Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 1 hora 58 mins

Invisimole: un complejo spyware que ha permanecido oculto desde 2013

Jue, 06/14/2018 - 13:33

En el mundo del software espía que una amenaza pase desapercibida durante cinco años es todo un logro, además de algo que permite a los atacantes sustraer información confidencial de sus víctimas durante un largo periodo de tiempo. Obviamente, no estamos hablando de un malware cualquiera que busca infectar a un número elevado de usuarios, ya que esto incrementaría las posibilidades de ser detectado.

Descubriendo Invisimole y sus capacidades

Invisimole, analizado recientemente con todo detalle por nuestra compañera analista de malware Zuzana Hromcová en la sede central de ESET en Eslovaquia, es un caso interesante, tanto por su estructura modular como por su capacidad de no haber sido detectado durante tanto tiempo. Esto ha sido posible, principalmente, porque la campaña de propagación de este malware ha sido muy dirigida, habiéndose encontrado muestras solamente en una docena de ordenadores en Ucrania y Rusia.

La telemetría de ESET ha permitido detectar que los desarrolladores de este malware han estado activos al menos desde 2013, sin haber sido detectados hasta el momento debido, sobre todo, a su escasa propagación y a las medidas adicionales implementadas por los desarrolladores para evitar atraer la atención de los usuarios infectados. Por el momento se desconoce el vector de ataque utilizado, por lo que no se descarta ninguna posibilidad, incluyendo la instalación mediante el acceso físico al sistema.

Este software espía transforma el sistema infectado en una completa cámara de vigilancia, permitiendo a los atacantes ver y oír lo que está pasando en la oficina de la víctima o donde esté ubicado el dispositivo. Además, los atacantes tienen acceso completo al sistema, pudiendo monitorizar todas las actividades de la víctima y robar sus secretos.

Además, tal y como suele ser común en ataques dirigidos avanzados, a este malware se le ha quitado toda la información que podría darnos pistas sobre sus autores. Tan solo un fichero ha podido ser datado en octubre de 2013, ya que los metadatos del resto de archivos han sido borrados y reemplazados con ceros.

Invisimole se compone de dos módulos principales con muchas características propias de puertas traseras o backdoors, y su compendio es propio de herramientas de espionaje, que proporcionan la habilidad para recopilar tanta información de la víctima como sea posible.

Módulo RC2FM

El primero de estos módulos, conocido como RC2FM, es también el más pequeño de los dos y solo soporta que el atacante utilice 15 comandos en el sistema de la víctima, principalmente para realizar cambios en el sistema infectado y buscar y robar datos. A pesar de no ser tan avanzado como el otro módulo principal, posee la capacidad de comunicarse con su centro de mando y control (C&C) incluso si existe un proxy configurado en la máquina infectada.

En el caso de que no sea posible realizar una conexión directa con el servidor C&C, el módulo intentará conectarse usando cualquiera de los proxies configurados de forma local o proxies configurados en varios navegadores como Firefox, Opera o Pale Moon. Además, también puede buscar esta configuración en las versiones portátiles de navegadores si detecta que estos se han ejecutado recientemente.

Si el atacante lo solicita, este módulo es capaz de activar remotamente el micrófono y la cámara del sistema comprometido y escuchar así el sonido ambiente (incluyendo conversaciones confidenciales). Estas grabaciones de audio se comprimen en formato MP3 utilizando una librería legítima. El atacante también puede obtener capturas de pantalla y revisar todas las unidades físicas y extraíbles conectadas al sistema, creando un listado de todos los ficheros y cifrándolo en un archivo cada vez que se introduce una nueva unidad.

Toda esta información puede ser enviada a los atacantes cuando ellos la soliciten con el comando pertinente.

Módulo RC2CL

Este módulo también dispone de funcionalidades de puerta trasera y unas amplias capacidades de espionaje. Es más complejo que el otro módulo principal y dispone de características para recopilar tanta información del sistema afectado como sea posible. También es capaz de desactivar su funcionalidad como puerta trasera y actuar como proxy, facilitando la comunicación entre el primer módulo y el C&C.

El número de comandos disponibles para los atacantes se amplía en este caso hasta los 84, permitiendo prácticamente cualquier posibilidad de espionaje de forma remota. Entre las funcionalidades se incluye la posibilidad de lanzar comandos remotos de Shell, la manipulación de claves del registro, deshabilitar o saltarse el UAC de Windows para trabajar con ficheros en ubicaciones seguras del sistema sin disponer de permisos de administrador, desactivar el cortafuegos de Windows, controlar el micrófono y cámara web y tomar capturas de pantalla.

Este módulo dispone de características únicas muy interesantes, como la que permite autoeliminarse del sistema una vez haya finalizado el proceso de recopilación de información. Esto dificulta sobremanera el análisis forense de las máquinas que han sido infectadas por este spyware, pues impide acceder a los ficheros que componen el malware y conocer la información enviada al centro de mando y control.

Todas estas características convierten a este módulo y a Invisimole en su conjunto en una herramienta de espionaje muy potente, que nos hace sospechar que detrás de su desarrollo podría estar una nación o agencia gubernamental.

Conclusión

Estamos ante un spyware altamente sofisticado y muy dirigido a objetivos concretos que ha conseguido pasar inadvertido durante mucho tiempo, a la altura de las herramientas más avanzadas conocidas hasta la fecha. Sin embargo, queda mucho trabajo por hacer, ya que todavía debemos descubrir qué información perseguían los atacantes y porque pusieron tanto esmero en diseñar un malware tan sofisticado.

Aun así, quedan dudas por resolver, como por ejemplo por qué se decidió utilizar dos módulos principales con funcionalidades solapadas en lugar de uno solo. Ambos módulos se lanzan de forma simultánea, lo que descarta la hipótesis de que el menos avanzado funcione como avanzadilla para reconocer el terreno. Es posible que estos módulos hayan sido desarrollados por autores diferentes y luego juntados en la versión final del spyware para ofrecer a los atacantes un catálogo mayor de funcionalidades.

Lo que parece claro es que a los desarrolladores de Invisimole no les debe de haber hecho mucha gracia que se haya descubierto su spyware, teniendo en cuenta los esfuerzos realizados en borrar su rastro en los sistemas infectados y el bajo número de sistemas concretos afectados. Veremos si, tras un análisis en mayor profundidad, se consigue averiguar cuáles eran los objetivos concretos de los atacantes y se arroja alguna pista sobre quién podría estar detrás.

Josep Albors

 

Reflexiones acerca de la app de La Liga y el “espionaje” a sus usuarios

Mié, 06/13/2018 - 17:45

Ha sido la comidilla en todo tipo de medios y foros desde que ElDiario.es diese la noticia el pasado domingo, noticia solo superada por el fichaje de Lopetegui por el Real Madrid y su posterior cese como seleccionador nacional a solo un día del comienzo del mundial de Rusia. La última actualización de la app de La Liga, usada por millones de aficionados al futbol español para seguir los partidos de los clubes (y, ya mismo, del mundial) incorporaba una nueva funcionalidad que permite usar los dispositivos de los usuarios para identificar aquellos locales que ofrecen las retransmisiones de los partidos sin pagar la debida licencia.

¿Qué dice La Liga sobre el funcionamiento de la aplicación?

Al conocerse esta nueva funcionalidad no fueron pocos los usuarios que mostraron su desacuerdo al respecto de que una entidad como La Liga utilizase sus dispositivos y los datos que generan de esta forma. Más que la detección de locales con retransmisiones ilegales, lo que preocupa a la mayoría de usuarios de esta app es que pueda activarse el micrófono para escuchar  conversaciones privadas y que recopile información acerca de donde nos encontramos en cada momento.

Realmente, existen muchas aplicaciones que piden permiso para utilizar el micrófono de nuestro dispositivo, principalmente todas aquellas que tienen que ver con redes sociales. No obstante, tampoco es la primera vez que vemos como una aplicación solicita permisos para utilizar funcionalidades que, aparentemente no tienen nada que ver con su correcto funcionamiento. Todos recordamos el ejemplo de la app de Linterna que solicita acceder a nuestros contactos.

Así las cosas, no es de extrañar que La Liga lanzase un comunicado para aclarar estas funcionalidades e intentar así calmar los ánimos. En ese comunicado se explica esta nueva funcionalidad introducida el pasado 8 de junio con las siguientes palabras:

“Cuando un usuario se descargue o actualice la APP, el sistema operativo de tu dispositivo móvil le solicitará a través de una ventana emergente que facilite su consentimiento para que La Liga pueda activar el micrófono y el geoposicionamiento de su dispositivo móvil. Sólo si decide aceptarlo, el micrófono captará el código binario de fragmentos de audio, con el único objeto de poder conocer si está viendo partidos de fútbol de competiciones disputadas por equipos de La Liga, pero nunca se accederá al contenido de la grabación.”

No tenemos nada que objetar al respecto de la primera parte del comunicado ya que, tal y como indican, cuando descargamos la aplicación se nos informa y ofrece la posibilidad de activar tanto el micrófono como la geoposición para que La Liga recopile datos que luego utilizaría supuestamente para detectar aquellos locales que no paguen las licencias de emisión de los partidos.

Términos y condiciones de la app de La Liga – Fuente: Jorge Morell

Además, en el comunicado oficial también se dice lo siguiente:

“La Liga sólo activará el micrófono y geoposicionamiento del dispositivo móvil durante las franjas horarias de partidos en los que compitan equipos de La Liga.

  • La Liga no accede a los fragmentos de audio captados por el micrófono del dispositivo, ya que estos se convierten de forma automática en un código binario en el propio dispositivo. La Liga sólo accede a este código binario, que es irreversible y no permite obtener de nuevo la grabación de audio.
  • Si este código coincide con un código previo de control, La Liga podrá saber que está viendo un partido determinado. Si no coincide, el código se elimina.”

Entonces si la aplicación de La Liga avisa de este uso, se protege la privacidad de los usuarios con medidas de seguridad aparentemente efectivas y parece que todo está claro en sus términos y condiciones, ¿estamos siendo demasiado paranóicos al pensar que podrían estar espiando sin nuestro permiso? Parecería que sí pero en el mundo de la seguridad siempre se ha de revisar a fondo las cosas antes de realizar afirmaciones categóricas.

Análisis de la aplicación

Como la aplicación de La Liga puede ser descargada por cualquiera, también es posible analizarla si se tienen unos mínimos conocimientos y comprobar de primera mano si lo que se afirma en ese comunicado oficial es totalmente cierto. Dicho y hecho, en el día de ayer un investigador que responde al nombre de SadFud publicó los resultados del análisis de esta aplicación y, según estos, hay ciertos puntos que deberían ser clarificados por los responsables del desarrollo de la aplicación La Liga.

En este análisis técnico podemos ver como, dentro del código de la aplicación se hace referencia  a la empresa Fluzo. Para el que no la conozca, esta startup española es la encargada de recopilar la información a través del micrófono y procesarla de forma que pueda reconocer si se está emitiendo un partido de futbol relacionado con la liga española. Esta tecnología no es especialmente novedosa puesto que ya hace tiempo que la hemos visto en funcionamiento en aplicaciones de reconocimiento de canciones como Shazam. Lo realmente interesante es como se sirve de ella para, junto al GPS, localizar locales sin licencia de emisión de estos partidos.

Además, la aplicación hace una comprobación para revisar si tiene el permiso para utilizar el micrófono y si el idioma del dispositivo está configurado en español, no que la IP sea española. Faltaría ver cómo reacciona la aplicación si el dispositivo está configurado en cualquiera de las otras lenguas oficiales del estado español y que pueden emplearse a la hora de interactuar con la interfaz de muchos dispositivos.

Un punto que ha causado controversia es el envío de la geolocalización del usuario. En un primer momento este investigador afirmó que la aplicación mandaba esta información cada 30 minutos, independientemente de si hay un partido en curso o no. No obstante, se ha podido comprobar que sí que existe una condición para que se active la petición de la ubicación del dispositivo y que esto se controla desde un servidor (https://laliga.fluzo.com/settings) que contempla dos posibilidades: True y False. Solo cuando la variable se encuentra en True se solicita la posición de los dispositivos que tengan la app instalada y hayan dado permiso para que se utilice su geoposicionamiento.

