• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Un hacker poco habilidoso consigue hacerse con documentos del ejército de Estados Unidos

Inskit Group, que es parte de la empresa de investigación en seguridad Recorded Future, ha encontrado un vendedor que dice tener información “muy sensible” sobre el dron militar estadounidense MQ-9. Dicha información se está vendiendo en la dark web por el precio de 150 dólares (sí, hablamos de unidades).

El precio resulta realmente sorprendente si tenemos en cuenta que los documentos de procedencia militar suelen ser bastante caros en la dark web, ya que revelan planes y proyectos que muchas veces son secretos o se intentan gestionar con la mayor discreción posible. Sin embargo, parece que Insikt Group ha podido constatar la validez de lo que ha descubierto tras establecer contacto, además de saber cómo obtuvo el hacker dichos documentos.

El hacker ha contado a los analistas que explotó un fallo de seguridad conocido en el protocolo FTP en los routers de Netgear. Para hallar los routers en uso vulnerables utilizaron el buscador Shodan, descubrieron que algunos contenían un fallo que fue descubierto hace dos años. El atacante consiguió acceso a la computar de un capitán del 432d Aircraft Maintenance Squadron Reaper AMU OIC, situado en una base en el estado de Nevada. La situación termina siendo un tanto irónica si tenemos en cuenta que la persona afectada había completado recientemente el Cyber Awareness Challenge (Desafío de Concienciación Cibernética), pero parece que falló a la hora de proteger adecuadamente la contraseña del FTP al haber dejado la establecida por defecto.

El hacker consiguió a través de este router comprometido robar información sensible, incluyendo libros de cursos de mantenimiento de Reaper y la lista con los aviadores asignados al Reape AMU. Si bien no se trata de una información clasificada, sí podrían dar una ventaja a un adversario a la hora de combatir contra un dron. A lo mencionado hasta aquí también se suman documentos militares aparentemente robados a algún empleado del Pentágono o el ejército estadounidense.

Entre la documentación que Inskit Group ha podido obtener, se encuentran más de una docena de manuales de entrenamiento que describen tácticas improvisadas para desactivar dispositivos explosivos, un manual de operaciones del tanque M1 ABRAMS, un manual de entrenamiento y supervivencia de tripulantes y tácticas de pelotón de tanques.

Otro aspecto a tener en cuenta es que, según Inskit Group, el hacker tras esta hazaña no es especialmente habilidoso, por lo que el hecho de que haya descubierto vulnerabilidades en los sistemas de ciberdefensas del Ejército de Estados Unidos para luego filtrar documentos deja en evidencia la calidad de dichas barreras. De haber sido otro hacker o un grupo de hackers más habilidoso, las consecuencias podrían haber sido mucho peores.

Fuente: The Inquirer

por Eduardo Medina Fri, 13 Jul 2018 16:14:14 +0000

Spectre 1.1 y 1.2: dos nuevas vulnerabilidades contra los procesadores modernos

Si bien Meltdown fue el el vector de ataque que más ruido generó en su momento debido a que impactó fuertemente contra los procesadores de Intel, en realidad el peligro lo tenía Spectre, cuyas vulnerabilidades asociadas están dando bastantes dolores de cabeza a los expertos en seguridad debido a es imposible de acabar de forma definitiva con él, dejando margen solo para la incorporación de mitigaciones que deben ser incorporadas a todos los niveles, tanto en sistemas operativos (incluyendo el kernel), drivers, herramientas y aplicaciones.

En el mes de mayo del presente año se reconoció la existencia de nuevas variantes de Meltdown y Spectre, dejando la puerta abierta a teorizar que la seguridad de las CPU es algo a lo que nunca se le ha prestado mucha atención. Más recientemente, se han revelado detalles sobre nuevas vulnerabilidades que han recibido los nombres de Spectre 1.1 y Spectre 1.2.

Al igual que en los casos anteriores, Spectre 1.1 y Spectre 1.2 se aprovechan de la ejecución especulativa, una característica que permite a las CPU modernas mejorar el rendimiento mediante el cálculo de operaciones por adelantado y luego descartar los datos innecesarios. Según los investigadores que han descubierto estas nuevas vulnerabilidades, Spectre 1.1 utiliza la ejecución especulativa para enviar código que termina provocando un desbordamiento de los buffers de la caché de la CPU para escribir y ejecutar código malicioso con el fin recuperar datos de secciones de la CPU que previamente habían sido aseguradas.

