente, dependen de un nombre de usuario y contraseña. La aplicación de una medida de seguridad adicional como esta normalmente supone una mejora a la hora de acceder a datos confidenciales o privados, pero, como vamos a ver hoy, no todas las soluciones 2FA ofrecen las mismas garantías.

El incidente sufrido por Reddit

Como posiblemente muchos de nuestros lectores ya sabrán, Reddit anunció recientemente que durante el pasado mes de junio un atacante consiguió acceder a las cuentas de empleados de la empresa, aun a pesar de que tenían activado el doble factor de autenticación por SMS. Este ataque permitió a los atacantes obtener acceso de solo lectura a algunos sistemas con copias de seguridad, código fuente y otros registros.

Sin embargo, la mayoría de los datos que fueron accedidos de forma ilícita, incluyendo credenciales (no en texto plano, sino con hash+salt) y direcciones de correo; pertenecían a una copia de seguridad del año 2007, por lo que lo lógico sería pensar que esas contraseñas fueron cambiadas ya hace tiempo por los propietarios de las cuentas.

Reddit ya ha tomado cartas en el asunto avisando a aquellos usuarios que se registraron en su plataforma hasta 2007, mediante mensajes en los que se les invita a cambiar sus credenciales de acceso si no lo han hecho desde entonces.

Lo realmente importante de este incidente fue que el ataque se produjo directamente contra cuentas de empleados de Reddit y consiguieron vulnerarlas, a pesar de contar con un doble factor de autenticación mediante el envío de mensajes SMS. Lo más probable es que los atacantes se valieran de la ingeniería social para obtener estos códigos pero tampoco se descartan métodos más sofisticados, algo que venimos observando desde hace años en varios casos de troyanos bancarios, por ejemplo.

¿Es el 2FA realmente seguro?

La utilización de sistemas de doble factor de autenticación es algo que venimos recomendando encarecidamente desde hace tiempo, ya que la capa de seguridad adicional que proporcionan evita que usuarios no autorizados accedan a nuestros servicios online o aplicaciones aun cuando nos han robado nuestras credenciales de acceso.

Sin embargo, no todos los 2FA son iguales, y actualmente disponemos de numerosas posibilidades como el ya citado SMS, el email, la llamada de teléfono, los códigos de un solo uso generados por aplicaciones o hardware e incluso medidas de autenticación biométrica como la huella dactilar o el reconocimiento facial.

Precisamente fue el SMS una de las primeras medidas en implementarse y, como en otras medidas de seguridad, los bancos fueron de los primeros en incluir este tipo de mensajes como doble factor de autenticación a la hora de realizar operaciones de banca online. No obstante, con las alternativas existentes en la actualidad, es un método que se ha quedado rezagado con respecto al resto.

Si realizamos una consulta sobre la posibilidad de añadir un 2FA en aquellos servicios online o aplicaciones más utilizadas, vemos que muchas de ellas ya permiten configurar esta capa adicional de seguridad. Pero cuando revisamos si se ofrecen posibilidades más allá del SMS, vemos que la oferta aún no es tan amplia como nos gustaría, a pesar de ir creciendo de forma constante durante los últimos años.

Opciones de 2FA implementadas en algunas redes sociales – Fuente: Twofactorauth

Así las cosas, podemos concluir que la incorporación de un 2FA va resultar muy positiva a la hora de reforzar la seguridad, pero debemos tener en cuenta que hay varias opciones e intentar elegir aquella que más nos compense, tanto por nivel de seguridad como por facilidad de uso.

Conclusión

El incidente de seguridad sufrido por Reddit nos sirve como ejemplo perfecto para recordar que no solo se deben implementar soluciones de seguridad, sino también evaluar su eficacia y resistencia ante posibles ataques. El uso de 2FA se está extendiendo, incorporando nuevos mecanismos de autenticación más efectivos, pero todavía falta para que se convierta en algo utilizado de forma masiva por los usuarios, al menos hasta que exista una alternativa real a la dupla usuario más contraseña.

Josep Albors

Las campañas masivas de adware resurgen en las últimas semanas

Mié, 08/01/2018 - 14:04

A pesar de no haber sido tan mencionado como otras amenazas en los últimos meses, el peligro de la utilización maliciosa de las redes de anuncios (amenaza también conocida como malvertising) sigue siendo una importante fuente de ingresos para los delincuentes y un verdadero quebradero de cabeza para los usuarios.

Campaña Master 134

Un ejemplo de que los ciberdelincuentes consideran estas campañas de anuncios maliciosos una parte muy importante de su negocio lo tenemos en la investigación reciente de Check Point, donde se ha descubierto una campaña de malvertising que implica a miles de sitios WordPress comprometidos, así como a varias empresas dentro de la cadena de negocio de la publicidad online, y que termina distribuyendo contenido malicioso a usuarios de todo el mundo a través de varios Kits de exploit.

Para entender cómo funciona todo este entramado primero debemos saber quién lo conforma, empezando por los anunciantes que quieren promocionar sus productos o servicios. Estos anunciantes contactan con los publishers, que son los encargados de vender el espacio publicitario en sus webs, y luego tenemos a las redes de anuncios que se encargan de pujar por el espacio de anuncios y conectar a los anunciantes con los publishers. Junto a todos estos actores se encuentran los revendedores, que trabajan junto con las redes de anuncios para vender el tráfico que las redes de anuncios recopilan de los publishers a otros anunciantes.

Esquema de la campaña de propagación de Adware Master134 – Fuente: Check Point

Esta investigación ha mostrado una preocupante relación entre un grupo de cibercriminales camuflado como publisher y varios revendedores legítimos. Los delincuentes están utilizando esta estructura para propagar malware como ransomware, troyanos bancarios y bots. Todo ello alimentado por una red de anuncios de dudosa moral conocida como Ad-Terra.

El problema de este esquema de distribución de malware que aprovecha todo el mecanismo de distribución de anuncios online es la gran cantidad de usuarios a la que pueden llegar los delincuentes, y que, prácticamente, pueden propagar cualquier amenaza que se les ocurra.

Extensiones maliciosas en webs para ver películas online

El caso anterior no es el único que se ha estado produciendo en los últimos días, ya que desde finales de julio, los sistemas de telemetría de ESET vienen detectando un incremento considerable a nivel global de la amenaza JS/Adware.Agent.AA. España no es una excepción, puesto que esta amenaza se ha colocado en el primer puesto de las más detectadas, sustituyendo incluso a aquellas relacionadas con el minado no autorizado de criptomonedas.

Índice de detección de JS/Adware.Agent.AA en España durante las últimas semanas – Fuente: Virus Radar

Esta detección se activa cuando se detecta cierta línea de código JavaScript en una web, línea que tiene una nomenclatura similar a la siguiente:

“/afu.php?zoneid=1407888&var=1407888”

Este código pertenece a un distribuidor de anuncios online que en ocasiones ha incluido anuncios maliciosos tales como falsas alertas que terminan instalando extensiones maliciosas de Chrome, tal y como vimos hace un tiempo con la campaña protagonizada por el malware Submelius.

El incremento tan importante en el número de detecciones se debe a que algunas webs de visualización online de películas y series utilizan el distribuidor de publicidad online con la línea de código JavaScript maliciosa, lo que provoca que muchos de los visitantes de estas webs terminen instalando las extensiones maliciosas de Chrome en sus sistemas.

Ejemplo de web para ver películas online que realiza descargas con malware – Fuente: WeLiveSecurity

Webs fraudulentas de descarga de aplicaciones

Otra de las técnicas de propagación de adware que hemos visto recientemente tiene como protagonistas a una serie de webs fraudulentas que se hacen pasar por webs de descarga oficial de algunas aplicaciones bastante conocidas. El descubrimiento inicial lo hizo el investigador Ivan Kwiatkowski cuando descubrió una web francesa haciéndose pasar por el sitio oficial del conocido gestor de contraseñas KeePass en ese país.

Los usuarios que descarguen esta aplicación desde ese sitio web obtenían la aplicación y, de regalo, un adware de nombre InstallCore que viene en el mismo instalador. A pesar de que mucha de esta publicidad no va más allá de ser molesta para el usuario, también se han dado casos donde los usuarios se han encontrado con que se intentaban instalar desde programas de minado de criptomonedas hasta secuestradores de búsquedas en el navegador.

Lo peligroso del asunto es que no solo se descubrió esta estrategia en esa web en concreto, sino que, tirando del hilo, han ido apareciendo más webs con instaladores y adware “de regalo” haciéndose pasar por webs legítimas, principalmente en dominios franceses y españoles.

Pongamos como ejemplo la web Thunderbird.es. Cualquiera diría que tiene toda la pinta de ser una web completamente legítima para descargar el conocido cliente de correo, ya que está registrada en un dominio de primer nivel, el diseño está bien hecho (a pesar de no coincidir con el oficial) y además cuenta con un certificado que garantiza una conexión segura HTTPS (pero no que lo que haya en esa web sea seguro) emitido por Let’s encrypt.

Web fraudulenta con dominio español para la descarga de Thunderbird

La gran mayoría de usuarios no sospecharía que nada malo pudiera descargarse desde esa web por los puntos que acabamos de mencionar, pero si accedemos a esa web y nuestro antivirus hace su trabajo, lo normal es que nos encontremos con mensajes de alerta tanto al intentar acceder a la web como a la hora de intentar descargar el instalador.

Bloqueo del sitio web fraudulento tanto a la hora de acceder como a la de descargar el instalador desde el enlace proporcionado

Si en lugar de acceder a esta web fraudulenta buscamos la web oficial de Thunderbird, veremos como el diseño de la web cambia considerablemente y esta también se encuentra certificada por una entidad autorizada para asegurarse de que la conexión entre nuestro sistema y la web se realiza de forma segura.

‏Página legítima de descarga de Thunderbird

Conclusión

Tal y como acabamos de ver, el malvertising sigue siendo una técnica interesante para que los delincuentes obtengan cuantiosos beneficios sin apenas exponerse. Tanto mediante el abuso de las de redes de anuncios para sus oscuros intereses como utilizando sitios webs fraudulentos que se hacen pasar por legítimos, se puede conseguir que usuarios despistados caigan en la trampa.

Por eso debemos estar atentos y vigilar, no solo las webs a las que accedemos sino también las aplicaciones que descargamos, utilizando para eso un sistema de seguridad capaz de detectar y bloquear estas y otras amenazas de forma eficiente.

Josep Albors

 

Google prohíbe las aplicaciones con funcionalidades de minería de criptomonedas de su tienda oficial

Lun, 07/30/2018 - 12:48

A pesar del valor fluctuante que han ido experimentando las criptomonedas durante las últimas semanas, la utilización de diversas técnicas de minado tanto por webs y aplicaciones legítimas como por otras controladas por delincuentes no ha dejado de crecer. Esto ha provocado una reacción drástica en alguno de los gigantes de Internet, cuya mayor consecuencia ha sido la prohibición de aplicaciones de minado y anuncios relacionados con las criptomonedas en los principales mercados de aplicaciones y redes sociales.

Google toma medidas contra el minado

La adopción de medidas para evitar el minado de criptodivisas desde páginas web, extensiones para el navegador y aplicaciones móviles que tan en auge está actualmente es algo que hemos visto en los últimos meses por parte de empresas importantes del sector tecnológico. A principios de año veíamos como Facebook prohibía cualquier publicidad relacionada con criptomonedas e ICOs en su plataforma, seguido por Twitter a finales de marzo.