Otro punto que inquieta a este investigador está en la posibilidad de que se guarden los registros y las grabaciones realizados desde aquellos dispositivos que estén utilizando esta polémica funcionalidad. Si bien La Liga afirma que esta información no se almacena, existen líneas de código que podrían hacer pensar lo contrario.

Medidas para proteger nuestra privacidad y posibles consecuencias para La Liga

El añadido de esta peculiar funcionalidad en la aplicación La Liga ha desatado numerosas inquietudes, no solo en España ya que medios internacionales como la BBC o incluso nuestros compañeros de WeLiveSecurity se han hecho eco del asunto. Cabe suponer que los responsables de La Liga habrían consultado previamente con su departamento legal para evitar posibles incumplimientos del Reglamento General de Protección de Datos y podrían escudarse en que solicitan a los usuarios permiso para acceder tanto al micrófono como la geoposición de sus dispositivos.

Aun tomando supuestamente las medidas adecuadas, informando a los usuarios del uso que se iba a hacer de su geoposicionamiento y micrófono para evitar problemas legales, la Agencia Española de Protección de Datos ha informado de la apertura de actuaciones previas de investigación de oficio en relación a este tema. Veremos si este tema no termina con una multa ejemplarizante.

Como usuarios, si queremos seguir utilizando la aplicación de La Liga pero no queremos que se utilicen estos datos de posicionamiento ni el audio recopilado a través de nuestro dispositivo Android, tenemos la posibilidad de revocar los permisos que lo permiten. Para ello, tan solo debemos acceder a los Ajustes > Aplicaciones y Notificaciones > Permisos de aplicaciones > Seleccionar los permisos de Ubicación y Micrófono y desmarcar aquellas apps que no queremos que dispongan de estos permisos, incluida la de La Liga.

Conclusión

No cabe duda que se han cometido errores, principalmente de comunicación a la hora de explicar el funcionamiento de estas funcionalidades de la aplicación de La Liga. Esto ha provocado que muchos usuarios se preocupen de que información se recopila, donde va a parar y que se hace con ella aparte de detectar a locales sin licencia de emisión de partidos de futbol.

Esperamos que este caso sirva como ejemplo a la hora de conseguir más transparencia por parte de los desarrolladores de aplicaciones que hacen uso de permisos que pueden suponer una invasión de la privacidad del usuario. Acabamos de demostrar como se pueden sacar a la luz oscuras intenciones simplemente con el trabajo y la dedicación de un investigador por lo que aquellos que piensen hacerlo en sus aplicaciones deberían pensárselo mucho si no quieren ser el centro de todas las mirada, con la consecuente perdida de reputación y posibles multas.

Josep Albors

Conoce los trucos que utilizan las Apps fraudulentas en Google Play para intentar engañarnos

Mar, 06/12/2018 - 13:25

Con la ingente cantidad de aplicaciones existentes en mercados como Google Play, es normal que los delincuentes intenten aprovecharse de usuarios desprevenidos para intentar colarles alguna aplicación fraudulenta. En los últimos años hemos visto que se han utilizado todo tipo de técnicas, pero, como en muchas otras situaciones, las más sencillas también pueden resultar las más efectivas.

Repasando los conceptos básicos

“¿En qué debo fijarme para asegurarme de instalar una aplicación legítima?” es una de las preguntas que muchos usuarios se hacen cuando desean descargar una app en sus dispositivos. La oferta es tan grande que debemos tener en cuenta algunos puntos clave para asegurarnos de estar descargando la app correcta, y no una que quiere aprovecharse del éxito ajeno y que podría terminar infectando nuestro dispositivo.

Vamos a ver un ejemplo práctico para repasar aquellos puntos que debemos tener en cuenta. Imaginémonos por un momento que estamos estudiando algún idioma y queremos utilizar una app para reforzar el aprendizaje. Si hacemos una busqueda por Google Play veremos que la oferta es amplia y variada, y, en un primer vistazo, la mayoría de usuarios se fijarán en aquellas con la mayor puntuación, que estén lo más arriba posible y, si puede ser, que tengan algún distintivo que las haga destacar.

Encontramos una que cumple con todos estos requisitos, como es la aplicación Memrise, ya que se encuentra entre los primeros resultados al realizar una búsqueda con la palabra “Idiomas”, tiene una puntuación de casi 5 estrellas y además cuenta con un distintivo en su logo que menciona su reconocimiento como “Mejor App 2017”.

Cuando accedemos a la página de la aplicación dentro de Google Play vemos que se nos muestra información adicional que puede sernos muy útil para confirmar que estamos ante la aplicación que buscamos o que se trata de un fraude. Lo primero que se suele mirar es la puntuación (prácticamente 5 estrellas en este caso) y el número de usuarios que la han puntuado. Este aspecto es importante, puesto que se puede tener una puntuación elevada con pocos votos y esto los delincuentes lo saben y lo explotan.

En el caso de esta aplicación nos encontramos con un detalle adicional que no suele estar presente, y es que esta app ha sido seleccionada por los editores, lo que nos debería dar un poco más de confianza y tranquilidad para descargarla.

Otro punto clave a la hora de comprobar la legitimidad de una app es el número de usuarios que la ha descargado. Si bien se han visto casos de aplicaciones fraudulentas con un elevado número de descargas, esto no suele ser lo habitual, puesto que las apps maliciosas suelen durar poco tiempo en la tienda oficial de Google (gracias a los esfuerzos que la empresa ha realizado en los últimos años para mejorar la seguridad de su tienda de aplicaciones).

Así pues, veamos cuántos usuarios se han descargado esta aplicación antes que nosotros.

Más de 10 millones es una cantidad lo bastante considerable como para confiar en la legitimidad de la aplicación, pero también es importante que verifiquemos aspectos como el desarrollador de la app, si contiene pagos integrados o incluso leernos la política de privacidad.

Un aspecto fundamental a revisar, aun tratándose de aplicaciones legítimas, son los permisos que vamos a concederle a la aplicación que queremos instalar. Estos permisos pueden revisarse antes y durante la aplicación, e incluso podemos revocar algunos a posteriori una vez la aplicación ya ha sido instalada.

Debemos tener en cuenta que aunque haya permisos que nos parecerá lógico que pidan aplicaciones como esta, es muy probable que la mayoría de las veces nos encontremos con dudas. En estos casos lo mejor es usar el sentido común y buscar información de otros usuarios que ya la tengan instalada, empezando por los comentarios que se pueden leer en la página de la aplicación dentro de Google Play, aunque el ejemplo de la app de linterna que quiere acceder a nuestros contactos sigue siendo igual de válido actualmente.

Teniendo estos puntos en cuenta, lo más seguro es que hayamos instalado una aplicación legítima y podamos empezar a disfrutarla sin mayores problemas. Sin embargo, vamos a revisar las técnicas que utilizan algunos delincuentes para intentar confundirnos y conseguir que instalemos sus aplicaciones fraudulentas.

Engaños simples pero efectivos

Una vez hemos repasado los puntos clave a tener en cuenta a la hora de instalar aplicaciones en nuestros dispositivos para que no nos den gato por liebre, vamos a ver qué hacen los delincuentes para intentar engañar a los usuarios menos precavidos. Para ello, vamos a utilizar como ejemplo varias aplicaciones fraudulentas detectadas recientemente por nuestro compañero y analista de malware en ESET Lukas Stefanko.

La primera tanda de aplicaciones se aprovecha de tres aspectos clave como son el ofrecer una aplicación gratuita, el uso de logos y nombres que recuerdan a aplicaciones muy conocidas y, sobre todo, que el nombre del desarrollador se ha sustituido por una cantidad que quiere confundir al usuario con el número de descargas.

Apps subidas con un falso número de instalaciones en lugar del nombre del desarrollador – Fuente: WeLiveSecurity

En algunos casos concretos, nuestro compañero Lukas Stefanko llegó a observar que un desarrollador utilizaba esta técnica para aumentar la popularidad y descargas de aplicaciones de reciente creación, cambiando poco tiempo después el número falso de instalaciones por su nombre de desarrollador.

Aplicaciones del mismo desarrollador que primero utilizaron una cantidad falsa de instalaciones y luego cambiaron al nombre del desarrollador – Fuente: WeLiveSecurity

Por si fuera poco, algunos desarrolladores sin escrúpulos añaden una capa adicional de engaño en forma de símbolo de verificación a sus aplicaciones. De esta forma, muchos usuarios pueden pensar que se trata de aplicaciones legítimas, verificadas o de desarrolladores de confianza. Debemos recordar que, actualmente, Google Play no otorga este tipo de verificaciones, y lo único que podemos observar en algunas aplicaciones concretas como la que hemos analizado al principio de este artículo es un distintivo que indica que la app ha sido seleccionada por un grupo de editores como destacada.

Aplicaciones con distintivos falsos de verificación para aparentar mayor legitimidad – Fuente: WeLiveSecurity

Conclusión

Acabamos de ver cómo unos sencillos trucos sirven para confundir a muchos usuarios que están buscando aplicaciones para instalar desde Google Play. La mayoría de estas apps fraudulentas tienen como objetivo a esos usuarios que solo se utilizan el número de descargas como referencia, algo que debe siempre verificarse junto a otros puntos clave como los que hemos descrito en este artículo.

Merece la pena perder un poco de tiempo asegurándonos de que vamos a descargar la aplicación correcta y que esta hace lo que se supone que debe hacer. De esta forma, nos evitaremos más de una sorpresa desagradable y podremos utilizar estas aplicaciones con tranquilidad.

Josep Albors

Los ataques a entidades financieras se extienden a nuevas regiones

Lun, 06/11/2018 - 13:46

Que los delincuentes hace tiempo que se marcaron entre sus objetivos ir directamente a por las entidades financieras (y no solo a por sus clientes) es algo que conocemos desde hace tiempo. En los últimos años hemos vistos ejemplos más que suficientes que lo demuestran, con incidentes en los que se han obtenido decenas de millones de dólares en un solo golpe, de forma discreta y sin hacer ruido.

Crónicas desde Rusia

Como en muchos otros ejemplos de amenazas, los casos más destacados comenzaron a detectarse en Rusia hace ya algunos años. Empezaron siendo ataques a los cajeros donde los delincuentes conseguían sacar el dinero almacenado en ellos sin forzarlos físicamente. En la mayoría de estos casos el dinero se consigue accediendo al sistema que controla al cajero (en demasiadas ocasiones, una versión obsoleta de Windows) y engañándolo mediante software especialmente creado para la ocasión.

Sin embargo, cuando los delincuentes se dieron cuenta de que podían ir directamente a por los sistemas que controlan las entidades financieras, vieron que se les abrían un buen número de oportunidades para cometer sus acciones delictivas, y que, además, les permitirían obtener un botín elevado de un solo golpe y sin exponerse.

Así las cosas, en Virus Bulletin 2016 nuestros compañeros de ESET Anton Cherepanov y Jean-Ian Boutin publicaron los resultados de las investigaciones relacionadas con ataques a sistemas financieros rusos, que llevaban analizando desde hacía tiempo. Las conclusiones no dejaban lugar a dudas, y demostraron que no solo los delincuentes habían conseguido infiltrarse en los sistemas de las varias entidades financieras rusas, sino que habían conseguido realizar transferencias millonarias fraudulentas a sus cuentas mediante el sistema de transferencias interbancarias.

Incluso, en algún caso, llegaron a modificar notablemente el valor del rublo durante un breve periodo de tiempo tomando el control de una terminal de venta para enviar órdenes de compra/venta y conseguir así que la moneda rusa tuviese una elevada volatilidad durante unas horas.

Mientras todo esto sucedía en Rusia, al resto del mundo parecía no importarle mucho, pero este tipo de ataques no tardaron en cruzar fronteras.

Comienza la expansión

Viendo el éxito obtenido en tierras rusas, los delincuentes decidieron extender sus operaciones a entidades de otros países, y en los últimos años hemos visto varios ejemplos. Algunos comenzaron de forma tímida y con ataques poco elaborados como los DDoS (ataques de denegación de servicio distribuidos) que sufrieron tres bancos griegos en 2015, y que fueron provocados con la intención de exigir un rescate en bitcoins. Los servicios de banca online de la filial del Reino Unido del banco HSBC también sufrió un ataque similar en enero de 2016.

Uno de los golpes más sonados fue el que tuvo como víctima al Banco Central de Bangladesh a principios de 2016, y que provocó el robo de 81 millones de dólares en cuatro traspasos a cuentas ubicadas en Filipinas y Sri Lanka. Esta cantidad pudo ser mucho mayor, ya que los delincuentes cometieron un error ortográfico al escribir el destino de una de las transferencias, lo que permitió que saltaran las alarmas y se detuvieran las operaciones de traspaso, que se calcula podrían haber llegado a transferir entre 850 y 870 millones de dólares. Para este ataque los delincuentes utilizaron un malware para acceder y controlar  uno de los equipos de la entidad con acceso al sistema SWIFT, utilizado por más de 11.000 bancos e instituciones financieras en más de 200 países.

También en 2016, y más concretamente el fin de semana del 5 y 6 de noviembre, el conocido banco británico Tesco fue víctima de un ataque en el que se sustrajeron 2.5 millones de libras desde 9.000 cuentas de sus clientes, aunque el total de cuentas afectadas ascendió a 20.000. Este dinero fue utilizado luego para comprar miles de objetos desde tiendas en todo el mundo usando para ello el método de pago contactless, con el que se realizaron algunas de estas operaciones en países como Brasil, Estados Unidos o España.

A principios de 2017 supimos de la existencia de un ataque que afectó a numerosos bancos polacos y que utilizaba un vector de ataque muy efectivo: la web oficial de la agencia polaca de regulación del sector financiero. Esta web, visitada prácticamente a diario por todas las entidades financieras del país, estuvo comprometida durante varios meses con un fichero JavaScript que permitía cargar otro fichero malicioso desde un enlace externo. Esto permitió a los delincuentes descargar malware en los sistemas internos de varias entidades polacas desde un sitio web legítimo y muy utilizado por el sector.

Los ataques llegan a Latinoamérica

Tal y como vienen informando nuestros compañeros de WeLiveSecurity desde hace unas semanas, recientemente se han descubierto una serie de ataques a bancos de la región, específicamente en México y Chile.

Fue a finales del mes de abril cuando se supo que varias entidades financieras mexicanas fueron víctimas de un ciberataque que provocó el robo de alrededor de 300 millones de pesos mexicanos (unos 12.5 millones de euros). Como en casos anteriores, se detectaron incidencias en el sistema de pagos electrónicos interbancarios del Banco de México, lo que permitió a los atacantes realizar transferencias no autorizadas a cuentas generadas con esa finalidad o a cuentas de usuarios legítimos.

Según las investigaciones realizadas hasta el momento, parte de la cantidad robada ha sido retirada mediante cajeros automáticos o a través de las ventanillas de las entidades financieras. En muchos de estos casos, los delincuentes utilizaron a los usuarios legítimos de las cuentas como muleros para retirar el dinero robado a cambio de una comisión.

El otro incidente que ha afectado a la región tiene como protagonista al Banco de Chile, quien a finales de mayo lanzó un comunicado en su web oficial indicando problemas en algunos de sus sistemas provocado por un malware. Sin embargo, las imágenes que se han difundido apuntan a que este malware sería un wiper del tipo KillDisk, que dejaría el sistema totalmente inservible de una forma similar a lo que hizo el año pasado NotPetya.

Terminal del Banco de Chile afectado por el wiper – Fuente:  Master_Danatas

De hecho, las noticias más recientes indican que este ataque se realizó como distracción para robar alrededor de 10 millones de dólares mediante la utilización (de nuevo) del sistema de transferencias interbancarias SWIFT, y realizando un total de cuatro transacciones. Las investigaciones apuntan a que el ataque podría provenir de Europa del Este o de China, pero esta información es algo que debemos coger con pinzas.

Conclusión

Tal y como acabamos de ver, los ataques a entidades financieras no han hecho más que crecer en los últimos años y es poco probable que se detengan a corto plazo. Las entidades financieras deben tomar las medidas necesarias para evitar que este tipo de ataques tengan el éxito que han cosechado hasta ahora y, sobre todo, evitar que se vean afectados los ahorros de los usuarios.

Josep Albors

Cryptojacking en macOS. La minería no autorizada también está presente en el sistema de Apple

Vie, 05/25/2018 - 13:56

Parece mentira, pero en pleno 2018 aún quedan muchos usuarios que piensan que únicamente por disponer de un ordenador con el logo de Apple ya están protegidos contra todo tipo de malware. Las campañas de marketing de la empresa y el mantra repetido hasta la saciedad por la mayoría de sus usuarios ha calado hondo, y si bien es cierto que la cantidad de amenazas existentes para macOS o iOS es muy inferior a las que observamos en Windows y Android, eso no es motivo suficiente para relajarnos.

Las tendencias del malware también llegan a Mac

De la misma forma que sucedió con el ransomware, los delincuentes intentan maximizar sus beneficios afectando al mayor número de plataformas posible, algo que se ha vuelto a producir también con el cryptojacking o minería no autorizada de criptodivisas. En esta amenaza debemos tener muy en cuenta que los delincuentes pueden introducir el código de minado en webs comprometidas y ejecutar el script malicioso mientras navegamos, independientemente del sistema operativo o navegador utilizado.

Además, otra de las técnicas más extendidas consiste en descargar y ejecutar aplicaciones de minado en los dispositivos de los usuarios sin que se den cuenta. En meses anteriores se descubrieron algunos mineros camuflados dentro de aplicaciones aparentemente legítimas, e incluso algunas de ellas llegaron a ser distribuidas por tiendas oficiales como la App Store de Apple.

Por ese motivo, hace tiempo que el descubrimiento de nuevas amenazas para sistemas de Apple dejó de ser algo anecdótico y pasó a ser algo que tener muy en cuenta, obligando a más de un usuario a adoptar medidas de seguridad básicas que no había aplicado hasta la fecha por tener una falsa sensación de seguridad.

Un nuevo minero afecta a macOS

Recientemente, investigadores de la empresa de seguridad Malwarebytes han descubierto otra amenaza relacionada con el cryptojacking para el sistema macOS, después de que varios de los usuarios afectados se quejaran de que sus equipos funcionaran a pleno rendimiento con los ventiladores a toda potencia y con un proceso sospechoso devorando los ciclos de la CPU.

El motivo de este funcionamiento anómalo de sus ordenadores estaba provocado por el proceso “mshelper” y otros, relacionados todos ellos con la minería de criptodivisas, y más concretamente con Monero.

Esta amenaza está compuesta por tres módulos diferentes, y a pesar de no ser particularmente avanzada, sí que ha conseguido infectar a varios usuarios de macOS. Por un lado tenemos la parte que se encarga de descargar e instalar el propio malware, conocida como “dropper”.

En el momento de escribir este artículo no se conoce qué ha podido actuar como dropper, pero por experiencias pasadas es bastante probable que se haya camuflado como un falso instalador de alguna aplicación conocida, un documento malicioso o que se haya incluido dentro de alguna aplicación subida a algún sitio de descargas ilegales. En cualquier caso, todo apunta a que no ha sido nada especialmente elaborado.

Tras descargarse el segundo fichero malicioso, se instala un archivo de nombre “pplauncher” en la siguiente ubicación:

~/Library/Application Support/pplauncher/pplauncher

Para que este proceso permanezca ejecutándose de forma permanente es necesario que un demonio del sistema (com.pplauncher.plist) lo ejecute, algo que indica que el dropper del punto anterior ha debido de disponer de privilegios de root. Esto es un indicio de que se le pudo haber pedido al usuario introducir su contraseña de root cuando ejecutó la aplicación maliciosa.

Por otro lado, este ejecutable es más grande de lo que suele ser habitual cuando hablamos de malware, ya que su tamaño es de 3,5 Megabytes. Sus creadores utilizaron Golang como lenguaje de programación y después lo compilaron para que se ejecutara en macOS. El análisis de este malware desvela que, aparentemente, su única función es la de instalar y ejecutar el proceso que realiza el minado.

En lo que respecta a la aplicación de minado, esta se instala en la siguiente ruta:

/tmp/mshelper/mshelper

Tras revisar el proceso, parece que estamos ante una versión antigua y modificada del software de minado legítimo XMRig. Esta modificación hace que todos los beneficios del minado realizado en los sistemas infectados vayan a parar a los delincuentes que lo están propagando.

A pesar de que las funcionalidades del malware se limitan al minado no autorizado de criptodivisas, esto puede ocasionar molestias en un uso habitual de nuestro ordenador Apple e incluso provocar daños en el hardware si el uso es excesivamente intensivo. En el caso de que encontremos el proceso mshelper instalado en nuestro sistema, es recomendable desinstalarlo junto con el resto de archivos relacionados con el malware o analizar el sistema con una solución de seguridad como ESET Cyber Security.

Conclusión

Como ya hemos visto anteriormente con otras variantes de malware, el cryptojacking también tiene a macOS entre sus objetivos. Son ya varios los ejemplos que se han observado y, a pesar de ser menos destructivos que otras amenazas como el ransomware, no dejan de ser molestos, por lo que no debemos menospreciarlos.

Debemos dejar de pensar en los dispositivos de Apple como algo cuya seguridad es inquebrantable y adoptar buenas prácticas de la misma forma que se hace desde mucho tiempo atrás en otras plataformas. De esta manera, nos evitaremos disgustos provocados por amenazas y vectores de ataque que ya creíamos superados.

Josep Albors

VPNFilter: medio millón de routers comprometidos y Ucrania como posible objetivo de un nuevo ataque

Jue, 05/24/2018 - 13:16

Un elemento tan crucial para usuarios y empresas de todos los tamaños como son los routers vienen siendo desde hace algún tiempo uno de los dispositivos preferidos de los atacantes. Su exposición directa a Internet, unas medidas de seguridad generalmente muy pobres (cuando no inexistentes) y un número cada vez más elevado de vulnerabilidades son puntos clave para que el número de incidentes haya crecido notablemente.

Debido a la gravedad de esta amenaza, hemos recopilado unos puntos clave para conocer de forma rápida en qué consiste este malware y cómo proteger nuestros dispositivos. En caso de producirse novedades, iremos actualizando debidamente esta información.

¿Qué es VPNFilter?

VPNFilter es un malware descubierto por el equipo de investigación de Cisco Talos y que ha infectado alrededor de 500.000 routers de varios fabricantes en al menos 54 países, formando con ellos una botnet cuyas verdaderas intenciones aun están por desvelar. El malware dispone de varias capacidades para permitir tanto la recopilación de información como la realización de ciberataques destructivos.  De hecho, el análisis de esta amenaza ha revelado que comparte código con algunas variantes de BlackEnergy, lo que puede dar pistas sobre la finalidad real de este ataque y quién se encuentra detrás.

¿Cómo funciona?

VPNFilter es un malware modular que realiza sus ataques en hasta tres fases diferenciadas. En la primera fase el malware consigue introducirse en el router aprovechando alguna vulnerabilidad conocida o credenciales de acceso muy débiles. El propósito principal de esta fase es introducirse en el dispositivo y obtener persistencia en el mismo, lo que incluye sobrevivir a un reinicio (algo poco frecuente). Además, en esta fase se utilizan múltiples mecanismos de mando y control redundantes para obtener la dirección IP del servidor, desde el que se descargarán los componentes de la segunda fase.

Esta segunda fase no es capaz de sobrevivir a un reinicio del router como la primera, pero tiene capacidades para la recolección de información como la recopilación de archivos, ejecución de comandos, robo de datos y control del dispositivo. También se han observado variantes de esta segunda fase con capacidades de autodestrucción que dejarían el dispositivo inservible al sobrescribir una porción crítica del firmware y reiniciar el router.

Fases del ataque realizado por VPNFilter – Fuente: Cisco Talos

Como complemento a la segunda fase, se han descubierto varios módulos pertenecientes a una tercera fase y que actúan como complementos de la segunda para proporcionarle funcionalidades añadidas. Entre estas funcionalidades adicionales encontramos un sniffer de paquetes que permite obtener todo el tráfico que pase por el router, incluyendo las credenciales de acceso a servicios online o protocolos de sistemas de control industrial, además de un módulo que permite a la segunda fase  comunicarse a través de la red Tor.