Poco tiempo después, Google realizó su primer movimiento relacionado con este tema prohibiendo las extensiones de su navegador Chrome que permitían el minado de criptomonedas tras ver como algunas de estas extensiones conseguían un éxito considerable  entre los usuarios. Además, se unió a la decisión tomada por Facebook y Twitter de prohibir aquella publicidad que promocione las criptomonedas y las ICOs.

Tras estas decisiones, el siguiente paso lógico era centrarse en las aplicaciones que se instalaban en dispositivos como smartphones y que se estaban distribuyendo en tiendas oficiales. Apple cortó por lo sano a principios de junio cuando hizo públicas las nuevas reglas que se aplicaban en el App Store, y que prohibían que se distribuyesen aplicaciones en su tienda oficial que estuviesen orientadas a la minería de criptomonedas en dispositivos iOS y macOS.

Tras ese movimiento por parte de Apple, Google ha decidido seguir el mismo camino y ha actualizado la web donde se detallan las reglas para el desarrollo de aplicaciones en Google Play Store, prohibiendo aquellas apps que minen criptomonedas.

Tras esta decisión, Google planea eliminar de su tienda oficial cualquier aplicación que utilice los recursos de los dispositivos con sistema operativo Android para la minería de criptomonedas. Quedan excluidas de la prohibición aquellas aplicaciones que utilizan algunos usuarios para monitorizar el minado de criptomonedas en otros dispositivos.

Criptominado en el IoT, el siguiente desafío

No cabe duda de que las medidas adoptadas por todos estos gigantes de Internet que acabamos de comentar evitarán que mucha gente que no dispone de los conocimientos ni de la paciencia necesaria arriesguen sus ahorros en un mercado tan volátil como es el de las criptomonedas.

Sin embargo, la tendencia que más está evolucionando actualmente y que, probablemente, tenga mayor repercusión a medio plazo, es el minado de criptomonedas aprovechando los recursos de los millones de dispositivos del Internet de las cosas que están desprotegidos y a merced de cualquier atacante.

Si lo pensamos bien, tiene toda la lógica del mundo, ya que no se depende de un usuario desprevenido que instale una aplicación maliciosa en su ordenador o móvil, o visite una web con un script de minado. Atacando al Internet de las cosas los delincuentes eliminan el factor usuario y disponen de una cantidad ingente de dispositivos a su disposición para minar criptodivisas sin parar, ya que muchos de ellos están conectados 24 horas al día, 7 días a la semana.

Además, se presentan problemas a la hora de detectar y eliminar esta amenaza de estos dispositivos. Salvo que se haga un uso intensivo de los recursos, es difícil que se detecte que algo va mal, ya que mientras no se produzca un fallo en el hardware los usuarios entenderán que todo funciona correctamente.

Con respecto a la eliminación y protección de estos dispositivos, los problemas aumentan, ya que no existen soluciones de seguridad específicas para cada uno de ellos y, además, muchos no se actualizan para solucionar las posibles vulnerabilidades que son aprovechadas por los atacantes para infectarlos con software de minado y otro tipo de malware.

Algunas posibles soluciones para paliar este problema han empezado a implementarse en dispositivos o software capaces de monitorizar todas las comunicaciones de red que entran y salen de los dispositivos IoT, para detectar posibles órdenes lanzadas desde centros de mando y control conocidos y bloquearlas. Si bien esto ayuda para detectar las infecciones provocadas por el software de minado y otras amenazas, no termina con el problema en sí.

Conclusión

Cualquier medida que se adopte para prevenir el abuso de los recursos de los usuarios para el minado de criptomonedas es bien recibido. No obstante, hemos de mirar más allá de los ordenadores, tablets y smartphones y pensar en los millones de dispositivos conectados que ya están siendo usados por los delincuentes y que, si no se hace nada, puede terminar en una nueva epidemia de mineros difícil de contener.

Josep Albors

Aplicaciones de banca fraudulentas en Google Play filtran los datos de las tarjetas de crédito robadas

Vie, 07/27/2018 - 10:30

Entre las aplicaciones fraudulentas que se suelen encontrar en la tienda oficial Google Play hay algunas que, desde hace años, están entre las favoritas de los ciberdelincuentes. Además de los juegos (y las aplicaciones para hacer trampas en ellos), servicios de mensajería y otras aplicaciones similares, las falsas aplicaciones bancarias han sido, desde casi el inicio de Android, unas de las más usadas para camuflar intenciones no demasiado honestas.

Nuevas aplicaciones bancarias maliciosas

Recientemente, se han descubierto nuevas aplicaciones bancarias fraudulentas en Google Play que afirman ser capaces de aumentar el límite de crédito asignado a usuarios de tres bancos de la India. En realidad, la finalidad de estas aplicaciones es la de robar la información de las tarjetas de crédito y las credenciales de acceso a la banca online mediante el uso de formularios falsos. Y, lo que es peor, toda esta información es accesible para todo el mundo en texto plano sin cifrar, ya que se aloja en un servidor expuesto a Internet sin ninguna medida de seguridad.

Imagen 1 – Las aplicaciones maliciosas en Google Play

Estas aplicaciones fraudulentas fueron subidas a Google Play durante junio de 2018 y en julio fueron retiradas por Google tras haber sido notificados por investigadores de ESET. Sin embargo, para entonces ya habían sido instaladas por centenares de víctimas. Estas aplicaciones fueron subidas bajo el nombre de tres desarrolladores diferentes y cada una de ellas suplantaba a un banco de la India diferente. No obstante, el origen de las tres aplicaciones puede ser rastreado y asignado a un único atacante.

¿Cómo funcionan estas aplicaciones?

Las tres aplicaciones fraudulentas siguen el mismo procedimiento. Tras su ejecución muestran un formulario solicitando los detalles de la tarjeta de crédito (Imagen 2). Si los usuarios rellenan este formulario y pulsan sobre el botón “Enviar” serán redirigidos a otro formulario donde se les preguntará por sus credenciales de banca online (Imagen 3). Curiosamente, a pesar de que todos los campos están marcados como “obligatorios”(*), ambos formularios pueden ser enviados vacíos, lo que es un claro indicador de que algo no funciona como debería.

Imagen 2 – Formularios fraudulentos para recopilar datos de tarjetas de crédito

Imagen 3 – Formularios fraudulentos para el robo de credenciales de banca online

Al pulsar sobre el botón de confirmación de ambos formularios (habiéndolos rellenado o no) se redirige al usuario a la pantalla final de la aplicación, dándole las gracias por el interés mostrado al rellenar los formularios e informándole de que un “responsable de atención al cliente” se pondrá en contacto en breve (Imagen 4). No hace falta decir que nadie se pone en contacto con las víctimas y que las aplicaciones no tienen más funcionalidades aparte de las que se acaban de mostrar.

Imagen 4 – Pantalla final mostrada por las aplicaciones maliciosas

Mientras tanto, los datos introducidos en los formularios fraudulentos son enviados en texto plano al servidor del atacante. Este servidor que almacena todos los datos robados es accesible para cualquiera que conozca el enlace, sin que sea necesario una autenticación previa. Para las víctimas esto representa un daño mayor, ya que sus datos confidenciales no solo están a disposición de los delincuentes, sino también de cualquiera que se tope con el servidor desprotegido.

Imagen 5 – Datos bancarios robados y almacenados en texto plano en el servidor del atacante

Hace poco, el investigador de ESET Lukas Stefanko avisaba sobre otra aplicación maliciosa que mostraba información robada a cualquiera que supiera donde buscar, siendo una app fraudulenta que se hacía pasar por MyEtherWallet y que exponía las claves privadas usadas para acceder a las carteras donde almacena las criptomonedas de sus víctimas. Este tipo de descubrimientos demuestra la necesidad de tener especial cuidado a la hora de descargar aplicaciones relacionadas con las finanzas, ya sea dinero tradicional o criptodivisas.

Cómo permanecer seguro ante estas amenazas

Si se ha instalado y usado alguna de estas aplicaciones maliciosas se recomienda desinstalarlas inmediatamente, así como también revisar la cuenta bancaria en búsqueda de actividad sospechosa, cambiar el código PIN de la tarjeta de crédito y la contraseña de acceso a la banca online.

De la misma forma, para evitar ser víctima de aplicaciones de phishing se recomienda:

  • Confiar únicamente en aquellas aplicaciones de banca online que se enlacen desde la web oficial del banco que usemos.
  • Nunca se debe introducir la información privada relacionada con la banca online en ningún formulario si no estamos seguros de su seguridad y legitimidad.
  • Se debe prestar atención al número de descargas, valoración de la aplicación y, sobre todo, a los comentarios de los usuarios a la hora de descargar apps desde Google Play.
  • Siempre debemos tener actualizados nuestros dispositivos Android y utilizar una solución de seguridad de confianza como los productos de ESET, capaces de detectar estas aplicaciones maliciosas como Android/Spy.Banker.AHR.
Aplicaciones bancarias legítimas como objetivo Nombre de la aplicación Nombre del paquete iMobile by ICICI Bank com.csam.icici.bank.imobile RBL MoBANK com.rblbank.mobank HDFC Bank MobileBanking (New) com.hdfc.retail.banking

 

Indicadores de compromiso

De momento, no se van a publicar indicadores de compromiso específicos más allá de los identificadores de las aplicaciones para así evitar exponer aún más la información de las víctimas.

 

Cómo reaccionar a un chantaje a través de un correo que muestra una de tus contraseñas

Mié, 07/25/2018 - 09:52

Hace unos días, nuestros compañeros de ESET Latinoamérica avisaban en el blog WeLiveSecurity de la propagación de una serie de correos en los que se amenazaba con difundir un supuesto vídeo grabado desde uno de nuestros dispositivos, que habría sido comprometido por un delincuente. Tras detectar varios casos similares entre usuarios españoles, vamos a analizar en qué consiste esta amenaza.

El correo amenazante

Todo empieza con la recepción de un correo en inglés desde una dirección desconocida y que tiene como particularidad que en asunto aparecen credenciales de acceso a algún servicio online (nombre de usuario y contraseña). Esto suele causar un impacto considerable entre aquellos usuarios desprevenidos, sensación que suele agravarse conforme se sigue leyendo este correo.

En el email se nos indica que nuestro misterioso remitente ha conseguido un software en una página de contenido pornográfico que le permite tomar el control sobre lo que estamos viendo y también sobre la webcam. Así mismo, este delincuente nos indica que también ha recopilado información como nuestros contactos, cuentas de redes sociales y nuestra cuenta de correo. Por último, se nos indica que se ha grabado tanto lo que estábamos viendo como a nosotros a través de la webcam.

Obviamente, tras recibir un correo así a más de uno pueden entrarle sudores fríos pensando en qué sitios web ha visitado recientemente y, sobre todo, en qué condiciones pueden haberle grabado. El delincuente lo sabe y amenaza con difundir un vídeo mostrando lo que supuestamente estábamos viendo y lo que se ha grabado desde la webcam de nuestro dispositivo.

La buena noticia para todos los usuarios que estuvieran temiendo por su reputación entre sus contactos es que no existe dicho vídeo, y lo único de lo que disponen estos extorsionadores es de un usuario y una contraseña filtrados desde alguna base de datos perteneciente a algún servicio online al que nos hayamos registrado.