¿Qué dispositivos están afectados?

Se calcula que hay alrededor de medio millón de routers afectados en, al menos, 54 países. Entre estos routers encontramos los siguientes modelos:

Linksys E1200, E2500, WRVS4400N

Mikrotik RouterOS para Cloud Core Routers: Versiones 1016, 1036 y 1072

Netgear DGN2200, R6400, R7000, R8000

Netgear WNR1000, WNR2000

QNAP TS251, TS439 Pro

QNAP NAS  con software QTS

TP-Link R600VPN

¿Qué hago si dispongo de un dispositivo vulnerable?

Cisco ya ha informado a los fabricantes para que empiecen a tomar medidas que permitan que estos dispositivos dejen de ser vulnerables, pero, en última instancia, han de ser los propios usuarios los que apliquen las actualizaciones que vayan apareciendo. Es importante estar atento a la publicación de estas actualizaciones para aplicarlas lo antes posible y evitar así que nuestro dispositivo se vea afectado.

En el caso de sospechar que nuestro router pueda estar afectado o querer asegurarnos, lo más adecuado sería reiniciar el dispositivo a su configuración de fábrica antes de aplicar las actualizaciones. La mayoría de usuarios deberían poder hacerlo por ellos mismos, pero también es posible que, en algunos casos, se deba contactar con nuestro proveedor de Internet para realizar esta operación

¿Cuál es el objetivo?

Los investigadores de Cisco Talos han observado que VPNFilter ha ido infectando objetivos en Ucrania a una velocidad alarmante en las últimas semanas, utilizando incluso un centro de mando y control específico para ese país. De hecho, el pasado 8 de mayo se observó un incremento muy notable en el número de infecciones y con la mayor parte de las víctimas localizadas en Ucrania.

Picos de infecciones detectadas en las últimas semanas – Fuente: Cisco Talos

En ese momento ya se conocía que VPNFilter compartía código con BlackEnergy, utilizado en varias ocasiones contra objetivos en ese país, y ese pico de detecciones podría representar un ataque inminente. El pasado día 17 de mayo se volvió a observar un pico de detecciones en Ucrania, lo que ha provocado que se comparta la información de esta investigación a pesar de que aún se encuentre en desarrollo.

Con toda la información recopilada en incidentes anteriores ocurridos en Ucrania, no es de extrañar que ya se estén empezando a oír las primeras voces de alarma sobre futuros ataques a los ciudadanos, empresas e instalaciones críticas de este país, lo que nos lleva a la siguiente pregunta.

¿Quién puede estar detrás?

En el panorama actual de los ciberataques, la atribución es uno de los puntos más delicados. A pesar de que existan pistas o incluso incidentes anteriores en los que, supuestamente, quedaba demostrada la autoría de un ataque, no es tan fácil señalar a los culpables en ataques posteriores como VPNFilter. Por un lado, podríamos estar ante un ataque de falsa bandera que quiera incriminar a los sospechosos habituales para generar una crisis geopolítica que dinamite las relaciones entre el país acusado de ser responsable del ataque y la víctima y sus aliados.

Así pues, debemos tomar con mucha cautela aquellas informaciones que afirmen categóricamente que tal o cual país está detrás de esta amenaza. Lo que sí apuntan desde Cisco Talos es que, con las pruebas obtenidas hasta el momento, parece que esta amenaza está relacionada de alguna forma con acciones patrocinadas por un estado, aunque hemos de tomar esta información con pinzas, ya que la investigación aún sigue en desarrollo.

¿Qué medidas se están adoptando?

En el día de ayer (23 de mayo), el Departamento de Justicia de los Estados Unidos de América anunció que tomarían medidas para detener el funcionamiento de esta botnet. En este anuncio se informó de la autorización concedida al FBI para tomar el control de un dominio que forma parte de la infraestructura de centros de mando y control. Esto permitirá redirigir a los dispositivos infectados a un servidor controlado por el FBI, obteniendo la dirección IP de los dispositivos infectados y, con la colaboración de The Shadowserver Foundation, proporcionar estas direcciones a aquellos orgnismos como CERTs nacionales que puedan ayudar a las víctimas.

Además, en ese mismo anuncio se menciona al grupo APT28 (también conocido como Fancy Bear, Sednit o Sofacy, entre otros nombres) como responsable de desarrollar esta amenaza y llevar a cabo los ataques. Como hemos dicho en el punto anterior, se ha de ir con cuidado a la hora de hacer atribuciones y, aunque es muy probable que el FBI tenga indicios de sobra como para acusar a este grupo, no sería la primera vez que algo que parece evidente resulta ser una pista falsa.

Conclusión

Amenazas tan elaboradas como VPNFilter demuestran la importancia de dispositivos tan vitales y, a la vez, tan ignorados en temas de seguridad como son los routers. Puede que estemos ante una campaña de ataques dirigidos a una nación en concreto o ante algo más grande, pero todavía debemos esperar a obtener más información para poder saber exactamente a qué nos enfrentamos.

Josep Albors

Casa inteligente, ¿vida segura?

Jue, 05/24/2018 - 11:51

Allá por 2014 Juraj Malcho, director técnico de ESET, ya decía que los ciberdelincuentes apuntaban al Internet de las Cosas. Mucho ha llovido desde entonces. En este tiempo los dispositivos del Internet de las Cosas se han popularizado y entrado de lleno al corazón de nuestro hogar, sin embargo, siguen siendo un objetivo relativamente fácil de atacar para los cibercriminales; en parte por la poca dedicación de los fabricantes a la seguridad de los dispositivos que fabrican.

Justo a principios de aquel 2014 comencé a trabajar para ESET España y a familiarizarme con todo un mundo de nuevos conceptos relacionados con la tecnología y más específicamente con la seguridad. Escuchaba por primera vez aquello del Internet de las Cosas o IoT por sus siglas en inglés, Internet of Things. En aquel momento no conocía a nadie que tuviese este tipo de dispositivos y ahora es raro el hogar que no tiene más de uno: neveras con capacidad de hacer la lista de la compra, lavadoras inteligentes, robots aspiradoras, básculas conectadas, smartwatches, pulseras que miden nuestra actividad, juguetes conectados…

Los dispositivos del Internet de las Cosas (IoT) hacen que nuestros hogares sean más inteligentes pero… ¿una casa inteligente es una casa segura?¿hasta qué punto la gente es consciente de qué significa tener dispositivos conectados? Es más, ¿saben que tienen dispositivos del Internet de las Cosas? ¿conocen a qué tipo de información tienen acceso? ¿cuáles son sus puntos fuertes? ¿y los débiles?

Como queremos hacernos una idea sobre qué sabe la sociedad acerca del Internet de las Cosas hemos elaborado esta encuesta. ¡Ayúdanos completándola!

Cargando… 

Si te ha interesado el mundo del Internet de las Cosas y te apetece saber más sobre él, aquí te dejo un par de enlaces interesantes:

 

 

¿Juegas al Fortnite? Entonces estás en el punto de mira de los delincuentes

Mié, 05/23/2018 - 13:25

Si eres mínimamente aficionado a los videojuegos, sabrás de sobra que los juegos tipo “Battle Royale” están de moda. Juegos en los que un personaje o escuadrón debe enfrentarse a otros jugadores con la finalidad de quedar como único superviviente han ido apareciendo en los últimos meses y algunos de ellos han sido un completo éxito. Pero como siempre que algo tiene éxito, los delincuentes intentan aprovecharse de ello y el juego estrella del momento no iba a ser la excepción.

Pero, ¿qué es Fortnite?

Para todos aquellos a los que no les suene de nada este nombre, estamos ante uno de los fenómenos que han trascendido incluso el mundo de los videojuegos. De hecho, no es nada extraño ver a deportistas celebrar sus tantos con los bailes de victoria incluidos en este juego.

Fortnite, y más concretamente su modo Battle Royale, es un juego donde un jugador o escuadrón se enfrentan al resto de participantes de la ronda con el objetivo de eliminar al resto de jugadores y quedar como los últimos en pie. Este modo de juego no fue incluido en el juego original hasta septiembre de 2017, ya que el juego que sirve como base consiste en sobrevivir al entorno junto a otros jugadores, defendiéndose de los ataques de seres similares a los zombies y recopilando materiales para construir fortificaciones.

No obstante, el éxito del otro juego estrella del momento, PlayerUnknown’s Battlegrounds (o PUBG para abreviar), hizo replantearse a Epic, desarrolladora de Fortnite, el modelo de negocio que quería seguir con su juego, lanzando el modo Battle Royale con formato de juego gratuito con micropagos dentro del juego para obtener objetos cosméticos.

Fue entonces cuando se desató la locura, ya que PUBG es de pago y, aun así, había conseguido un importante número de jugadores en pocos meses desde su lanzamiento. Millones de jugadores de todo el mundo se lanzaron a probar este modo Battle Royale de Fortnite que los enfrentaba a otros 99 jugadores en partidas llenas de tensión, recopilación de recursos, bailes de lo más curiosos y escopetazos en la cara.

Y entonces, llegaron los delincuentes

Como suele pasar cuando algo tiene éxito, los delincuentes no tardaron en ver el filón que se acababa de presentar ante a ellos. El interés despertado por estos juegos era algo que no se veía desde la fiebre por el Pokemon Go de hace unos años, y era el caldo de cultivo ideal para preparar todo tipo de estafas y ataques con los jugadores de Fortnite como protagonistas.

Así pues, sabiendo que se permiten los micropagos dentro del juego y que estos se realizan con moneda propia (conocida como paVos en su versión española y que puede ser comprada a cambio de dinero real), no tardaron en aparecer aplicaciones de sobra conocidas por usuarios de otros juegos y que nos prometían obtener grandes cantidades de esta moneda. A cambio, solo solicitaban el nombre de usuario y contraseña, datos que los delincuentes utilizarían después para acceder a las cuentas y obtener otros datos más privados como aquellos relacionados con posibles tarjetas de crédito asociadas.

Este tipo de robo de datos se ha venido produciendo de forma casi constante durante los últimos meses y no es extraño ver hilos en foros relacionados con el juego donde varios usuarios se quejan de que han accedido a su cuenta, robado la tarjeta de crédito asociada y realizado compras con ella en la tienda del propio juego para después revender lo obtenido. Un buen ejemplo para ilustrar la necesidad de utilizar, siempre que sea posible, el doble factor de autenticación.

Las versiones para móviles agravan el problema

Sin embargo, los problemas se agravaron cuando se anunció la beta del juego para dispositivos móviles con el sistema iOS de Apple. Debido a la expectación generada por poder jugar a Fortnite en dispositivos móviles, no fueron pocos los usuarios que cayeron en las trampas preparadas por los delincuentes y que ofrecían acceso anticipado al mismo.

Durante algunas semanas pudimos ver como varios usuarios vendían códigos de acceso falsos por pequeñas cantidades de dinero, cantidades que al multiplicarse por el número de jugadores interesados en poder disfrutar del juego antes de su lanzamiento oficial les supuso importantes beneficios.

Ejemplo de invitación fraudulente para probar la beta de Fortnite en iOS – Fuente: BleepingComputer

Sin embargo, esto no fue nada en comparación con lo que sucedería poco tiempo después. Tras el exitoso lanzamiento de la versión para iOS, Epic anunció el desarrollo de una versión para Android. Sabiendo que el número de dispositivos con el sistema operativo de Google es mucho mayor que el de iOS, el éxito parece asegurado. Pero hasta que llegue esta versión aún falta tiempo y la paciencia de los jugadores no es excesivamente elevada.

Malware para Android relacionado con Fortnite

Aprovechando el tiempo que falta hasta que se lance la versión de Android de Fortnite, los delincuentes se han puesto manos a la obra y han desarrollado numerosas variantes de malware que se aprovechan de aquellos usuarios que buscan desesperadamente poder jugar en sus dispositivos al juego de moda.

Un ejemplo de estos ataques lo tenemos en las investigaciones realizadas por la empresa de seguridad ZScaler. En estas investigaciones podemos observar que se han detectado aplicaciones maliciosas que se hacen pasar por Fornite para Android pero que en realidad actúan como software espía robando información personal, mineros de criptomonedas o campañas de publicidad invasiva que generan beneficios a los delincuentes a costa de los usuarios.

Además, de la misma forma que ya vimos en el caso de la versión para PC, para Android también han aparecido falsas aplicaciones que supuestamente permiten obtener monedas para realizar compras en la tienda del juego. Estas aplicaciones sugieren dejar comentarios positivos y calificaciones de 5 estrellas en Google Play para sí no levantar sospechas y atraer a nuevas víctimas.

Ejemplo de aplicación fraudulenta para obtener paVos en Fortnite – Fuente: Zscaler

No hace falta decir que su utilidad es nula, puesto que no solo no obtendremos la cantidad de paVos deseados, sino que además se nos bombardeará con interminables encuestas y se nos sugerirá descargar aplicaciones de dudosa utilidad.

Conclusión

Parece claro que los delincuentes van a aprovechar toda la expectación generada por este y otros juegos para sus actividades delictivas a costa de los usuarios. Independientemente de si se trata de un juego de éxito o de cualquier otro tipo de aplicación, debemos estar atentos ante las posibles amenazas que buscan aprovecharse de la situación, y adoptar las medidas de seguridad necesarias para evitar instalar aplicaciones maliciosas o proporcionar datos privados que puedan ser usados en nuestra contra.

Josep Albors

Descubren dos 0-day que iban a utilizarse en exploits aún en desarrollo

Mié, 05/16/2018 - 11:52

El juego del gato y el ratón en el que suelen participar los creadores de malware y los investigadores especializados en seguridad informática suele dejarnos noticias interesantes. En ocasiones vemos como incluso los delincuentes llegan a dejar mensajes dirigidos a ciertos expertos en análisis de malware o empresas de seguridad dentro del código malicioso. Sin embargo, estos delincuentes también son humanos y cometen errores como el que vamos a analizar hoy.

0-day descubiertos antes de que fueran utilizados

La importancia de adelantarse a las acciones de los delincuentes resulta crucial para tratar de proteger a la mayor cantidad de usuarios posible. Eso lo saben bien los investigadores de las múltiples empresas de seguridad existentes, y por eso cada día revisan cientos de miles de muestras en busca de información que les lleve a detectar amenazas que destaquen sobre el resto.

A finales de marzo de 2018, investigadores de ESET obtuvieron y analizaron una muestra de código malicioso camuflada en un fichero PDF. La investigación de esa muestra demostró que  se aprovechaba de dos vulnerabilidades desconocidas hasta el momento: una ejecución de código remoto en Adobe Reader y una vulnerabilidad que permitía la escalada de privilegios en Windows.

Tal y como sucedía en las vulnerabilidades corregidas por Microsoft en sus boletines de mayo, el uso combinado de estas dos vulnerabilidades es muy peligroso, puesto que permitiría a un atacante ejecutar código arbitrario con los permisos más altos del sistema objetivo y sin apenas interacción del usuario. Este tipo de vulnerabilidades son muy apreciadas por aquellos grupos que utilizan amenazas persistentes y avanzadas (APT por sus siglas en inglés), ya que les facilitan mucho las cosas a la hora de conseguir sus objetivos.

Desde ESET se avisó al Microsoft Security Response Center, al equipo de investigación de Windows Defender ATP y al Adobe Product Security Incident Response Team, y trabajaron junto a ellos para solucionar las vulnerabilidades descubiertas. Actualmente, pueden encontrarse los parches correspondientes tanto por parte de Microsoft como de Adobe.

Analizando las muestras

Los investigadores de ESET liderados por Anton Cherepanov descubrieron el archivo PDF cuando este fue subido a un repositorio público de muestras. Estos repositorios son utilizados por analistas de malware de todo el mundo para subir sus muestras y descargar aquellas que les resulten interesantes. Los delincuentes suelen utilizar servicios privados para evitar compartir sus creaciones, y por eso mismo resulta curioso que los delincuentes subieran su malware en desarrollo a un repositorio público, aunque es perfectamente posible que lo subieran por accidente.

La muestra obtenida no contenía carga maliciosa, lo que podría significar que se descubrió durante una fase temprana de su desarrollo. A pesar de eso, la forma en la que estaba siendo desarrollada demuestra que los delincuentes detrás de su creación tenían un alto nivel en el descubrimiento de vulnerabilidades y en el diseño de exploits.

Tras el análisis se descubrió que los sistemas y aplicaciones vulnerables eran Windows 7, Windows Server 2008 y 2008 R2 por parte de Microsoft, y las aplicaciones Acrobat DC, Reader, y Acrobat 2017 en varias de sus versiones.

Gracias a la investigación realizada por Cherepanov en ESET, podemos conocer los detalles técnicos de cómo los atacantes podrían aprovechar las vulnerabilidades descubiertas en el artículo publicado en el blog oficial de la empresa.

Conclusión

El descubrimiento de estas dos vulnerabilidades 0-day antes de que pudieran ser aprovechadas por grupos de atacantes ha permitido evitar incidentes de seguridad de consecuencias desconocidas. Una vez más se demuestra la importancia de contar con especialistas con experiencia que puedan detectar este tipo de muestras como parte vital en el esquema de ciberseguridad actual.

Josep Albors

X1RedMásSegura VI edición: ayudando y concienciando a los más vulnerables en la red

Lun, 05/14/2018 - 12:30

Un año más tenemos el honor de anunciar la celebración de una nueva edición de las jornadas X1RedMásSegura, la iniciativa sin ánimo de lucro que lleva seis años concienciando y educando en materias relacionadas con ciberseguridad y privacidad en Internet a usuarios de todas las edades. Las fechas de esta edición se han fijado en el viernes 18 de mayo por la tarde y el sábado 19 durante todo el día.

 Ponentes de alto nivel para unas jornadas en familia

Como en las ediciones anteriores, estas jornadas están pensadas para todos aquellos usuarios que normalmente no acuden a congresos de seguridad por temor a no llegar a comprender los temas que suelen debatirse. Por ese motivo, todos los ponentes de estas jornadas preparan sus charlas para que sean comprensibles por todo tipo de usuarios, independientemente del nivel de conocimientos previos del que dispongan.

Las charlas que se han programado cubrirán varios aspectos que nos afectan en nuestro día a día, independientemente de si hacemos un uso intensivo u ocasional de Internet. Dentro de la agenda encontramos a muchos referentes en el mundo de la seguridad en España, que darán consejos útiles para aplicar en nuestro día a día basándose en su dilatada experiencia. Asimismo, tal y como venimos haciendo desde la primera edición, ESET España colabora de forma activa en la organización de estas jornadas y participaremos en una mesa redonda junto a otros fabricantes de antivirus.

Los temas a tratar cubren varios aspectos que, de un modo u otro, nos afectan a todos en nuestro día a día como usuarios de Internet. Desde engaños que utilizan las vulnerabilidades humanas utilizando la ingeniería social hasta consejos para los más jugones, pasando por interesantes mesas redondas e incluso las experiencias de una madre que apoya a su hijo adolescente en su formación como hacker. Todos estos temas y muchos más serán tratados en estas jornadas.

Actividades pensadas para los más pequeños

Actualmente resulta imprescindible educar y concienciar a los más pequeños en el buen uso de la tecnología, para evitar que cometan imprudencias o se vean afectados por alguno de los peligros de Internet. Si bien desde la organización se quiere transmitir la idea de que Internet (y la tecnología en general) tiene muchas más bondades que malicias, nunca debemos menospreciar los posibles peligros a los que podemos enfrentarnos.

Por eso, y para ayudar a los más pequeños a proteger su cibermundo y educarlos en el buen uso de la tecnología, durante todo el sábado  se realizarán paralelamente a las ponencias del auditorio talleres de robótica educativa, programación, retos de hacking para niños, cifrado y descifrado de mensajes, taller musical a ritmo de rap y manualidades.

“Se trata de mostrar a los menores, de forma divertida, trucos sobre Internet y las tecnologías que usan en su día a día para que disfruten de su uso de forma segura”, destacan desde la organización de esta iniciativa altruista. “Mientras tanto, sus padres podrán preguntar todas las dudas que tengan para vivir de forma cibersegura en la empresa y en la familia”, recuerdan.

Inscripción y ubicación

Debido al interés que suelen despertar estas jornadas y al aforo limitado del recinto, recomendamos (si no lo has hecho ya) registrarte lo antes posible de forma totalmente gratuita. Así mismo, recordamos que, tal y como se ha hecho en anteriores ediciones, la organización del evento colaborará con la Fundación Mensajeros de la Paz con una recogida de alimentos solidaria, por lo que se anima a todos los asistentes a que apoyen en la medida de lo posible proporcionando alimentos no perecederos.

En lo que respecta a la ubicación de las jornadas, estas volverán a celebrarse en el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la Universidad Politécnica de Madrid, localizada en la “Ciudad Universitaria”, campus universitario situado en la zona noroeste de Madrid. Puede consultarse un mapa de la zona y la forma de llegar desde la parada más cercana de autobús en este enlace preparado desde la organización.

Esperamos que estas jornadas vuelvan a ser todo un éxito como en años anteriores, y que sirvan para concienciar y ayudar a todos los asistentes para que puedan disfrutar de la tecnología de forma más segura. ¡Os esperamos en X1RedMásSegura VI edición!

Josep Albors

Boletines de seguridad de mayo 2018 de Microsoft, Google y Adobe

Vie, 05/11/2018 - 12:13

Fieles a su cita el segundo martes de cada mes, los parches de seguridad de Microsoft ya están disponibles para su descarga desde el pasado 8 de mayo. Junto a estas actualizaciones también se han publicado las correspondientes a los productos de Adobe, y se suman a las lanzadas por Google para su sistema Android la semana pasada.

Corrección de dos 0day graves en Windows

Entre las más de 60 vulnerabilidades que fueron parcheadas por Microsoft en sus boletines de mayo, encontramos dos que algunos expertos como Sergio de los Santos han calificado acertadamente como «tormenta perfecta».

La primera de estas vulnerabilidades con CVE-2018-8174 es una ejecución remota de código provocada por un fallo en el motor de Windows VBScript, algo que podría permitir a un atacante la ejecución de código arbitrario. Tal y como explicó Microsoft en el boletín de seguridad, si el atacante consigue explotar la vulnerabilidad podría ganar los mismos permisos en el sistema que el usuario que estuviese registrado en ese momento. En demasiadas ocasiones estos permisos son los de administrador, lo que permitiría al atacante tomar el control del sistema por completo.

El peligro de esta vulnerabilidad es que un atacante puede aprovecharla simplemente haciendo que los usuarios visiten un sitio web malicioso o uno legítimo que haya sido comprometido. Se podría explotar incluso a través de anuncios maliciosos o a través de documentos de Office modificados que incluyesen el motor de renderizado de Internet Explorer.

En el caso de que el atacante consiguiese acceder a un sistema pero sin permisos de administrador, existe la posibilidad de utilizar una segunda vulnerabilidad crítica catalogada como CVE-2018-8120 para realizar una elevación de privilegios, vulnerabilidad que ya se ha observado siendo utilizada activamente. En esta ocasión, las versiones más modernas de Windows no se ven afectadas, ya que el parche ha sido lanzado para Windows 7, Server 2008 y Server 2008 R2.

La combinación de estas dos vulnerabilidades permitirían, primero, acceder a un sistema vulnerable con los permisos del usuario registrado en ese momento, y en el caso de no tener permisos suficientes, obtenerlos para tomar el control del sistema y ejecutar código malicioso. Por estos motivos, y porque ya se han observado ataques utilizando estas vulnerabilidades, es  importante aplicar los parches de seguridad lo antes posible.

Vulnerabilidad crítica en Flash Player

Como viene siendo costumbre, Adobe ha publicado sus boletines de seguridad junto a los de Microsoft y, como también viene siendo tradición, ha solucionado una vulnerabilidad crítica con código CVE-2018-4944 en Flash Player. No se han proporcionado detalles, pero se sabe que este fallo permitiría a un atacante la ejecución arbitraria de código con los permisos del usuario registrado en ese momento.