Analizando la estrategia

Por desgracia, los extorsionadores han utilizado esta técnica porque son conocedores del creciente número de casos de sextorsión, tanto entre adultos como entre menores. De la misma forma que vimos correos similares pero que amenazaban con cifrar los datos de los ordenadores de nuestra empresa, los delincuentes han visto ahora la posibilidad de conseguir dinero fácilmente sin ni siquiera utilizar un malware.

Para ello utilizan la ingeniería social y el miedo a que nuestros secretos salgan a la luz y se difundan entre nuestros contactos. El único mérito de estos extorsionadores ha sido el de recopilar datos entre los millones de credenciales que se han filtrado en los últimos años desde todo tipo de servicios online y preparar un correo bastante bien escrito (aunque bastante genérico) para tratar de convencer al mayor número de usuarios de que estaban ante una amenaza real cuando no es así.

Como apunte interesante, vemos que la cantidad de dinero solicitada es más del doble de la que se pedía en los correos analizados por nuestros compañeros de ESET Latinoamérica. No sabemos si estas cantidades fluctúan dependiendo de a quien se le envía el mensaje (o de donde viva) o si están puestas al azar con la esperanza de que alguien muerda el anzuelo e ingrese la cantidad requerida.

Lo que sí podemos decir es que, al menos en las muestras analizadas, el éxito ha sido nulo, tal y como puede observarse en las transacciones realizadas a la cartera controlada por los extorsionadores:

Una vez aclarado este punto y calmados los nervios, muchos usuarios seguirán sin entender cómo un perfecto desconocido pudo ponerse en contacto con ellos para extorsionarles y, además, proporcionó datos privados como las credenciales de acceso a algún servicio online utilizado por la víctimas, lo que nos lleva al punto verdaderamente importante de este caso.

¿Qué hacer si descubrimos que nuestras credenciales han sido robadas?

Lamentablemente, actualmente no es nada raro que alguna de nuestras credenciales de acceso a uno de los muchos servicios online al que nos hemos registrado a lo largo de los años se haya visto comprometida y filtrada. Esto es algo con lo que nos toca lidiar hasta que se implemente de forma generalizada un sistema de autenticación mejor que el clásico “nombre de usuario y contraseña”.

Hasta entonces, es probable que casos como el que hoy analizamos se vuelvan a repetir o, incluso peor aún, que alguien tome el control de alguno de nuestros perfiles por no haber mantenido una política de contraseñas seguras. Para evitarlo vamos primero a responder a la pregunta que muchos os estaréis haciendo y que no es otra que: “¿Cómo narices sabían mi contraseña?”.

Para responder a esta pregunta vamos a utilizar alguno de los servicios que informan sobre robos y filtraciones masivas de credenciales acontecidos durante los últimos años. Uno de los más conocidos es Have I been pwned? y desde ahí se puede comprobar si nuestro correo electrónico se ha visto afectado por alguna filtración de datos.

Tanto si hemos sido afectados como si no, es muy recomendable cambiar nuestra contraseña por una que sea segura y, sobre todo, no reutilizarla en otros servicios. Esto nos evitará que, bien usando técnicas de fuerza bruta o revisando entre los millones de credenciales filtradas, alguien pueda acceder a nuestros perfiles sin nuestro consentimiento.

El segundo paso que debemos realizar es comenzar a utilizar el doble factor de autenticación en todos aquellos sitios que lo permitan. No solo representa una barrera adicional muy robusta, sino que además es muy sencilla de utilizar en nuestro día a día, puesto que podremos utilizar nuestro smartphone para generar los códigos temporales que necesitaremos para acceder a nuestras cuentas mediante mensajes de texto o aplicaciones gratuitas como Google Authenticator.

Si no sabes qué servicios permiten la implementación del doble factor de autenticación puedes consultarlo en la siguiente web:

https://twofactorauth.org/

Además, esta medida de seguridad viene de perlas por si nos roban las credenciales, ya que por mucho que las intenten introducir, por ejemplo, en nuestra cuenta de Gmail, no podrán acceder al no disponer de ese código que se genera o recibís en vuestro móvil.

Por último, si como a la mayoría de nosotros te resulta difícil recordar todas y cada una de las contraseñas que utilizas, puedes usar aplicaciones como los gestores de contraseñas. Hay muchos donde elegir y cada usuario puede utilizar aquel que mejor se adecue a sus necesidades. Entre los más conocidos encontramos Lastpass, 1Password, Keepass, DashLane, RoboForm o Keeper, por mencionar solo unos cuantos.

Asimismo, si dispones de una licencia de ESET Smart Security Premium, dispondrás también de una utilidad de gestión de contraseña además de la protección antivirus y otras funcionalidades como el navegador seguro para Banca Online y el cifrado de carpetas y unidades USB, todo desde un único programa.

Conclusión

El caso que hemos analizado hoy trata de aprovecharse de las vulnerabilidades humanas en lugar de utilizar un malware real para conseguir su propósito. Esto nos puede servir para recordar la importancia que tiene actualmente una gestión adecuada de nuestras contraseñas, ya que, de lo contrario, podemos vernos envueltos en serios problemas como los que tuvieron hace unos años varios artistas de Hollywood.

Josep Albors

Alertan de posibles ataques aprovechando miles de dispositivos IoT comprometidos

Mar, 07/24/2018 - 12:51

Con miles de millones de dispositivos del llamado Internet de las cosas (en inglés, Internet of Things, o IoT) conectados actualmente, no es de extrañar que todas las noticias relacionadas con su seguridad o con cómo los delincuentes podrían hacerse con su control tengan una especial importancia. Recientemente, varios expertos en seguridad informática han alertado de la probabilidad de que se vuelvan a repetir ataques como el producido por Mirai hace dos años debido a un aumento en el número de botnets compuestas por estos dispositivos.

Variantes de Mirai aprovechan la inseguridad del IoT

A pesar de que Mirai no fue la primera botnet compuesta por dispositivos del IoT, sí que provocó que el gran público supiera la existencia de este tipo de amenazas. Tras filtrarse el código de esta amenaza no tardaron en surgir toda una serie de variantes que quisieron seguir el camino marcado. Botnets como Masuta, Satori, Omni u OMG son solo algunos de los ejemplos más recientes que, junto a botnets más antiguas como Gafgyt (cuyo código también ha sido reutilizado en botnets más recientes) representan una seria amenaza.

La evolución de las variantes de Mirai y Gafgyt incluye también la presencia de numerosos exploits, que tratan de aprovecharse de otras tantas vulnerabilidades en los dispositivos del IoT que los delincuentes tienen como objetivo. Estos exploits suelen tardar poco en ser incorporados al código de la botnet una vez son publicados los respectivos módulos en frameworks como Metasploit.

Recientemente se han observado dos campañas que afectaban a numerosos fabricantes de routers, cámaras y dispositivos de grabación, entre los que se encuentran modelos de D-Link, Huawei, Dsan GPON, Vacron NVR y otros 70 fabricantes. Las vulnerabilidades que aprovecharon los atacantes eran conocidas y ya habían sido aprovechadas previamente por otras botnets, aunque esta es la primera vez que se observa a una variante de Mirai utilizando todas estas vulnerabilidades a la vez.

Repositorio con malware derivado de Mirai usado por los delincuentes – Fuente: Securityaffairs

Una de estas variantes, además de utilizar los mismos exploits de la anterior, también trataba de realizar ataques de fuerza bruta contra los dispositivos usando diferentes combinaciones de credenciales. Entre las combinaciones utilizadas por los atacantes encontramos algunas orientadas a fabricantes muy específicos, como las siguientes:

  • root/t0talc0ntr0l4! – credenciales por defecto para dispositivos Control4
  • admin/adc123 – credenciales por defecto para dispositivos ADC FlexWave Prism
  • mg3500/merlin – credenciales por defecto para las cámaras IP Camtron

Toda la información acerca de estas campañas puede ampliarse en el análisis realizado por los investigadores de PaloAlto Networks.

18.000 routers Huawei comprometidos en solo unas horas

Por si los casos anteriores no fueran suficientes, en los últimos días también se ha comentado bastante la investigación realizada por especialistas de la empresa NewSky, quienes descubrieron que hasta 18.000 routers Huawei habrían sido comprometidos e incluidos en una nueva botnet en el espacio de un solo día.

Esto se ha conseguido utilizando un único exploit que se aprovecha de la vulnerabilidad CVE-2017-17215. Dicho exploit fue publicado el 25 de diciembre (fum, fum, fum) de 2017, por lo que se demuestra que, a pesar de haber pasado más de medio año desde su publicación, aún quedan muchos dispositivos por parchear. La finalidad del autor de este malware muy probablemente sea la de lanzar ataques de denegación de servicio (DDoS) y extorsionar a las víctimas, pero no se descarta que quiera realizar otras acciones.

La detección de esta nueva campaña fue posible gracias a la detección de numerosos escaneos dirigidos al puerto 37215. Este puerto es el que se utiliza para explotar la vulnerabilidad publicada el pasado diciembre, y permite a un atacante remoto que se haya autenticado la ejecución de código mediante el envío de paquetes especialmente modificados a través de ese puerto.

Incremento en el escaneo del puerto 37215 durante las últimas semanas – Fuente: Hispasec

Además de este ataque, el supuesto responsable de este ataque (quien se hace llamar “Anarchy”) dice estar planeando otro similar pero esta vez orientado a routers de la marca Realtek. En esta ocasión se estaría utilizando un exploit que data de mediados de 2015 y que se aprovecha de la vulnerabilildad CVE-2014-8361 para conseguir ejecutar código remotamente.

Conclusión

Como acabamos de ver, la inseguridad existente en el Internet de las cosas hace que los delincuentes puedan contar con miles de dispositivos a su disposición en poco tiempo para realizar sus acciones delictivas. Lo más grave del asunto es que muchos de los dispositivos afectados contaban con parches de seguridad a su disposición que hubieran evitado que los atacantes los comprometieran.

Hace falta que se actúe de forma efectiva para evitar que este tipo de incidentes no solo se repitan, sino que sean cada vez más graves. Para ello se necesita involucrar a fabricantes que desarrollen dispositivos con una mínima seguridad desde el diseño, regulaciones que obliguen a cumplir estas medidas mínimas de seguridad y usuarios concienciados que sepan cómo actuar cuando se descubra una vulnerabilidad que afecte a uno de sus dispositivos.

Josep Albors

Aplicaciones maliciosas y cómo consiguen seguir colándose en Google Play

Lun, 07/23/2018 - 12:42

Con cada versión de Android que se publica, Google incorpora nuevas medidas de seguridad para intentar evitar que aplicaciones maliciosas se instalen en los dispositivos de los millones de usuarios de su sistema operativo. Algunas de estas medidas han mejorado considerablemente la seguridad de Android, pero, sin embargo, seguimos observando que se cuelan a diario apps con no muy buenas intenciones en la tienda oficial de Google Play.

Las instalaciones desde orígenes desconocidos, cada vez más controladas

Hasta no hace tanto, muchos usuarios acudían a tiendas de aplicaciones no oficiales para buscar aquellas app que no pasaban el corte de Google Play o, sencillamente, querían ahorrarse unos euros y conseguir la versión “liberada” de esa aplicación que le despertaba interés. Esto sigue siendo válido en algunos países como China, donde los usuarios de Android descargan sus aplicaciones desde otros mercados (autorizados o no por Google), pero hoy vamos a centrarnos en lo que podemos encontrarnos en la mayoría de países en los que Android cuenta con una buena parte del mercado.