Esta vulnerabilidad se encuentra presente en varias versiones de Adobe Flash Player, incluyendo Flash Player Desktop Runtime y Flash Player para Google Chrome para Windows, Mac y Linux, y Flash Player para Microsoft Edge e Internet Explorer 11 para Windows 10 y Windows 8.1. Adobe recomienda actualizar a las versiones más recientes de su producto para evitar verse afectados.

También se han corregido vulnerabilidades en Adobe Creative Cloud y en Adobe Connect que permitirían la elevación de privilegios y la filtración de información confidencial, por lo que se recomienda actualizar lo antes posible estas aplicaciones.

Parches adicionales para Meltdown en Android

Por su parte, a principios de mes Google publicó su tradicional boletín de seguridad para el sistema Android, en el que solucionaba numerosas vulnerabilidades relacionadas tanto con Meltdown como con componentes de varios fabricantes (Nvidia o Qualcomm entre ellos).

Según indica Google en su boletín, la más grave de estas vulnerabilidades se encuentra en el Media Framework, y podría permitir a un atacante remoto la ejecución de código arbitrario en el contexto de un proceso con privilegios usando un archivo específicamente modificado. No obstante, no se han detectado casos en que esta vulnerabilidad esté siendo activamente explotada

Por lo que respecta a las vulnerabilidades en componentes del Kernel, su explotación por parte de un atacante podría permitir que aplicaciones maliciosas se saltaran las protecciones que implementa el sistema operativo y que se encargan de aislar los datos entre aplicaciones.

Se recomienda instalar estos parches de seguridad a todos aquellos usuarios que reciban actualizaciones directamente a través de Google o del fabricante de su dispositivo. El problema, no obstante, es que muchos usuarios de Android no reciben estas actualizaciones y, por tanto, sus dispositivos se encuentran a merced de los atacantes.

Conclusión

Un mes más hemos tenido nuestra ronda habitual de actualizaciones de seguridad, actualizaciones que deberíamos instalar lo antes posible en entornos domésticos y empezar a probar en entornos controlados dentro de redes corporativas para su aplicación en el menor tiempo posible.

Recordemos que hace un año la lentitud a la hora de implementar este tipo de actualizaciones hizo que el malware WannaCry hiciera estragos en los sistemas de empresas de todo el mundo, algo que debemos tratar de evitar que vuelva a pasar con todos los medios a nuestro alcance.

Josep Albors

Formación sobre seguridad informática en España: recursos y consejos para los futuros profesionales

Mié, 05/09/2018 - 10:31

“¿Dónde puedo formarme en ciberseguridad?” Esta sigue siendo una de las preguntas más repetidas y que oímos tras finalizar alguna ponencia en un congreso o se nos pregunta a través de redes sociales o incluso a través de los comentarios de este blog. De un tiempo a esta parte la oferta ha aumentado considerablemente y el problema ya no es encontrar un curso, grado, máster o certificación sobre ciberseguridad, sino algo que se ajuste a nuestras necesidades, presupuesto u horario.

Actualizando las ofertas de formación reglada

Desde que empezamos a elaborar esta guía hace justo cuatro años, el abanico de posibilidades  para todos los interesados en estudiar una rama relacionada con la seguridad informática en España ha experimentado un importante impulso que pocos imaginábamos.

Actualmente sigue siendo recomendable realizar algún ciclo formativo o grado universitario relacionado con la rama de la informática para tener una base sólida. A pesar de esto, nunca debemos descartar las posibilidades que se ofrecen de forma autodidacta, si bien a la hora de buscar empleo la posesión de un título es todavía muy determinante para muchos responsables de recursos humanos.

En lo que respecta a la formación reglada, no ha habido mucho avance en los últimos años, aunque poco a poco empiezan a aparecer iniciativas como la de la Universidad Rey Juan Carlos con su grado de Ingeniería de la Ciberseguridad, que ha obtenido una valoración favorable para que el grado sea reconocido como oficial, pudiendo realizarse a partir del próximo curso 2018-19.

Además, las universidades españolas ofrecen un amplio catálogo de másters relacionados con la ciberseguridad y seguridad de la información. En alguno de estos másters tenemos el orgullo de estar como profesores, por ejemplo en el de la Universidad de Castilla-La Mancha, donde, entre otras muchas materias, se introduce a los alumnos en el análisis de malware.

Los másters no son la única opción que ofrecen las universidades, ya que también ponen a disposición de todo aquel que lo desee los cursos de especialización. Un ejemplo de esto es el curso de experto en derecho tecnológico e informática forense impartido por la Universidad de Extremadura (en el cual también participamos como docentes), orientado tanto a profesionales del derecho como de la informática que quieran  iniciarse y profundizar en Informática Forense, Derecho Tecnológico, Delitos Informáticos, Hacking Ético y Ciberseguridad.

Certificaciones y cursos para todos los gustos

En el artículo anterior relacionado con la formación en ciberseguridad nombrábamos varias de las certificaciones más valoradas en el mercado, además de algunas centradas en sistemas o tecnologías en concreto. Todas esas certificaciones siguen siendo perfectamente válidas actualmente, aunque la oferta se ha diversificado de forma considerable.

Sin embargo, uno de los problemas que tienen las certificaciones clásicas es que muchas de ellas consisten en estudiarse un temario extenso, entrenarse para el examen con una batería de preguntas que podrían aparecer y realizar una prueba que, en demasiadas ocasiones, consiste en una elevada cantidad de cuestiones con múltiples respuestas a elegir. Este sistema produce que un número elevado de estudiantes que han recibido su certificación olviden buena parte de lo estudiado al poco tiempo, a menos que lo pongan en práctica.

Para evitar, o por lo menos minimizar este efecto, varias certificaciones optaron por incluir prácticas de laboratorio para demostrar que lo estudiado podía llevarse a la práctica en un entorno que simulara uno real. Dando una vuelta de tuerca a este concepto, actualmente nos podemos encontrar con ofertas tan interesantes como la que ofrece la academia Securízame.

Esta empresa, de sobrada experiencia en el mundo de la ciberseguridad y capitaneada por todo un referente como es Lorenzo Martínez, presentó hace unos meses la primera certificación española 100% práctica y presencial pensada para formar profesionales en respuesta ante incidentes usando una metodología de certificación propia.

De esta forma, los alumnos que superen esta certificación serán capaces de afrontar incidentes de seguridad para averiguar cómo se produjeron y cuánto daño causaron, además de generar un informe entregable para que los responsables tomen las medidas adecuadas para evitar que este tipo de incidentes vuelvan a suceder.

Además de esta certificación, desde Securízame y otras empresas relacionadas con la formación en Seguridad informática como The Security Sentinel se ofrecen cursos de pago con varias temáticas para que el alumno se especialice en la rama que más le interese. Muchos de estos cursos pueden realizarse de forma online y la oferta a nivel nacional es elevada, por lo que recomendamos echar un vistazo al catálogo realizado por INCIBE.

La vía autodidacta

Probablemente, el sector de la seguridad informática sea uno donde más autodidactas existan en la actualidad. La rapidez con la que avanzan las técnicas de ataque y defensa y la necesidad de estar constantemente actualizado juegan en contra de la formación reglada, que necesita de tiempo para adaptarse a estos cambios constantes.

Por eso, no es raro encontrarse con profesionales del sector que han estudiado por su cuenta materias que no se impartían en ningún centro educativo. Incluso algunos de estos profesionales han terminado como docentes en los cursos que han ido apareciendo en los últimos años, debido principalmente a la carencia de profesorado especializado en la materia.

El problema del autoaprendizaje es que exige una mayor disciplina y esfuerzo al profesional, pero, por el contrario, permite explorar campos que en muchas de las formaciones no se llegan a tocar o, al menos, no en la profundidad que se desearía. Sin embargo, de la misma forma que los cursos y certificaciones han aumentado exponencialmente, también lo han hecho los cursos gratuitos disponibles.

Ahora mismo, no es difícil encontrar cursos online gratuitos de todo tipo que permiten aprender materias de lo más interesantes. Incluso desde ESET se ofrecen este tipo de cursos online gratuitos que podemos realizar y que se adaptan tanto a los intereses de un futuro experto en ciberseguridad como a los de un usuario medio dentro de una empresa.

SI necesitamos de un apoyo  para esa materia que se nos resiste podemos optar por una gran cantidad de manuales online y complementarlo con algo más clásico pero igualmente efectivo como son los libros publicados por la editorial 0xWord, siendo algunos de ellos todo un referente entre los usuarios de habla hispana.

Además de todo lo mencionado hasta ahora, no debemos olvidar la gran cantidad de blogs disponibles para cualquiera que quiera aprender seguridad informática. Hace un tiempo hicimos un repaso a alguno de los blogs más destacados en español, y aunque ya entonces se quedaron muchos en el tintero, es un buen punto para empezar a leer a referentes en el mundillo de la ciberseguridad.

Pero no todo va  a ser teoría, ya que la seguridad informática es algo que se debe poner en práctica. Tenemos que conocer cómo evolucionan las técnicas y herramientas utilizadas por los atacantes tanto para defendernos de ellas como para utilizarlas en labores de auditoría y pentesting. Por eso, es importante contar con recursos que nos permitan practicar nuestros conocimientos y la lista elaborada hace un tiempo por los compañeros de Hack Players es un muy buen comienzo.

Por último, no debemos olvidar los numerosos congresos de ciberseguridad que pueblan la geografía española, siendo difícil que no tengamos uno cerca de nuestro lugar de residencia. Estos congresos son una muy buena fuente de conocimientos y nos permiten conocer a profesionales que son referentes en su campo y de los cuales podemos aprender muchas cosas, como, por ejemplo, hacia dónde orientar nuestro futuro profesional.

Conclusión

Como acabamos de ver, las opciones para adentrarse en el mundo de la seguridad informática son múltiples y variadas. Sin embargo, hay algo que todo aquel que quiera dedicarse a este sector profesional debe tener muy en cuenta, y es que este es un proceso de aprendizaje continuo. De nada sirve estudiar durante un tiempo para sacarse un grado o una certificación si luego esos conocimientos no se ponen en práctica y se reciclan constantemente.

Esperamos que esta humilde guía haya servido de orientación y, aunque sabemos que nos dejamos mucha información en el tintero, esperamos poder actualizarla periódicamente para mostrar las nuevas opciones que continuamente van apareciendo.

Josep Albors

Photo credit: J. Paxon Reyes / Foter / Creative Commons Attribution-NonCommercial 2.0 Generic (CC BY-NC 2.0)

Campañas de cryptojacking afectan a cientos de webs con instalaciones vulnerables de Drupal

Mar, 05/08/2018 - 11:48

Durante finales de marzo y todo el mes de abril se descubrieron numerosas vulnerabilidades en el gestor de contenidos Drupal que permitían tomar el control de los sitios webs afectados y, entre otras cosas, incluir código malicioso que afectara a los usuarios que visiten una de estas webs comprometidas. En ese momento ya se avisó de los riesgos que se corrían si no se actualizaban las webs a versiones no vulnerables, y durante los últimos días estamos viendo algunas de sus consecuencias.

Cientos de webs afectadas, algunas de gran renombre

Con la publicación de las vulnerabilidades CVE-2018-7600 y CVE-2018-7602 y de una prueba de concepto, era cuestión de tiempo que los delincuentes empezasen a aprovecharse de las miles de webs vulnerables que aún no han sido actualizadas por sus administradores. De hecho, pocas horas después de publicarse la mencionada prueba de concepto se vieron los primeros casos.

Conforme han ido pasando las semanas, el número de webs afectadas y su importancia ha ido en aumento, y durante el pasado fin de semana han aparecido investigaciones como la realizada por Troy Musch en su blog, donde ha explicado con detalle en qué consiste el ataque, además de proporcionar información acerca de muchas de las webs afectadas.

Ejemplo de minado no autorizado en la web del Zoo de San Diego – Fuente: badpackets.net

Entre las webs afectadas se encuentran algunas pertenecientes a empresas y administraciones de cierta importancia como la del Zoo de San Diego, la gobernación de la ciudad mexicana de Chihuahua o un web relacionada con la hacienda turca, por poner solo tres ejemplos. Entre todas estas webs encontramos también alguna española de cierta relevancia, información que ya está siendo estudiada por los organismos responsables para avisar a las empresas y particulares afectados.