Sabiendo que las instalaciones desde repositorios fuera de entornos controlados como Google Play suponen un riesgo considerable, las sucesivas versiones de Android han ido complicando poco a poco la instalación de aplicaciones desde fuentes que no sean de confianza. En Android 8 (Oreo) ya no se puede marcar la opción para permitir de forma general la instalación de apps desde repositorios que no sean de confianza, sino que se tiene que autorizar una por una a cada aplicación desde la que se descargue una apk desde un repositorio no oficial.

De esta forma, si queremos usar el navegador Chrome para descargar una apk desde fuera de Google Play, primero tendremos que concederle permiso a Chrome. Esto se puede hacer accediendo a los Ajustes > Aplicaciones y notificaciones > Ajustes avanzados > Acceso especial de aplicaciones > Instalar aplicaciones desconocidas y seleccionando el navegador.

Como acabamos de ver, Google ha escondido esta funcionalidad para intentar desanimar a todos aquellos que instalan aplicaciones desde fuera de su mercado oficial. Esto complica la instalación de apps maliciosas usando métodos tradicionales. Sin embargo, los delincuentes no se han quedado de brazos cruzados y ya hace tiempo que están utilizando técnicas para conseguir que la gente descargue sus creaciones desde dentro mismo de Google Play

Droppers, el camuflaje más usado

La inclusión de Google Play Protect marcó un importante hito en la seguridad de Android, puesto que permitía analizar aplicaciones subidas a su tienda oficial en busca de aquellas que fueran maliciosas. No obstante, este sistema aún presenta puntos débiles y los delincuentes los están explotando para conseguir instalar lo que se conoce como malware en varias fases.

De esta forma, lo que se descarga desde Google Play es una aplicación que pide pocos permisos para levantar pocas sospechas, y una vez ha conseguido instalarse en el sistema procede a descargar los componentes principales del malware. Esta técnica también es usada por aplicaciones legítimas como, por ejemplo, los juegos que se bajan un instalador de pocos megas y, una vez instalado, proceden a descargarse la mayor parte del programa.

Esto representa un problema, puesto que Google Play Protect aún falla bastante al tratar de detectar el malware que puede ocultarse en esta segunda fase de descarga, y muchos usuarios todavía no cuentan con una solución de seguridad que pueda protegerlos de estos códigos maliciosos multifase.

En este punto, la mayoría de las veces seguir manteniendo el dispositivo seguro o infectarlo con malware depende de la decisión que tome el usuario cuando se le muestre una pantalla solicitando permisos adicionales para una aplicación instalada previamente y que no había levantado sospechas. Si además estos permisos se camuflan como necesarios para ejecutar un aplicación aparentemente legítima, no es de extrañar que esta técnica consiga resultados elevados.

App haciéndose pasar por Flash Player intentando conseguir permisos adicionales – Fuente: WeLiveSecurity

Además, los delincuentes detrás de estas creaciones añaden mecanismos adicionales para dificultar su detección como, por ejemplo, esperar cierta cantidad de tiempo antes de proceder a ejecutar la parte maliciosa de su código y evitar detecciones de Google Play Protect.

Esta forma de saltarse las medidas de seguridad implementadas por Google ha hecho que numerosas aplicaciones maliciosas sigan apareciendo de forma constante en el mercado de apps oficial. Muchas de ellas duran pocos días antes de ser retiradas o sustituidas por otras pueden durar semanas o incluso meses sin despertar sospechas, por lo que hemos de estar alerta, revisar los comentarios de los usuarios y analizar con detalle los permisos solicitados antes de proceder a instalar una aplicación, o cuando una aplicación ya instalada nos solicite descargar más componentes y para ello pida que le concedamos nuevos permisos.

Conclusión

Con miles de aplicaciones apareciendo cada día tanto en mercados oficiales como en alternativos, es normal que alguna app maliciosa se cuele e intente infectar a los usuarios. Sin embargo, las mejoras implementadas por Google desde hace tiempo también ha conseguido que la seguridad en su plataforma Android mejore considerablemente, sobre todo si la comparamos a cómo era hace cinco años.

Si complementamos las medidas de seguridad implementadas con cada nueva versión de Android con una solución capaz de detectar aquellas amenazas que aún se le escapan a Google, actualizamos el sistema cuando se nos solicite y mantenemos una política de control sobre las aplicaciones que instalamos, será difícil que nuestro dispositivo Android se vea afectado por una de estas amenazas.

Josep Albors

Phishing suplantando a Apple intenta robar tus datos personales

Vie, 07/20/2018 - 13:20

De entre todos los intentos de engaños, estafas y similares que recibimos por correo electrónico, hay algunos que son bastante recurrentes en el tiempo y evolucionan para tratar de engañar a usuarios despistados. Un ejemplo de ello lo tenemos en el supuesto email de Apple que cada cierto tiempo vuelve a aparecer para intentar robar los datos de aquellos que muerdan el anzuelo.

El email sospechoso y las pistas para reconocerlo

Como suele suceder en este tipo de engaños, todo comienza por un email recibido por los usuarios en el que se muestra algún tipo de alerta. En esta ocasión, nos intentan convencer de que hay algún problema de seguridad en nuestra cuenta de Apple que requiere nuestra atención y, para hacerlo más creíble, nos muestran un supuesto acceso a nuestra cuenta desde un país remoto.

Sin embargo, hay varias cosas en este correo que no cuadran y que podemos detectar fácilmente si estamos atentos. Para empezar, fijémonos en la dirección desde la que se envía el correo. Por mucho que se hagan pasar por Apple, resulta evidente que la dirección mpbijwe@mpbijweaj.my.kitaadalahsangraja23.com” no tiene pinta de pertenecer a la empresa. Sin embargo, puede que muchos usuarios no se fijen en este detalle y pasen directamente a leer el cuerpo del correo electrónico.

Aun en este escenario, hay un par de puntos que nos pueden hacer sospechar. Para empezar, ¿no notáis algo raro en la forma en que están escritas algunas letras?, es como si hubieran sido escritas con un tipo de letra diferente al resto, e incluso podríamos aventurarnos a decir que ha sido escrito utilizando una codificación de caracteres diferente. Además, si antes de darle al botón para acceder a la supuesta web de registro nos fijamos en el enlace al que apunta, observaremos como el enlace que aparece está acortado para ocultar el destino final.

Una web fraudulenta pero bastante bien hecha

En el caso de que un usuario muerda el anzuelo y pulse sobre enlace proporcionado por los delincuentes en el correo, será redirigido a una web que es una copia casi exacta de la original de Apple usada para identificarnos con las credenciales de nuestro Apple ID. A estas alturas, ya no es ninguna novedad encontrarse este tipo de webs utilizando certificados para hacer que la conexión desde el sistema de la víctima a la web sea segura, y conseguir así que la víctima baje la guardia pensando que está en una web legítima.

Sin embargo, tal y como ya hemos mencionado en alguna ocasión, solo certifican que la comunicación entre nuestro dispositivo y la web va a realizarse de forma segura, no que la web sea segura en sí misma. Es decir, pueden estar robándonos los datos de forma que estos viajen cifrados desde nuestro sistema hasta la web controlada por los delincuentes. El resultado para la víctima sigue siendo negativo, pero ese “candadito” consigue que este tipo de webs fraudulentas se ganen la confianza de sus víctimas.

Una vez introducido los datos de acceso a Apple ID se nos mostrará una alerta indicando que nuestra cuenta ha sido bloqueada por motivos de seguridad, y se nos invitará a desbloquearla proporcionando de nuevo todos nuestros datos personales.

En este punto podemos empezar a ver cómo de meticulosos son los delincuentes detrás de esta campaña a la hora de solicitar los datos personales, ya que nos encontraremos con un formulario que nos pedirá toda nuestra información personal, incluyendo nombre, apellidos, fecha de nacimiento, teléfono y dirección postal.

Además, ya que el usuario está ahí, qué menos que pedirle también los datos de la tarjeta de crédito, incluyendo su número, la fecha de caducidad o el código de verificación. ¿Qué podría salir mal?

Lo que ya parece una broma de mal gusto es que se le pida al usuario un selfie con la tarjeta de crédito en la mano y donde se le vea su cara. En este punto, muchos usuarios deberían empezar a pensar (si no lo han hecho ya) que este proceso de verificación no tiene demasiada pinta de ser legítimo.

Y por si lo anterior fuera poco, también nos piden que nos hagamos un selfie con algún documento de identidad que tengamos a mano, ya sea nuestro pasaporte, DNI o carnet de conducir.

Con toda esta información, los delincuentes tienen datos suficientes no solo para hacerse con nuestra cuenta de Apple ID, sino también para vaciar nuestra tarjeta de crédito. Todos los datos personales proporcionados también podrían servir para realizar una suplantación de identidad en otros servicios online o incluso para pedir préstamos a nuestro nombre.

Para terminar, los delincuentes redirigen al usuario a la web auténtica de Apple ID, algo que podemos comprobar al revisar que el certificado emitido está a nombre de la empresa y la dirección URL tiene como dominio Apple.com. Tampoco deberíamos fiarnos de esto al 100% porque hay técnicas incluso para engañar al más avispado, pero de eso hablaremos en otra ocasión.

Con respecto al dominio utilizado por los delincuentes para alojar su web de phishing, este fue registrado hace pocos días, y viendo la fecha de envío del correo que hemos analizado es muy probable que esta campaña siga propagándose durante algunos días más.

Conclusión

Acabamos de ver como los delincuentes puede obtener datos muy importantes de usuarios desprevenidos con una campaña de spam y una web de phisihing que suplanta a Apple que cuestan relativamente poco de hacer. Para evitar caer en este tipo de trampas hemos de fijarnos en aquellos detalles que nos ayudan a distinguir una web o un correo legítimo de uno fraudulento.

Si además contamos con medidas adicionales de seguridad como el doble factor de autenticación para evitar que accedan a nuestras cuentas aun cuando han conseguido las credenciales, o una solución de seguridad capaz de detectar páginas fraudulentas, estaremos más protegidos frente a este tipo de amenazas y nuestros datos quedarán a salvo.

Josep Albors

 

Apps fraudulentas en Android y cómo consiguen engañar a los usuarios

Mié, 07/18/2018 - 13:11

A pesar de los esfuerzos y mejoras que Google sigue implementando en su tienda oficial de aplicaciones Google Play, todavía son muchos los usuarios que descargan aplicaciones fraudulentas que terminan haciéndoles perder el tiempo o incluso ocasionándoles gastos no previstos.

Hace unas semanas repasábamos algunas de las técnicas más utilizadas por estas aplicaciones fraudulentas para lograr que miles de usuarios las descargasen, y hoy, gracias a las investigaciones de nuestro compañero Lukas Stefanko (investigador de ESET especializado en el análisis de amenazas para Android), podemos ampliar esta información con nuevas técnicas detectadas en las últimas semanas.

Canales de chat “calientes”

Una de las estrategias que ha funcionado durante años en todo tipo de estafas y ataques son las que se aprovechan del interés de los usuarios por encontrar pareja o, simplemente, pasar un buen rato con alguien de buen ver. Estafas por correo electrónico donde lindas señoritas rusas o fornidos militares viudos en el extranjero se nos declaraban y prometían venir a visitarnos a cambio de una cantidad de dinero, e incluso bots en aplicaciones de ligue son solo algunos de los ejemplos que hemos visto a lo largo de los últimos años.

Los desarrolladores de aplicaciones fraudulentas intentan que su apps no levanten sospechas entre los usuarios que están a punto de descargarlas. Es por eso que intentan conseguir un elevado número de descargas y valoraciones positivas para que sirvan de referente ante los futuros incautos que vayan a descargar la app.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Si nos fijamos en la información proporcionada por esta aplicación vemos como tiene más de un millón de instalaciones y más de 20.000 valoraciones de usuarios, con una puntuación media de 4 estrellas sobre 5. Esto puede llevar a confusión a la mayoría de usuarios pensando que se trata de una aplicación legítima, y a que la instalen en sus dispositivos para empezar a chatear con supuestas usuarias de la misma aplicación.

Sin embargo, las investigaciones de nuestro compañero Stefanko han demostrado que los 62 perfiles de las señoritas que se incluyen en la aplicación son solo bots programados para responder de forma automática (muchas veces sin mucho sentido). Además, las imágenes de las señoritas son descargadas de Internet usando Google Image Search, y para poder seguir chateando con ellas es necesario ganar “puntos de corazón”, puntos que se obtienen visualizando anuncios.

Configuración de los bots y ejemplo de respuestas automatizadas – Fuente: Lukas Stefanko

Como vemos en las imágenes, no tiene mucho sentido mantener conversaciones insustanciales con bots, menos aun si para hacerlo hemos de perder nuestro tiempo visualizando anuncios. Estas visualizaciones reportan interesantes beneficios a los desarrolladores de este tipo de apps y es una de las formas de monetización preferidas, aunque pueden ser complementadas por tácticas más agresivas como vamos a ver a continuación.

Aplicaciones para niños con gato encerrado

Otro de los casos analizados recientemente por nuestro compañero Stefanko tiene que ver con una aplicación orientada a los más pequeños de la casa. Este tipo de aplicaciones, junto con los vídeos que se pueden visualizar en plataformas como Youtube, son de las aplicaciones más apreciadas por los padres porque permiten mantener entretenido a los niños durante largos periodos de tiempo, algo útil cuando, por ejemplo, se sale a cenar fuera de casa, pero que a la larga puede ocasionar serios problemas.

Si revisamos algunos puntos clave en la página de información sobre la aplicación, veremos que se repiten algunos puntos vistos en el caso anterior. Esta app también tiene más de un millón de descargas y una valoración mayormente positiva de más de 18.000 supuestos usuarios que la han descargado previamente. Esto puede hacer que los padres que quieran instalar esta aplicación se confíen y lo hagan sin revisar los permisos que solicita.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Esta aplicación también obtiene ingresos con la visualización de anuncios por parte del usuario, y no tendríamos nada que objetar al respecto si no fuera porque sus desarrolladores han incluido la posibilidad de pagar para eliminar estos anuncios. Esto tampoco sería peligrosos si no fuera porque, cada cierto tiempo, se muestra una ventana que invita a pagar para eliminar los anuncios y, además, esta ventana se superpone a la propia aplicación.

Mensaje superpuesto a la aplicación solicitando el pago para eliminar anuncios – Fuente: Lukas Stefanko

Si tenemos en cuenta que lo más probable es que esta aplicación la esté utilizando un niño de temprana edad, la posibilidad de que se pulse el botón que autoriza el pago es muy elevada. Por supuesto, el pago solo se hará efectivo si el usuario de ese dispositivo tiene asociada una tarjeta de crédito en su cuenta de Google Play, algo que tampoco es tan infrecuente.

Conclusión

Tal y como acabamos de comprobar, las técnicas que ingenian algunos desarrolladores de aplicaciones son bastante ingeniosas y pueden llegar a tener bastante éxito. Consejos como fijarse en el número de usuarios que han descargado la aplicación o la puntuación otorgada no funcionan en estos casos y eso es algo a tener muy en cuenta, puesto que muchos usuarios solo se fijan en esos puntos y no tanto en los permisos otorgados o si la aplicación incluye pagos dentro de la misma.

Por eso, antes de descargar una app, fijémonos también en los comentarios más recientes de otros usuarios, revisemos a fondo los permisos y, especialmente, si esa aplicación va a ser utilizada por un niño, dediquemos algo de tiempo a verificar que funciona correctamente y que no muestra contenido inadecuado o solicita cargos imprevistos.

Josep Albors

ESET detecta una campaña de espionaje con el gobierno de Ucrania como objetivo

Mar, 07/17/2018 - 15:58

Investigadores de ESET han analizado una serie de herramientas de acceso remoto utilizadas por ciberdelincuentes en una campaña de espionaje que sigue en curso. Su objetivo es espiar a las instituciones del gobierno de Ucrania y robar información confidencial de sus sistemas. Esta investigación aparece poco tiempo después de que el gobierno de ese país informase de que había conseguido detener un ataque contra una planta de destilación de cloro usando el malware VPNFilter.

Toda la información acerca de esta investigación ha sido recopilada en el white paper “Quasar, Sobaken and Vermin: a deeper look into an ongoing espionage campaign” que se acaba de publicar y donde se describe el funcionamiento de varias de las herramientas utilizadas en esta campaña de espionaje, así como los indicadores de compromiso necesarios para su detección.

Cronología y variantes de malware utilizadas

Los atacantes detrás de estas campañas de espionaje son conocidos por los investigadores de ESET desde mediados de 2017 y sus acciones salieron a la luz en enero de 2018. Los análisis realizados demuestran que estos ciberdelincuentes continúan mejorando sus campañas, así como desarrollando nuevas versiones de sus herramientas de espionaje.

Según los datos proporcionados por la telemetría de ESET, el principal objetivo de los atacantes son las instituciones gubernamentales de Ucrania, con unos pocos centenares de víctimas en diferentes organizaciones. Los atacantes han estado utilizando herramientas de acceso remoto (RAT por sus siglas en inglés) bien camufladas para robar documentos confidenciales almacenados en los sistemas de las víctimas.

Imagen 1 – Distribución del malware basado en los sistemas de detección de ESET (Map data ©2018 Google, ORION‑ME)

Se han detectado tres tipos de malware diferentes desarrollados en .NET: Quasar RAT, Sobaken RAT y una RAT hecha a medida llamada Vermin. Todos estos malware han estado en activo contra diferentes objetivos al mismo tiempo, y además comparten partes de su infraestructura y se conectan a los mismos centros de mando y control (C&C).

Quasar es una RAT de código abierto que está disponible para todo el mundo en GitHub. Gracias a las investigaciones realizadas por ESET se pudieron detectar campañas que utilizaban esta herramienta desde octubre de 2015. Sobaken, por otro lado, es una versión altamente modificada de Quasar, con algunas funcionalidades eliminadas para hacer que el fichero ejecutable sea más pequeño, y varias medidas añadidas de evasión y protección contra sandbox para dificultar su análisis.

Vermin, por su parte, es un backdoor hecho a medida que apareció a mediados de 2016 y sigue en uso en el momento de escribir estas líneas. Tal y como sucede con Quasar y Sobaken está escrito usando el lenguaje de programación .NET. Para dificultar su análisis, el código del programa está protegido usando un sistema de protección de código .NET comercial (.NET Reactor) o un protector de código abierto llamado ConfuseEx.

Vermin es un backdoor en toda regla con varios componentes opcionales. En su última versión conocida soporta hasta 24 comandos que vienen implementados en el payload principal, y varios comandos adicionales implementados por componentes adicionales, que incluyen la grabación de audio, el registro de pulsaciones de teclado y el robo de contraseñas.

Vectores de ataque

Las campañas analizadas se han apoyado en ingeniería social básica para conseguir su objetivo, pero también han utilizado varios trucos para engañar mejor a sus víctimas y conseguir que se descarguen y ejecuten el malware, camuflado como adjuntos de correo. Entre los trucos utilizados encontramos el uso de la escritura de derecha a izquierda para ocultar la extensión real de los adjuntos, adjuntos de correo camuflados como archivos RAR auto-extraíbles y una combinación de documentos Word especialmente creados y que contienen un exploit para la vulnerabilidad CVE-2017-0199.

Las tres variantes de malware se instalan de la misma forma: un dropper descarga el código malicioso (Vermin, Quasar o Sobaken) en la carpeta %APPDATA%, y crea una subcarpeta con el nombre de una compañía legítima (normalmente Adobe, Intel o Microsoft). Luego, genera una tarea programada que ejecuta el malware cada 10 minutos para asegurarse su persistencia en el sistema.

Para asegurarse de que el malware se ejecuta en cierto tipo de sistemas y evita los sistemas de análisis automatizados y las sandboxes, los atacantes han implementado varias medidas. El malware deja de ejecutarse si no se encuentra en un sistema con el teclado configurado en ruso o ucraniano, también deja de hacerlo si la dirección IP del sistema objetivo está ubicada fuera de estos dos países o se encuentra registrada a algún fabricante de antivirus o proveedor de servicios en la nube. El malware tampoco se ejecuta en sistemas con nombres de usuario usados frecuentemente en sistemas automatizados de análisis. Para determinar si se está ejecutando en un sistema automatizado de análisis, el malware intenta conectarse a una web con una dirección generada de forma aleatoria y revisa si la conexión falla, tal y como cabría esperar en un sistema real.

Conclusión

Estos atacantes no han recibido una excesiva atención pública comparado con otros que también tienen como objetivo organizaciones de un elevado perfil en Ucrania. Sin embargo, han logrado demostrar que aplicando de forma inteligente una serie de trucos de ingeniería social, los ataques de ciberespionaje pueden resultar exitosos incluso sin utilizar malware sofisticado. Este hecho subraya la necesidad de entrenar al personal en materia de ciberseguridad, además de contar con una solución de seguridad de calidad.

Josep Albors

Miles de dispositivos DVR accesibles de forma remota por no haber sido actualizados desde hace cinco años

Lun, 07/16/2018 - 16:28

El Internet de las cosas sigue siendo uno de los objetivos principales de los ciberataques, y mucho nos tememos que esto no va a cambiar a corto plazo. Entre los millones de dispositivos conectados hay unos cuantos que parecen ser los favoritos de los atacantes, y entre ellos destacan especialmente las cámaras IP y los grabadores de vídeo digital o DVRs. La botnet Mirai solo fue un ejemplo de lo que podía conseguirse con miles de estos dispositivos comprometidos y una finalidad maliciosa. Por desgracia, ese incidente parece que no sirvió para que se tomara la seguridad de estos dispositivos más en serio.

El problema de los dispositivos “olvidados”

Si hay algo del IoT que nos preocupa especialmente a los que nos dedicamos a la ciberseguridad, es lo fácil que resulta vulnerar las medidas de seguridad (en el caso de que existan) de muchos de estos dispositivos. Además de las vulnerabilidades existentes hay un problema añadido, y es que muchos usuarios no se toman ni siquiera la molestia de establecer o cambiar medidas de seguridad tan básicas como las credenciales de acceso a estos dispositivos.

Precisamente en las credenciales de acceso se centra uno de los incidentes de seguridad más recientes que tiene como objetivo al IoT, ya que miles de credenciales de acceso a DVRs de la marca Dahua han sido almacenados en los resultados que proporciona la herramienta ZoomEye. Esta herramienta es un buscador especializado en localizar dispositivos conectados a Internet y, por ende, uno de los buscadores (junto con Shodan) más utilizados para encontrar dispositivos IoT conectados de forma insegura.