No es extraño encontrar webs españolas entre las afectadas, ya que nuestro país sigue ocupando las primeras posiciones en las tasas de detección de este tipo de malware, tal y como podemos observar en el siguiente mapa realizado con datos obtenidos del servicio ESET Virus Radar.

Detección de amenazas relacionadas con la minería no autorizada durante las últimas semanas – Fuente: Virus Radar

Analizando el ataque

El funcionamiento de este ataque es relativamente sencillo, ya que se aprovechan las vulnerabilidades existentes en sitios gestionados por una versión de Drupal desactualizada para inyectar código javascript que apunta a una dirección en concreto que utiliza el servicio de Coinhive.com. Este servicio lleva meses dando de que hablar, puesto que es uno de los más utilizados por los delincuentes para conseguir que los usuarios que visiten una web infectada dediquen sus recursos al minado de criptomonedas de forma involuntaria.

La investigación de Musch demostró que en esta campaña se estaba utilizando una librería de Javascript en concreto: “/misc/jquery.once.js?v=1.2”. La búsqueda de más sitios que incorporasen esta librería fue lo que le permitió a este investigador descubrir cientos de webs comprometidas que estaban minando sin permiso de los usuarios que las visiten.

Desofuscando el código original y obteniendo el javascript de minado – Fuente: badpackets.net

El código malicioso se encuentra ofuscado para dificultar su detección, pero una vez desofuscado, vemos cómo hace referencia al enlace http://vuuwd[.]com/t.js, el cual, tras una investigación para averiguar datos acerca de quién lo registró o en qué otras campañas había estado relacionado, demostró que llevaba algunos días relacionado con la minería de la criptodivisa Monero.

Campañas anteriores de minado relacionadas con el dominio malicioso – Fuente: badpackets.net

En estos casos resulta destacable que el código de minado utilizado estaba configurado para no provocar una carga excesiva en los recursos del sistema y, de esta manera, pasar desapercibido el mayor tiempo posible. Es muy probable que los delincuentes detrás de esta campaña sepan de la importancia de algunas de las webs que habían logrado comprometer, y prefieran afectar en menor medida a muchos usuarios que abusar y que se detecte fácilmente cuándo una web de estas características está minando.

Formas de evitar estos incidentes

A la hora de prevenir que este tipo de campañas maliciosas de minería no autorizada sigan propagándose, los administradores de sitios web gestionados con Drupal tienen una gran responsabilidad. A pesar de la gravedad de las vulnerabilidades aparecidas durante las últimas semanas y de haberse publicado nuevas versiones seguras de este gestor de contenidos, siguen siendo muchas las webs que no han aplicado las actualizaciones.

Como usuarios podemos protegernos  e impedir que se aprovechen nuestros recursos de forma no autorizada de varias formas. La primera de ellas pasa por contar con una solución de seguridad que sea capaz de detectar el código de minado en aquellas webs donde se encuentre, tanto de forma legítima como no. Las soluciones de seguridad de ESET permiten detectar muchos de estos casos, tal y como vemos a continuación.

Como capas adicionales de seguridad podemos instalar complementos en nuestro navegador, como el proporcionado como NotMining.org, que también analiza y bloquea posibles intentos de minado no autorizado. Además, gracias al servicio  que proporciona esta iniciativa hemos podido comprobar que la gran mayoría de webs que figuran en el listado inicial de Troy Musch siguen infectadas.

Conclusión

Tal y como acabamos de comprobar, el minado de criptomonedas sigue interesando a los delincuentes y, a corto plazo, no parece que vayan a cesar campañas como la que acabamos de analizar. Toca, por tanto, adoptar medidas para protegernos, ya que, aunque este tipo de amenazas no parezcan tan graves como otras como el ransomware, generan numerosos problemas a usuarios particulares y empresas de todo el mundo.

Josep Albors

Nuevo phishing de Netflix intenta obtener los datos de nuestra tarjeta de crédito

Lun, 05/07/2018 - 12:46

Los intentos de los delincuentes por obtener datos privados como los de nuestra tarjeta de crédito son algo con lo que venimos lidiando desde hace tiempo. Durante los últimos años hemos visto cómo las técnicas se han ido adaptando para que el engaño resulte convincente y así conseguir un buen número de víctimas.

Netflix como gancho

El último ejemplo que hemos recibido durante el pasado fin de semana tiene como protagonista al conocido servicio de vídeo bajo demanda Netflix, similar al caso que observamos a principios de año. No cabe duda de que la creciente popularidad de este servicio en los países en los que opera hace que sea un gancho perfecto para atraer a las posibles víctimas.

Es por ese motivo que no nos extrañamos cuando recibimos en nuestro laboratorio un correo electrónico que decía provenir de Netflix, y en el que se nos indicaba que la tarjeta de crédito utilizada para pagar el servicio había sido desactivada temporalmente por motivos de seguridad.

Como siempre debemos hacer cada vez que recibamos un correo sospechoso de este tipo, vamos a detenernos a analizar los puntos clave que nos van a indicar que estamos ante un correo falso. Y es que, a pesar de utilizar el logo de la empresa, este correo contiene numerosos errores fáciles de detectar por cualquiera que preste un mínimo de atención.

Fijémonos, por ejemplo, en el remitente del correo: por mucho que diga provenir de Netflix, vemos como la dirección de correo no tiene nada que ver. En esta ocasión ni siquiera se han molestado en suplantarla realizando spoofing, por lo que es fácil detectar que estamos ante una engaño. Además, el texto del mensaje presenta fallos en la acentuación, típicos de haber sido escrito con una codificación de caracteres diferente a la española.

Por último, si revisamos el enlace al que se nos pretende redirigir al pulsar sobre el botón, observaremos de nuevo que no tiene nada que ver con Netflix. Todos estos detalles son motivos más que suficientes para descartar este mensaje y enviarlo a la papelera de reciclaje.

Robo de datos

Si a pesar de los indicios de que nos encontramos ante un engaño decidimos seguir adelante y pinchamos sobre el enlace proporcionado, nos encontraremos ante una web que nos solicitará nuestra dirección de correo electrónico. En esta web también podemos observar varios puntos que nos deberían hacer sospechar.

Por una parte tenemos la URL del sitio web, que no se corresponde con ninguna web oficial de Netflix. Este detalle es bien visible para los usuarios que accedan a ella, ya que los delincuentes no se han molestado en hacer pasar la web por legítima. Además, se indica que el pago se realizará en reales brasileños, algo que sirve de pista para suponer que esta campaña se está utilizando tanto en España como en Latinoamérica, y que los delincuentes detrás de esta no han cambiado todos los detalles de la plantilla utilizada para adaptarla a cada país.

Una nueva prueba de esta falta de detalle la vemos en la siguiente web que se nos muestra una vez se ha introducido una dirección de correo electrónico, ya que la frase donde se nos invita a introducir los datos de nuestra tarjeta de crédito está escrita en portugués (junto a algún campo del formulario como el CVV).

Si somos lo suficiente inconscientes de rellenar todos los campos, habremos proporcionado información suficiente a los delincuentes para que realicen cargos en nuestra tarjeta de crédito sin nuestra autorización. Además, se nos redirigirá a la web oficial de Netflix para no levantar más sospechas, a pesar de haber dejado indicios más que de sobra como para hacerlo.

Conclusión

Por las pistas que han dejado los delincuentes, todo apunta que esta campaña ha estado propagándose durante estos días por países de habla hispana y portuguesa. Desconocemos su éxito, pero si los usuarios se fijan mínimamente es difícil que caigan en la trampa, puesto que los indicios de que se trata de un phishing y no de un correo legítimo son numerosos, solo hay que fijarse un poco, tal y como acabamos de indicar, y los encontraremos.

Josep Albors

Twitter recomienda cambiar la contraseña a todos sus usuarios por precaución

Vie, 05/04/2018 - 12:27

Justo ayer, 3 de mayo, celebramos el día mundial de la contraseña, y a última hora del día parece que Twitter quiso sumarse a la celebración recomendando a sus más de 330 millones de usuarios que cambiasen sus contraseñas. Debido a la alarma generada entre algunos usuarios, vamos a explicar los motivos que hay detrás de este repentino anuncio.

Twitter lanza la alerta

Si hay algo que destacar sobre el anuncio de ayer de Twitter, fue la sorpresa generalizada de prácticamente todos los que recibimos un mensaje como el que mostramos a continuación en nuestro ordenador o smartphone:

Este tipo de alertas no es algo que suela producirse a menudo, por lo que, poco después de recibir el aviso, muchos estaban buscando información relacionada con incidentes de seguridad que pudieran haber afectado a Twitter recientemente. No obstante, desde la empresa prepararon una entrada en su blog explicando lo sucedido y recalcando que esta medida se había adoptado de manera preventiva.

Al parecer, el problema radica en la existencia de un fallo cuando Twitter cifra las contraseñas de los usuarios mediante el clásico proceso de hashing (y para el cual utilizan bcrypt). Cuando estas contraseñas quedan almacenadas de forma cifrada también se guardaban las originales en texto plano en un registro interno de sus sistemas antes de completar todo el proceso, permitiendo saber la contraseña de cada usuario accediendo a este fichero.

Una vez los técnicos de Twitter hubieron identificado el problema, eliminaron el registro de las contraseñas en texto plano y tomaron medidas para que este error no se volviera  a producir de nuevo. De momento no hay indicios que nos hagan pensar que este registro de contraseñas en texto plano haya podido ser comprometido pero, por si acaso, es recomendable que cambiemos nuestras contraseñas.

Tomando medidas

Tal y como indicamos en el post de ayer, a la hora de proteger un servicio online como Twitter debemos tener en cuenta varios puntos:

  • Cuando vayamos a generar la nueva contraseña para Twitter debemos asegurarnos de que es lo suficientemente larga y robusta como para que no pueda ser adivinada por fuerza bruta. Asimismo, no debemos utilizar datos o información personal como referencia, ya que los delincuentes pueden seguirnos en redes sociales y utilizar lo que publicamos para tratar de adivinar nuestra contraseña.
  • No debemos reutilizar esta contraseña en otros servicios online, y en caso de que estuviésemos usando la anterior en varios sitios, debemos cambiarla y usar una para cada uno.
  • Es muy recomendable activar el doble factor de autenticación tanto en Twitter como en todos aquellos servicios que lo permitan y estemos utilizando. Para activarlo en Twitter, podemos seguir las instrucciones que se nos ofrecen desde su centro de ayuda.
  • Si nos cuesta recordar varias contraseñas robustas podemos utilizar gestores de contraseñas como Dashlane, LastPass o 1Password, o como los que incorporan algunas soluciones de seguridad como ESET Smart Security Premium.

Aplicando estas medidas a la hora de gestionar nuestras contraseñas nos evitaremos problemas de seguridad no solo en Twitter, sino en todos los servicios en los que se nos solicite unas credenciales de acceso.

Conclusión

El aviso preventivo de Twitter muy probablemente sirva para que muchos usuarios mejoren la seguridad de sus contraseñas, a pesar de no tener evidencias de que las contraseñas almacenadas en texto plano hayan sido comprometidas. No obstante, no debemos esperar a que se lancen este tipo de alertas para proteger nuestras cuentas de forma segura, aunque puede ser un buen momento para revisarlo.

Josep Albors

Día mundial de las contraseñas: ¿por qué seguimos fallando en lo más básico?

Jue, 05/03/2018 - 12:17

Cada primer jueves de mayo se celebra el día mundial de la contraseña, un día para recordar la importancia que tiene el uso de contraseñas en el uso de servicios en Internet y en la protección de numerosos dispositivos. El número de contraseñas que un usuario medio debe recordar ha ido creciendo constantemente durante los últimos años, y por eso no es extraño ver cómo muchos optan por usar contraseñas sencillas y fáciles de recordar o, directamente, usar la misma contraseña en todos lados.

Contraseñas y su problemática

Si revisamos los servicios a los que está suscrito o los dispositivos de los que dispone un usuario actualmente, veremos que el número ya representa una cifra considerable como para asumir que todo el mundo puede memorizar todas sus contraseñas y pines (asumiendo que todos ellos sean diferentes).