Tweet del investigador indicando el número de dispositivos vulnerables encontrados haciendo una busqueda simple – Fuente: Twitter

El descubrimiento de estos miles de DVR inseguros de Dahua ha sido realizado por el investigador Ankit Anubhav, empleado de la empresa especializada en seguridad del IoT NewSky Security. Al parecer, todos los dispositivos encontrados tendrían una vulnerabilidad existente desde hace nada menos que cinco años y que permite saltarse el proceso de autenticación y obtener las credenciales de los usuarios, cambiar las contraseñas y otras acciones a través del puerto 37777, tal y como explicó de forma detallada el investigador Jake Reynolds, que descubrió esta vulnerabilidad en 2013.

Localizando dispositivos vulnerables

Muchos usuarios pueden sorprenderse por el hecho de que sigan habiendo miles de dispositivos vulnerables a un fallo de seguridad que fue solucionado hace cinco años. Sin embargo, esa es una tendencia común en el IoT, y no es raro observarla en la mayoría de los dispositivos conectados. Es más, en muchas ocasiones estas vulnerabilidades no se corrigen, dejando a millones de usuarios con dispositivos conectados vulnerables y con la única alternativa de comprar otro que no lo sea.

En el caso que nos ocupa, a pesar de existir parches que solucionan esta vulnerabilidad desde hace años, no es difícil obtener información e incluso acceso a muchos de estos dispositivos a través de herramientas como ZoomEye. Si hacemos una búsqueda por el puerto 37777 y usando una contraseña tan conocida como insegura como es “123456” veremos que existen casi 14.000 conectados, siendo España el segundo país por número de dispositivos vulnerables (solo por detrás de Tailandia).

Busqueda de dispositivos con el puerto 37777 habilitado y contraseña de acceso “123456” – Fuente: ZoomEye

Lo mismo ocurre si se busca utilizando la contraseña “admin”, con casi 16.000 dispositivos vulnerables y España de nuevo en segundo lugar. La utilización de herramientas como ZoomEye facilita conocer la magnitud del problema y detectar dónde se encuentran los dispositivos vulnerables, pero a su vez puede ser utilizada por atacantes para no solo averiguar en qué IP se encuentran los dispositivos vulnerables con credenciales fáciles de adivinar, sino también obtener las credenciales que sean más complejas a partir  de la información proporcionada y almacenada en texto plano por este buscador.

Contraseña almacenada por ZoomEye mostrada en texto plano al consultar los detalles de los dispositivos vulnerables – Fuente: ZoomEye

Esto presenta un serio problema de seguridad a todos aquellos usuarios que disponen de uno de estos DVR vulnerables, puesto que resulta muy fácil automatizar el proceso de detección de dispositivos con firmware vulnerable y obtener las contraseñas, por muy complejas que estas sean. A partir de ese punto el atacante puede dedicarse a aprovechar estos dispositivos para montar su propia botnet o a espiar a los usuarios de estos sistemas de vigilancia, tal y como demostró Jake Reynolds en 2013.

Acceso remoto a sistemas de grabación mediante la vulnerabilidad de 2013 – Fuente: Jake Reynolds

Conclusión

Como acabamos de ver, no solo debemos tener configurados nuestro dispositivos conectados a Internet con unas credenciales de acceso que sean difíciles de averiguar. También hemos de tener muy en cuenta el aplicar los parches de seguridad cuando estos se encuentren disponibles, para evitar que los atacantes se aprovechen de las vulnerabilidades existentes.

Por desgracia, aspectos como el de la seguridad y el soporte del fabricante son algo que la mayoría de usuarios no contempla a la hora de adquirir un dispositivo del Internet de las cosas. Luego, cuando se producen sucesos como el que acabamos de comentar, todo el mundo se echa las manos a la cabeza preguntándose cómo pudo haber sucedido. La solución pasa por endurecer las leyes para que este tipo de dispositivos cuenten con una seguridad mínima desde su diseño y se obligue a proporcionar un tiempo mínimo de soporte, pero eso es algo que, como consumidores, debemos exigir con mayor firmeza.

Josep Albors

El gobierno de Ucrania afirma haber detenido un ataque que utilizaba el malware VPNFilter

Vie, 07/13/2018 - 12:59

A finales de mayo analizamos una amenaza conocida como VPNFilter y que se creía responsable de la infección de más de 500.000 routers en, al menos, 54 países, con especial énfasis en Ucrania. En ese momento no estaba clara la funcionalidad de esta botnet, aunque las investigaciones realizadas demostraron que el malware era capaz de muchas cosas, como realizar ciberataques a objetivos específicos.

Según ha indicado recientemente el Servicio de Seguridad de Ucrania, parece que ya se habría producido un ataque usando esta amenaza.

Una planta de destilación de cloro como objetivo

En la nota de prensa publicada se indica cómo se consiguió evitar que unos atacantes consiguieran comprometer la seguridad de la planta de destilación de cloro. Esta planta está considerada como infraestructura crítica por las autoridades del país, y de haber tenido éxito el ataque, este hubiera podido ocasionar problemas en los procesos habituales de la planta o incluso provocar un incidente mayor.

Los especialistas de seguridad del gobierno ucraniano aseguran que, durante unos minutos, el sistema de control de procesos tecnológicos y el sistema de detección de señales de situaciones de emergencia en empresas fueron afectados por el malware VPN Filter. Según las investigaciones realizadas, la finalidad de este ataque era bloquear el funcionamiento de esta estación encargada de proporcionar cloro para potabilizar el agua que se distribuye en parte del territorio ucraniano.

De haber tenido éxito este ataque, se podría haber modificado la concentración de cloro en el agua distribuida, afectando tanto al consumo doméstico como al sector industrial. No obstante, tan solo se ha mencionado una estación de destilación de cloro como objetivo, por lo que en el caso de que los atacantes hubiesen logrado su objetivo, el alcance del ataque habría sido limitado.

Atribución del ataque

Como siempre que pasa una situación similar en Ucrania, la mayoría de dedos apuntan inmediatamente hacia Rusia. La tensa situación que existe entre los dos países desde hace años provoca que el gobierno ucraniano no dude ni un instante en culpar a sus vecinos rusos ante cualquier indicio de ciberataque.

Los indicios apuntan a que el ataque se produjo desde Rusia, e incluso especialistas del Servicio Secreto de Ucrania afirman tener pruebas en las que las agencias de inteligencias rusas manifiestan su interés de realizar ciberataques a entidades del sector público y privado de Ucrania utilizando el malware VPNFilter.

Sin embargo, este tipo de atribuciones se han de tomar siempre con pinzas, ya que no sería especialmente difícil que atacantes sin relación alguna con el gobierno ruso hicieran pasar este incidente como algo provocado por las tensiones existentes entre ambos países.

Conclusión

Mientras esperamos conocer más detalles acerca de este ciberataque, es importante que tomemos con cautela toda la información que nos llega desde Ucrania y otras fuentes. Actualmente, algunos países están pensando en considerar como una agresión que podría justificar una respuesta (convencional o ciber) este tipo de incidentes. Esto nos pone a todos en un punto peligroso, puesto que un tercero podría provocar una escalada de tensión entre dos o más países con tan solo camuflar sus ciberataques para hacer creer a todos que se ha originado en otra parte.

Josep Albors

Robos de criptomonedas. Carteras y servicios de exchange en el objetivo de los atacantes

Mié, 07/11/2018 - 12:51

A la hora de buscar información sobre criptomonedas son muchos los usuarios noveles que se fijan primero en la cotización de aquellas divisas más valoradas, seguidos de los que preguntan cómo minar de forma rentable aquellas que lo permiten. Sin embargo, los que llevan algo más de tiempo en este mundillo sabrán que las noticias acerca de robos y ataques relacionados con las criptodivisas con algo bastante común y no todos los usuarios prestan toda la atención que se merece a la seguridad.

Robo de credenciales usando Hola VPN

El uso de aplicaciones legítimas de terceros para infectar a los usuarios es una técnica que ha funcionado demasiado bien en los últimos tiempos. Como ejemplo, tenemos los casos de NotPetya y CCleaner acontecidos en 2017, donde se utilizó software legítimo modificado por los atacantes para propagar sus amenazas.

En esta ocasión, los atacantes consiguieron comprometer la cuenta de desarrollador de la aplicación Hola VPN para reemplazar la extensión oficial en Google Chrome. La extensión maliciosa estaba programada para detectar usuarios de la web MyEtherWallet.com para redirigirlos a una web fraudulenta preparada por los atacantes y poder robarles sus credenciales de acceso.

El incidente se produjo el pasado 9 de julio, y a pesar de estar la extensión de Chrome comprometida únicamente durante cinco horas es bastante probable que algunos usuarios de la web MyEtherWallet se hayan visto afectados. Para evitar que más usuarios se vieran afectados, la empresa decidió lanzar varias alertas a través de su cuenta oficial de Twitter:

Según informó el equipo de Hola VPN tras solucionar esta incidencia, el ataque estaba programado para inyectar una etiqueta JvaScript en la web MyEtherWallet.com para clonar la información de aquellos usuarios de este servicio que estuvieran accediendo con sus credenciales sin estar en el conocido como “Modo incógnito” de Chrome, mediante la redirección a la web fraudulenta sin que los afectados se dieran cuenta.

Robo de 13,5 millones de dólares del servicio de exchange Bancor

También relacionado con el robo de criptomonedas, el mismo día 9 de julio se produjo un ataque al exchange (servicios utilizados por los usuarios para comerciar sus criptomonedas con otras o con dinero real) Bancor. La compañía israelí informó que los atacantes habían conseguido robar 13,5 millones de dólares en criptomonedas.

Al parecer, los atacantes consiguieron acceder a una de las carteras gestionadas por la empresa, lo que les permitió actualizar los smart contracts utilizados para convertir los fondos de los usuarios. Estos smart contracts son el mecanismo utilizado por esta plataforma de exchange, algo que los diferencia de las plataformas más clásicas y que les permite mover los fondos de forma más rápida.

El robo se produjo en varias criptodivisas, incluyendo 24.984 Ether, 229.365.645 Pundi X y 3.200.000 Bancor Tokens. Estos tokens formaron parte de la oferta de monedas inicial usada para financiar la creación de la empresa y tienen un valor adicional de alrededor de 10 millones de dólares. Por suerte, la empresa tiene una sistema de seguridad que les permite congelar esos tokens y evitar que sean cambiados por otras divisas.

Los usuarios de este servicio de exchange deberían estar tranquilos, según informó la empresa, ya que solo se vieron afectados las reservas de Bancor. Hasta el momento no se ha informado acerca de cómo se produjo el acceso ilícito a la cartera de la empresa, aunque se ha prometido que se informará debidamente a través de sus canales oficiales, tanto a través de la web como de su cuenta de Twitter.

Conclusión

Como acabamos de ver, las criptodivisas siguen siendo uno de los objetivos principales de los delincuentes. Ya sea atacando a los usuarios como a los servicios de exchange, estos ataques permiten obtener a los delincuentes grandes cantidades de dinero en poco tiempo y relativamente poco esfuerzo.

Si somos poseedores de alguna criptodivisa, debemos extremar las precauciones a la hora de operar con ellas y mantener un alto nivel de seguridad en el sistema en el que vayamos realizar estas operaciones. En caso contrario, cualquier descuido puede provocarnos grandes pérdidas de las que podríamos no recuperarnos.

Josep Albors

Delincuentes usan certificados digitales robados de empresas taiwanesas para firmar malware

Mar, 07/10/2018 - 16:46

Una investigación reciente realizada por ESET ha permitido descubrir el uso de certificados digitales legítimos previamente robados por un grupo criminal para propagar malware en, al menos, un par de campañas. Los certificados utilizados por los delincuentes para firmar digitalmente sus amenazas pertenecen a la empresa taiwanesa D-Link, conocida especialmente por sus dispositivos de red como routers (así como los módems que permiten que los routers se conecten a Internet), cámaras IP y otros.

Revisando las amenazas

El uso de certificados digitales legítimos por parte del malware es algo poco común y bastante efectivo, ya que permite evadir algunos sistemas de detección. En este caso, la confirmación de que se trataba de un certificado legítimo y no uno falso haciéndose pasar por D-Link fue precisamente el haber observado ese mismo certificado siendo utilizado por software legítimo. Tras ser avisados por los investigadores de ESET, D-Link lanzó su propia investigación y revocó el certificado robado el pasado 3 de julio.

Certificado perteneciente a D-Link utilizado para firmar el malware – Fuente: WeLiveSecurity

Tras analizar el caso, el investigador de ESET Anton Cherepanov identificó dos familias de malware diferentes que utilizaron el certificado robado durante algún tiempo. Una de estas familias de malware es Plead, un backdoor controlado remotamente, mientras que la otra funciona como un ladrón de contraseñas.

El malware Plead ha tenido cierta relevancia recientemente, ya que el Centro de Coordinación de los Equipos de Respuesta ante amenazas de Japón (JPCERTCC) publicó a principios del mes pasado un análisis de esta amenaza, relacionándola con el grupo de ciberespionaje BlackTech, según una investigación realizada por la empresa de seguridad Trend Micro.

Esta investigación previa demuestra que este malware ya se había usado anteriormente en ataques dirigidos a países del sudeste asiático, principalmente Taiwán. Por su parte, la amenaza especializada en el robo de contraseñas no tiene nada de especial y solo roba credenciales de Internet Explorer, Google Chrome, Mozilla Firefox y Microsoft Outlook.

La peligrosidad de usar certificados legítimos para propagar malware

Además del certificado robado de la empresa D-Link, la investigación realizada por ESET logró identificar muestras firmadas por un certificado perteneciente a una empresa de seguridad Taiwanesa, de nombre Changing Information Technology Inc. Este certificado fue revocado el pasado 4 de julio, pero los delincuentes siguen utilizándolo para firmar sus amenazas.

Certificado de The Changing Information Technology Inc. utilizado para firmar el malware – Fuente: WeLiveSecurity

Esta habilidad para vulnerar la seguridad de empresas tecnológicas taiwanesas y de reutilizar sus certificados firmados en ataques futuros demuestra que este grupo criminal dispone de cierto nivel de habilidad, y que se centran en la región mencionada anteriormente. Por ejemplo, para dificultar el análisis de las amenazas, estas se encuentran altamente ofuscadas con código basura. Sin embargo, el funcionamiento de las muestras analizadas es bastante similar, descargando desde un servidor remoto o abriendo desde el disco local un pequeño fichero cifrado que, a su vez, contiene el shellcode cifrado que permite la descarga del módulo backdoor final.

Tal y como acabamos de ver, el uso de certificados digitales legítimos proporciona a los delincuentes una capacidad de ocultación a sus amenazas muy considerable, ya que a ojos de la mayoría, el malware que los utilice podrá pasar como una aplicación legítima (al menos en un primer análisis). De esta forma se pueden evitar algunas medidas de seguridad sin levantar sospechas, aunque cuando intente ejecutarse el escenario puede cambiar notablemente.

Conclusión

La utilización de certificados legítimos en muestras de malware suele estar asociado a ataques dirigidos avanzados, aunque cada vez más es una técnica que incluso los delincuentes comunes han llegado a usar en sus creaciones. Esta situación pude convertirse en un serio problema si se llega a popularizar, porque podría provocar que muchas amenazas no fuesen detectadas en primera instancia hasta que tratasen de ser ejecutadas, algo que en demasiadas ocasiones puede ser demasiado tarde.

Josep Albors

The Big Bang Theory, aplicaciones de citas, el mundial de fútbol y su relación con ataques dirigidos en Oriente Próximo

Lun, 07/09/2018 - 12:05

Con una serie de conflictos enquistados desde hace décadas, la situación en Oriente Próximo no es que sea precisamente tranquila. Eso se traslada también al escenario cibernético, donde, a pesar de la supremacía de Israel también en este terreno, parece que sus contrincantes también desarrollan amenazas capaces de robar información o causar problemas más serios, como vamos a ver hoy.

Amenazas dirigidas a la Autoridad Palestina

Investigaciones recientes realizadas por la empresa de seguridad Chek Point han demostrado que amenazas que anteriormente fueron dirigidas a las fuerzas de seguridad palestinas ahora apuntan a dirigentes del gobierno de Palestina. Estos ataques habrían comenzado el pasado mes de marzo, y la información obtenida hasta el momento apunta a que están realizados por el mismo grupo involucrado en incidentes anteriores en esa zona y que es conocido como Gaza Cybergang.

En los ataques dirigidos anteriormente detectados resultaba curioso el uso de cadenas dentro del código malicioso haciendo referencia a varias series de televisión conocidas, como Game of Thrones o The Big Bang Theory. En esta ocasión han vuelto a utilizar algunas de estas referencias, añadiendo además una serie de televisión turca de nombre Resurrection: Ertugrul.

En lo que respecta al funcionamiento del malware, este es básicamente un backdoor que permite acceder remotamente al sistema infectado y tiene la capacidad de añadir nuevos módulos en fases posteriores. Entre las capacidades de este nuevo backdoor se encuentra la de recopilar información del sistema infectado para luego identificar documentos ofimáticos y enviarlos al servidor controlado por el atacante.

Correos usados como vector de ataque – Fuente: Chek Point

En el caso de que los atacantes logren infectar un objetivo que sea considerado como valioso, se procede a descargar módulos adicionales en el sistema que amplíen las capacidades operativas de este malware. Las investigaciones indican que existirían hasta 13 módulos diferentes preparados por los atacantes, de los cuales hay algunos cuya función no ha sido descubierta todavía.

Nombre del módulo Funcionalidad Penny Realiza una captura de pantalla de la máquina infectada y la envía al servidor. Wolowitz_Helberg Lista los procesos en ejecución, guarda sus nombres y sus IDs en el fichero “sat.txt” y envía el archivo al servidor. Celal_Al Envía un listado de documentos con ciertas extensiones: doc, docx, odt, xls, xlsx, ppt, pptx, accdb, accde, mdb, pdf, csv Runfile Ejecuta un archivo, recibe un nombre de proceso y un tipo de fichero desde el servidor. Nayyar_Sonmez Descarga un archivo con una extensión .txt desde una URL predefinida, cambia la extensión a .exe y lo ejecuta. Koothrappali Registra los detalles del sistema y los envía al servidor. Bialik_Gokhan Reinicia el sistema. Hofstadter Elimina un proceso por su nombre. Parsons_Sheldon Elimina el payload de la carpeta de inicio y borra el fichero actual. Reshad_Strik Envía un listado de las particiones encontradas en la máquina infectada. Pinar8 Módulo no disponible en la muestra analizada Mehmet7 Módulo no disponible en la muestra analizada Bahar6 Módulo no disponible en la muestra analizada

Todos los indicios apuntan a que el objetivo de esta amenaza son los miembros de la Autoridad Nacional Palestina, ya que el vector de ataque está compuesto por correos electrónicos dirigidos que se hacen pasar por informes mensuales de prensa que son realizados por la Comisión de la Dirección Nacional y Política de Palestina.

Soldados de Israel como objetivos del malware

Recientemente también hemos conocido la existencia de una campaña de propagación de amenazas para dispositivos Android que tiene como objetivos a soldados del ejército israelí. Al parecer, los atacantes estarían camuflando el malware en aplicaciones que se harían pasar por apps de citas y relacionadas con el mundial de fútbol, distribuidas a través de la tienda oficial de Google Play.

Las aplicaciones identificadas responden a los siguientes nombres:

WinkChat – com.winkchat.apk

GlanceLove – com.coder.glancelove.apk

Golden Cup – anew.football.cup.world.com.worldcup.apk

Al parecer, esta campaña habría empezado en enero con la creación de perfiles falsos en Facebook con fotografías de mujeres atractivas. Tras un primer contacto, los atacantes detrás de estos perfiles intentaban convencer a los soldados para que instalasen una de estas aplicaciones maliciosas camuflada como app de contactos.

App de citas maliciosa usada para engañar a soldados del ejercito de Israel – Fuente: IDF

Este caso tuvo bastante repercusión en los medios de comunicación de la zona y es probable que, tras la alerta generada, los atacantes cambiaran de estrategia usando el mundial de fútbol como incentivo para descargar las aplicaciones maliciosas. Entre las posibilidades de estas amenazas encontramos las de grabar las conversaciones del usuario, hacer una fotografía cuando se recibe una llamada, robar los contactos, mensajes SMS, imágenes y vídeos almacenados en el dispositivos (así como sus metadatos), obtener la ubicación GPS del usuario y grabar el sonido de los alrededores.

A pesar de las continuas alertas que se envían a las fuerzas armadas de Israel, se cree que cientos de soldados podrían haber mordido el anzuelo. Respecto a los responsables, todo apunta a que las amenazas han sido desarrolladas por miembros de Hamas, que podrían estar vinculados al grupo Gaza Cybergang mencionado anteriormente.

Conclusión

El uso de este tipo de amenazas no es algo nuevo en una región que vive en tensión constante. Es incluso probable que algunos grupos terroristas prefieran este tipo de ataques a otros más convencionales viendo que, en este terreno, se estrecha la diferencia entre los contendientes  y se pueden obtener resultados satisfactorios sin apenas exponerse. Es trabajo de las fuerzas de seguridad y de los servicios de inteligencia descubrir a tiempo estas campañas y ataques dirigidos contra sus intereses estratégicos para evitar males mayores en un futuro, ya que la información obtenida podría ser usada para realizar ataques con un impacto mayor que el que hubieran tenido de no disponer de la información robada.

Josep Albors

Adware infectó a los jugadores de Fortnite que descargaron hacks fraudulentos

Jue, 07/05/2018 - 12:41

En las últimas semanas hemos visto que las amenazas que tienen como objetivo al juego de moda, Fortnite Battle Royale, se multiplicaban. A finales de mayo ya avisábamos de que los usuarios que jugaban al Fortnite estaban en el punto de mira de los delincuentes y detallamos algunas de las técnicas utilizadas para infectarlos. Estas técnicas se han ido perfeccionando con el paso de las semanas y hemos visto cómo los delincuentes se han aprovechado incluso de la esperada versión para dispositivos Android para engañar a los usuarios.

Nuevo ataque detectado

El incidente de seguridad más reciente del que hemos tenido constancia fue descubierto por la empresa Rainway, dedicada a proporcionar software de streaming para que  los usuarios puedan ejecutar sus videojuegos favoritos desde un ordenador potente a otros dispositivos como portátiles de prestaciones limitadas o tablets y smartphones.

Responsables de esta empresa empezaron a recibir el pasado 26 de junio cientos de miles de informes de error en su plataforma, errores que estaban relacionados en los intentos de llamada relacionadas con plataformas de anuncios. La aplicación Rainway no permite anuncios, por lo que este comportamiento hizo sonar todas las alarmas, detectando en el proceso una campaña de infección que afectaba a decenas de miles de usuarios.