Si empezamos a sumar contraseñas de servicios online, códigos para acceder a nuestro smartphone o tablet y el pin de nuestras tarjetas de crédito, veremos cómo el resultado es lo suficientemente elevado como para comprender por qué un alto número de usuarios desiste de seguir las reglas propuestas durante años y asume los numerosos riesgos que supone tener una contraseña débil y de compartirla entre varios servicios.

Por este motivo, no es extraño que, año tras año, nos encontremos prácticamente con las mismas contraseñas en el ranking de las más utilizadas. Ejemplos como 123456, password o qwerty son algo con lo que venimos lidiando desde hace tiempo, y, hasta que no se adopte de forma mayoritaria otro método de autenticación, seguiremos viendo.

Soluciones prácticas

Aun a riesgo de parecer repetitivos, vamos a recordar una vez más los ingredientes que conforman una contraseña segura de la mano de nuestra responsable de comunicación, Laura Grau:

Como acabamos de ver,  una de las claves de una contraseña segura es su longitud, ya que a mayor número de caracteres, más difícil es adivinarla por fuerza bruta probando diferentes combinaciones. Si bien 8 caracteres es lo mínimo exigible para una contraseña robusta, este número ya se está quedando corto para cierto tipo de ataques y deberíamos empezar a considerar crear contraseñas de 12 caracteres como mínimo.

Además, tan importante como crear una contraseña segura es saber mantenerla a salvo de miradas indiscretas. Por eso es importante no compartirla alegremente con personas que no sean de nuestra plena confianza o apuntarla en lugares que sean fácilmente accesibles como libretas o notas pegadas en nuestro monitor o escritorio.

Y aunque nos dé mucha pereza, es conveniente cambiarla cada cierto tiempo, ya que nuestra contraseña puede haber aparecido en alguna de las múltiples filtraciones que se producen cada año. Una buena práctica consiste en revisar periódicamente servicios como HaveIbeenPwned introduciendo nuestro email para ver si se han podido comprometer las credenciales de acceso de algún servicio online que utilicemos.

Si hay algo que ha evolucionado para hacernos la vida un poco más fácil a la hora de autenticarnos, son los sistemas biométricos. Poco a poco van apareciendo servicios que nos permiten identificarnos con nuestra huella dactilar o nuestra cara desde un dispositivo móvil. Sí, sabemos que estos sistemas no son perfectos y que hay ataques que han resultados exitosos a la hora de suplantar a una persona mediante estos datos, pero la mayoría de ellos no han dejado de ser demostraciones presentadas en conferencias de seguridad y ni permiten utilizarse a gran escala.

Sin embargo, uno de los sistemas que más ha mejorado la seguridad a la hora de autenticarse es el que se conoce como doble factor de autenticación. Mediante una aplicación tan sencilla como Google Authenticator podemos dotar de una capa adicional de seguridad a servicios tan críticos como el correo electrónico, o a aspectos más lúdicos de nuestra vida online como nuestra librería digital de videojuegos, sin olvidar las redes sociales, claro está.

Por último, no debemos olvidar a los prácticos gestores de contraseñas. Actualmente podemos elegir entre varias opciones e incluso algunas de las soluciones de seguridad como ESET Smart Security Premium ofrecen esta funcionalidad entre sus características. Son muy prácticas si seguimos la recomendación de crear contraseñas robustas y únicas para cada servicio pero nuestra memoria no nos permite recordarlas todas. Es cierto que han tenido incidentes ocasionales relacionados con su seguridad, pero, aun así, es mucho más seguro utilizarlos que usar contraseñas sencillas y reutilizarlas.

Conclusión

Un día como hoy debe servirnos para recordar la importancia que siguen teniendo actualmente las contraseñas, adoptar buenas prácticas si aún no lo hemos hecho y probar alguna de las alternativas propuestas para mejorar su seguridad. Si conseguimos que tanto nosotros como nuestros conocidos apliquen, aunque sea solo uno, los consejos ofrecidos en este artículo, ya habremos conseguido una mejora sustancial.

Josep Albors

Nuevo scam utiliza a Mercadona como gancho para obtener credenciales de correos y datos de tarjetas de crédito

Mié, 05/02/2018 - 12:56

La utilización de marcas conocidas como gancho para atraer usuarios es una técnica que viene utilizándose desde hace varios años por parte de los delincuentes. Una de las marcas que mejor reputación tiene entre los usuarios españoles es la de la cadena de supermercados Mercadona, y por eso mismo no nos extraña que vuelva a ser utilizada como cebo para una nueva campaña de scam.

Cupones regalo que esconden algo turbio

En este mismo blog ya hemos analizado campañas anteriores donde se utilizaba el nombre de Mercadona ilícitamente para suscribir a los usuarios a números de tarificación especial mediante emails fraudulentos. También han sido numerosas las campañas propagadas a través de WhatsApp en la que se nos prometía un cupón de una cantidad importante de dinero a gastar en este supermercado, pero que realmente terminaba en encuestas inacabables o en la descarga de aplicaciones de dudosa utilidad.

En esta ocasión nos encontramos ante un email que nos indica que hemos resultado seleccionados para recibir una tarjeta regalo de Mercadona por valor de 500€. Un rápido análisis a este correo nos debería hacer sospechar, ya que su remitente no tiene nada que ver con esta empresa y el email está enviado desde una dirección personal.

No obstante, este supuesto premio puede resultar interesante para muchas personas que no reparen en los indicios evidentes de que se encuentran ante un engaño. Si además se añade la posibilidad de acceder a una web desde la que ver películas y series de televisión (sin relación alguna con Mercadona), es probable que pique más de un ingenuo.

En el correo se adjunta un enlace acortado desde el cual podremos acceder a la web preparada para la ocasión. Que el enlace al que se nos redirige no se muestre en el correo no permite saber a qué web se nos va a enviar a menos que pulsemos sobre él o utilicemos un alargador de enlaces.

Obtención de credenciales de correos y tarjetas de crédito

En esta ocasión, el principal problema para los usuarios que pulsen sobre el enlace proporcionado es que pongan en riesgo datos privados como sus credenciales de acceso a su correo y los de su tarjeta de crédito. Por ejemplo, en la web preparada para recibir a todos los que hayan hecho clic sobre el enlace acortado podemos ver que se solicita un email y una contraseña, que no tiene por qué ser la de nuestro email, pero seguro que no pocos usuarios la introducen.

De esta forma, los creadores de esta campaña consiguen utilizar los correos electrónicos de aquellos que han introducido sus credenciales para, por ejemplo, seguir reenviando este tipo de scams a sus contactos y hacer que se recluten nuevas víctimas potenciales. Todo esto se podría evitar si nos fijásemos en el dominio utilizado, que no tiene nada que ver con Mercadona por mucho que utilice su imagen corporativa.

En el segundo paso, podemos observar cómo se nos ofrece una suscripción al servicio de streaming de vídeo que tampoco tiene nada que ver con Mercadona, y se nos piden datos personales entre los que se incluyen los de nuestra tarjeta de crédito. Antes de hacer nada y rellenar formularios con datos personales, revisemos primero si nos encontramos ante una web de confianza, por mucho candado y conexión segura que muestre, ya que podemos estar ante un engaño que puede costarnos más de un disgusto.

De hecho, a pesar de que se nos indica varias veces que no se realizarán cargos no autorizados, buscando un poco en Internet encontramos varios comentarios de usuarios a los que se les cobró esta suscripción sin que ellos la hubiesen autorizado. Además, revisando la reputación de la web podemos comprobar que esta no es especialmente buena, un indicativo más que suficiente para evitar introducir cualquier dato personal en ella.

Conclusión

Este tipo de engaños buscan conseguir datos de sus víctimas de la manera más sencilla posible y, aunque parezcan muy similares a los vistos hace tiempo, hay un par de puntos a tener en cuenta para ver cómo han evolucionado. El primero es la redacción del email utilizado como cebo, y es que no se observan faltas de ortografía, ausencia de tildes o una construcción extraña de las frases, algo que puede ayudar a convencer a los más prevenidos frente a estos engaños.

No obstante, el aspecto más destacable es la utilización cada vez mayor de certificados para conseguir una conexión segura con la web maliciosa. Muchos usuarios siguen confiando ciegamente en una URL cuando ven el icono del candado o las siglas HTTPS cuando, en realidad, lo único que se está certificando es que el envío y recepción de datos se está realizando por un canal seguro, no que la web en sí sea segura.

Estas dos mejoras demuestran una evolución en estos scams que, si bien siguen siendo fáciles de detectar para el usuario prevenido, pueden hacer caer en la trampa a más usuarios que antes, por lo que debemos andar con mucho cuidado.

Josep Albors

 

Telesillas expuestos en Internet y los riesgos de la conexión sin control de dispositivos

Lun, 04/30/2018 - 12:53

Los aficionados al esquí españoles han disfrutado de una de las mejores temporadas que se recuerdan en los últimos años, y aún durante este puente del primero de mayo habrá unos cuantos que aprovechen para despedirse de la nieve. Por su parte, los responsables de las estaciones cierran una temporada excelente pero, ahora que se empiezan a realizar los mantenimientos pertinentes, no estaría de más revisar los sistemas que se encargan de controlar los telesillas para evitar accesos no autorizados que pudieran causar problemas graves a los esquiadores.

Paneles de control demasiado expuestos

Muchos de nosotros recordaremos las sobrecogedoras imágenes que se mostraron a mediados de marzo donde un telesilla en la estación de esquí de Gudauri, Georgia, funcionaba fuera de control y lanzaba a los esquiadores por los aires cuando no los dejaba atrapados en un amasijo de hierros.

Este incidente se atribuyó a un mal funcionamiento del telesilla y quedó como algo aislado hasta ahora. Recientemente, los investigadores de seguridad Tim Philipp Schäfers y Sebastian Neef han descubierto un panel de control de un sistema de telesillas perfectamente accesible desde Internet y que está ubicado en la estación de esquí Patscherkofelbahn, Austria.

Aunque no parece haber ninguna relación, da la casualidad de que tanto el telesilla de la estación de Georgia como el del ubicado en Austria son del mismo fabricante. Esta información ha llamado la atención de varios medios y, aunque no se disponga de pruebas, es posible que veamos hipótesis que relacionen el incidente de Georgia con un ataque en lugar de un accidente.

Tampoco resulta extraño encontrarnos paneles de control encargados de controlar dispositivos de todo tipo expuestos alegremente en Internet. Una búsqueda en Shodan, FOFA o ZoomEye puede devolvernos resultados más que interesantes si sabemos lo que buscar. El problema surge cuando estos dispositivos pueden afectar directamente a la salud o integridad de las personas.

Reportando el descubrimiento

El descubrimiento de un panel de control de este tipo no es algo que se deba tomar a la ligera, y los investigadores informaron de forma responsable al CERT austriaco para que tomasen las medidas oportunas. Una vez recibida toda la información, esta se reenvió a los contactos en Innsbruck que desconectaron el telesilla para evitar posibles incidentes y empezaron a realizar una auditoría de seguridad.

Uno de los investigadores informó en una entrevista que el panel de control web estaba accesible sin necesidad de autenticarse y a través de una conexión sin cifrar. Además, el software utilizado para gestionar los telesillas no se encontraba actualizado, algo que un atacante podría aprovechar para explotar alguna vulnerabilidad.

Por ejemplo, un atacante con acceso a este panel de control podría modificar varios parámetros críticos, como la velocidad a la que se desplaza el telesilla, la distancia entre las cestas ocupadas por los esquiadores o la tensión del cable. Una mala configuración en alguno de estos parámetros podría causar un accidente con consecuencias graves para los ocupantes.

Conclusión

Este caso es solo un ejemplo de los muchos sistemas más o menos críticos que nos podemos encontrar conectados a Internet sin ninguna o pocas medidas de seguridad implementadas. La labor realizada por este par de investigadores, descubriendo e informando de forma responsable para evitar incidentes, es algo digno de alabar y que las empresas deberían tomar en cuenta para evitar posibles incidentes.

Josep Albors