Conexiones a plataformas de anuncios realizadas por usuarios de Rainway – Fuente: Rainway

Pensando que su plataforma se había visto comprometida, los responsables de Rainway empezaron a investigar cómo funcionaba este adware y qué usuarios estaban infectados. Tras varias horas descubrieron un punto en común que tenían los usuarios infectados: todos ellos jugaban a Fortnite.

Buscando el origen

Viendo el éxito que está teniendo el juego no era algo extraño que muchos de los afectados lo tuvieran instalado, pero sí que resultaba muy llamativo que todos los afectados jugaran al mismo juego. Así las cosas, se optó por buscar el posible origen de la infección, encontrando en el proceso varías guías en canales de Youtube que ofrecían supuestos hacks para el juego  que permitirían a los jugadores hacer trampas y así obtener ventajas respecto a sus rivales.

Obviamente, esto solo era el cebo utilizado para conseguir que miles de usuarios mordieran el anzuelo y descargaran aplicaciones maliciosas. La investigación siguió su curso descargando y revisando cientos de estas aplicaciones fraudulentas hasta encontrar una que coincidiese con los mensajes de error que estaban recibiendo en su plataforma de streaming al intentar conectarse a los servicios de publicidad.

Videos en Youtube promocionando herramientas fraudulentas – Fuente: Rainway

La aplicación responsable de esta infección había sido descargada alrededor de 78.000 veces, y prometía a los jugadores ventajas tales como activar el autoapuntado a sus rivales o la obtención de pavos (la moneda usada en el juego) sin usar dinero real para adquirirlos. Tras ejecutarla en una máquina virtual, los investigadores se dieron cuenta de que esta aplicación instalaba un certificado raíz en el sistema infectado y cambiaba la configuración de Windows para que todo el tráfico pasase a través de él. De esta forma se conseguía realizar un ataque Man in the middle para monitorizar todas las conexiones que el usuario realizase en sus sistema.

Con este sencillo truco, el adware conseguía que todos los sistemas de los usuarios infectados añadiesen peticiones para que se mostrasen anuncios desde plataformas como Adtelligent y SpringServe cada vez que se intentaba abrir una nueva página web. Tras ponerse en contacto con estas plataformas de publicidad, la primera de ellas no ha dado señales de vida, pero la segunda ha identificado a los creadores de esta campaña de adware y ya los ha retirado de su plataforma

Por su parte, Rainway ha avisado a todos los usuarios de su plataforma afectados, y ha mejorado la seguridad de su software para ayudar a mitigar posibles ataques similares. El número de informes detectado durante este incidente ascendió a 381.000, cifra nada despreciable y que habrá reportado unos beneficios interesantes a los delincuentes detrás de esta campaña de propagación de adware.

Conclusión

Huelga decir que la descarga de aplicaciones no oficiales para obtener ventajas en juegos como Fortnite no es nada recomendable. Lo más probable es que terminemos infectando nuestro sistema, como ya hemos comprobado en varias ocasiones. Esta tarea de concienciación se ha de hacer también desde las empresas que, como Epic Games, tienen a millones de usuarios disfrutando de sus juegos, alertándoles de las posibles amenazas o estafas a las que están expuestos y, sobre todo, cómo evitarlas.

Josep Albors

ESET y Microsoft colaboran en el análisis de un malware en desarrollo que aprovechaba un doble 0-day

Mié, 07/04/2018 - 12:38

A finales de marzo, nuestro compañero Anton Cherepanov, investigador senior en el laboratorio de ESET, descubrió una muestra interesante de lo que parecía ser un malware en desarrollo que se aprovechaba de dos vulnerabilidades 0-day (sin disponer de parche de seguridad en ese momento) dirigidas hacia productos de Adobe y Microsoft. Tras informar a las dos empresas afectadas y trabajar de forma conjunta en el análisis de esta amenaza, se ha conseguido evitar lo que podría haber sido una peligrosa campaña de propagación de malware.

La importancia de la colaboración

Tanto en el artículo original publicado por Cherepanov a mediados de mayo como en el recientemente publicado por Matt Oh, investigador de Windows Defender, se hace hincapié en la peligrosidad que hubiera tenido una amenaza que aprovechase estas vulnerabilidades. Por una parte, el atacante hubiera podido utilizar un archivo PDF malicioso como vector de ataque saltándose la sandbox que incorpora el lector Adobe Reader, mientras que por otro lado hubiese podido conseguir una escalada de privilegios en un sistema Windows vulnerable para ejecutar malware con permisos de administrador.

Esquema de funcionamiento del exploit – Fuente: Microsoft

Cuando se descubren vulnerabilidades de este tipo es vital contactar con los desarrolladores de los sistemas o aplicaciones afectados para que se solucionen lo antes posible. Es en este punto donde una buena comunicación entre empresas resulta vital para actuar lo antes posible y es algo que destaca el investigador de Microsoft.

Para permitir esta colaboración entre empresas se establecen canales de comunicación entre departamentos de investigación, entre los que existe confianza mutua y unos acuerdos de colaboración de varios años. Además de la inteligencia sobre amenazas propia de cada compañía de seguridad, es posible contar con sistemas públicos para obtener muestras frescas de contrastada experiencia como Virustotal.

En ocasiones puede darse también el caso de que se esté analizando una amenaza muy específica, y que su compartición con otras empresas suponga un riesgo que permita que los delincuentes se den cuenta de que sus creaciones están siendo analizadas. No suele ser muy habitual pero, de la misma forma, también puede pasar que varias empresas de seguridad unan sus esfuerzos para analizar una compleja amenaza e incluso terminen descubriendo amenazas avanzadas usadas en ataques dirigidos como Industroyer.

Ayudando a detener el cibercrimen

Aunque buena parte de la sociedad continúa pensando que los delincuentes siguen gozando de cierta impunidad cuando hablamos de delitos informáticos, la realidad es que las operaciones contra este tipo de delitos se ha ido intensificando con el paso de los años. Hasta aquellos que llevaban operando con sus amenazas desde hace tiempo y se sentían intocables han caído en operaciones conjuntas exitosas, incluso dentro de nuestras fronteras.

No obstante, es cierto que todavía hace falta destinar muchos recursos para que las Fuerzas Y Cuerpos de Seguridad del Estado puedan hacer frente con garantías a la elevada cantidad de cibercriminales existentes actualmente, y que no deja de crecer. De la misma forma, las legislaciones se han de adaptar para castigar en su justa medida este tipo de delitos, pero sin criminalizar otras acciones y herramientas que permiten precisamente descubrir nuevos fallos para solucionarlos antes de que sean aprovechados por los delincuentes.

Operaciones conjuntas entre empresas de seguridad, fabricantes de software y fuerzas de seguridad son algo que suelen llevar mucho tiempo pero que, gracias a la mayor cantidad de información sobre amenazas que se va generando, permiten identificar a los responsables de los delitos para a continuación tratar de llevarlos ante la justicia. Tenemos como ejemplo bastante reciente el desmantelamiento de la botnet Gamarue, una de las más antiguas y que fue posible gracias a la colaboración de empresas como ESET, Microsoft y fuerzas policiales como Europol, Interpol y el FBI.

Conclusión

El futuro inmediato apuesta por seguir esta línea de colaboración, ya que es técnicamente imposible que una única empresa de seguridad sea capaz de lidiar con todas las amenazas que se generan actualmente. La mayoría de empresas de seguridad comparte esta visión, y aunque en los últimos años hayamos visto aparecer algunas soluciones que prometen una protección total, los resultados han demostrado que no existen las balas de plata, por mucho que algunos departamentos de marketing se empeñen en vender como nuevas algunas tecnologías que vienen utilizándose en la industria de la seguridad desde hace décadas.

Josep Albors

Facebook Messenger usado de nuevo como vector de ataque para el robo de credenciales

Lun, 07/02/2018 - 18:07

La propagación de malware utilizando mensajería instantánea es algo que ha ido adaptándose a lo largo de los años. Si hace una década, el conocido y extinto servicio Microsoft Messenger era el más utilizado por los usuarios y, por ende, también por los delincuentes, actualmente se utilizan otros servicios como WhatsApp, Telegram o, como vamos a ver a continuación Facebook Messenger.

Una técnica conocida

A pesar de haber cambiado de plataforma, la manera de intentar infectar a los usuarios por parte de algunos delincuentes no ha cambiado mucho en diez años. Por eso mismo no nos sorprendimos al ver como el pasado viernes empezaban a propagarse mensajes por Facebook Messenger adjuntando un supuesto vídeo alojado en Youtube.

Además de la imagen de Youtube y un enlace no había nada más que nos aportase información acerca del contenido de ese supuesto mucho. No obstante, el hecho de que el remitente de este misterioso mensaje provenga de uno de nuestros contactos (previamente infectado) hace que muchos usuarios bajen la guardia y pulsen sobre el enlace proporcionado.

Este vector de ataque lo analizamos hace unos meses cuando el malware Submelius lo empezó a utilizar para dirigir a los usuarios a la descarga de extensiones fraudulentas de Google Chrome con la intención de robar credenciales de Facebook.

Este nuevo ataque también persigue robar las credenciales de Facebook de sus víctimas y, de paso, aprovecharlas para seguir propagándose por los contactos de los usuarios afectados. Sin embargo, en esta ocasión los perpetradores de esta campaña no se han calentado la cabeza y han optado por ir a lo sencillo, simplemente falsificando una web de Facebook con la esperanza de que los usuarios introduzcan sus credenciales.

Sin embargo, en esta ocasión los delincuentes han querido aprovechar esta campaña para incluir las molestas encuestas que persiguen obtener datos de los usuarios a cambio de supuestas tarjetas regalos o suculentos premios como un iPhone X. Hay que destacar que existen empresas legales que ofrecen sus servicios para realizar este tipo de encuestas de forma legítima. Sin embargo, los delincuentes abusan estos servicios en su propio beneficio para recopilar información que luego utilizan en otras campañas dirigidas.

Detectando la amenaza

Ante este tipo de amenazas, la primera línea de defensa ha de ser nuestro sentido común. Si recibimos un supuesto vídeo de uno de nuestros contactos lo normal es preguntarle que contiene y si lo ha enviado de forma voluntaria. Además, el enlace que aparece debajo del supuesto vídeo no tiene nada que ver con Youtube por lo que también sirve como señal de aviso a poco que estemos atentos.

En el caso de que pulsemos sobre el enlace malicioso y contemos con una solución de seguridad como las de ESET, es posible detectar esta amenaza como un Troyano JS/FBook.NCL.

Por último, no nos cansaremos de recordar la importancia de utilizar el doble factor de autenticación en todos aquellos sitios que lo permitan. Esto evitará que, aun robándonos las credenciales, los delincuentes puedan acceder a servicios online como Facebook sin disponer del código de un solo uso que generamos a través de un SMS o utilidad de generación de códigos.

Conclusión

Como acabamos de ver, la reutilización de técnicas antiguas no es algo extraño y, cada cierto tiempo vemos como se repiten ciertos vectores de ataque que consiguen bastante éxito. Es fundamental que aprendamos a reconocer amenazas que ya tienen muchos años a sus espaldas y que han sido utilizadas múltiples veces.

Este tipo de amenazas son fácilmente evitables si ponemos un poco de nuestra parte y aplicamos unas medidas básicas de seguridad como las que hemos comentado, conseguiremos que los delincuentes no lo tengan tan fácil.

Josep Albors

Páginas