Spectre 1.1, también es conocido como Bounds Check Bypass Store (BCBS) , es similar a las variantes 1 y 4 de este vector de ataque, aunque con la salvedad de que “actualmente no hay análisis estáticos efectivos o instrumentos de compilación disponibles para detectarla o mitigarla genéricamente”. De momento se sabe que afecta a millones de unidades de CPU procedentes de Intel y ARM, aunque AMD todavía no ha confirmado nada a pesar de que todo apunta a que sus CPU se han visto igualmente afectadas.

Este desbordamiento del buffer abriría la puerta a que atacantes locales puedan ejecutar código arbitrario no confiable sobre un sistema vulnerable que se esté ejecutando sobre una CPU que haga uso de la ejecución especulativa o la predicción de saltos con el fin de exponer datos sensibles mediante un análisis de canal lateral o bien desbordamiento especulativo del buffer.

Sobre Spectre 1.2, puede ser explotada para escribir en los sectores de la memoria de la CPU que normalmente están protegidos con flags de solo lectura, esto hace que el aislamiento (sandboxing) que dependa del hardware de la memoria de solo lectura se vuelva infectectivo. Su explotación es similar al de otras vulnerabilidades vinculadas a Meltdown y Spectre, que requieren de la presencia de código malicioso en el PC de la víctima, algo que limita su alcance. Al igual que Spectre 1.1, solo se ha podido confirmar que Intel y ARM están afectados, no descartando la posibilidad de que AMD también lo esté.

Como medidas de mitigación, los investigadores han recomendado la aplicación de la familia de mitigaciones a nivel de microarquitectura SLoth contra Spectre 1.1, que afortunadamente puede ser mitigado totalmente mediante una actualización del microcódigo de los procesadores. Mientras, Spectre 1.2 puede ser mitigado en futuros procesadores con la implementación de la característica de protección Rogue Data Cache Store.

Como ya hemos dicho al principio, las vulnerabilidades ligadas a Spectre tienen que ser mitigadas a todos los niveles. Esto quiere decir que el evitar su impacto en los sistemas no solo es responsabilidad de los fabricantes de CPU, sino también de los desarrolladores de sistemas operativos, aplicaciones, drivers y herramientas de software como compiladores. Aquí, Microsoft, Oracle y Red Hat ya han anunciado que están investigando cómo afecta Spectre 1.1 a los datos manejados a través de sus productos para así implementar las mitigaciones correspondientes.

El equipo de investigadores tras el descubrimiento de Spectre 1.1 y 1.2 ha recibido 100.000 dólares a través del programa de recompensas de Intel en HackerOne, que fue modificado en febrero del presente año con el fin de incentivar la búsqueda y detección de vulnerabilidades de tipo canal lateral.

Fuentes: Softpedia y BleepingComputer

por Eduardo Medina Thu, 12 Jul 2018 14:35:34 +0000

El coste medio de las brechas de datos se sitúa en los 3,86 millones de dólares

Las brechas de datos se han convertido en una de las principales preocupaciones para las empresas. El reto que suponen, además del gran daño que pueden ocasionar, no solo ha hecho que hayamos visto casos escandalosos como los de Yahoo y myspace, sino que han servido de motivación para su regulación mediante el GDPR. Aunque las grandes compañías son las que acaparan los titulares, la realidad es que son las pymes las que peor lo llevan para defenderse de las brechas de datos.

Según un estudio llevado a cabo por IBM Security y Ponemon Institute, el coste medio de cada brecha de seguridad es de 3,86 millones de dólares estadounidenses. Los datos plasmados en el informe derivan de realización de entrevistas a cerca de 500 empresas que padecieron brechas de datos, además de haber recolectado información sobre cientos de factores en torno a las brechas, abarcando investigaciones técnicas y recuperación, notificaciones, requerimientos legales y de regulación, la cantidad en pérdidas económicas y la pérdida de reputación. Sobre las “mega brechas”, estas se mostraron especialmente difíciles de gestionar y un tercio del coste que han supuesto derivó de una reducción de las oportunidades de negocio.

Las brechas de datos son un problema que va a peor, ya que el coste medio de 3,86 millones de dólares ha supuesto un aumento del 6,4% frente a lo plasmado en el informe correspondiente al año 2017. Por otro lado, en el estudio publicado en 2018 se ha calculado por primera vez el coste de las grandes brechas, que fue de 40 millones de dólares en los casos que afectaron a 1 millón de registros y de 350 millones de dólares en los incidentes que afectaron a 50 millones de registros. Wendi Whitmore, líder global de Servicios de Inteligencia y Respuesta ante Incidentes X-Force de IBM, ha comentado lo siguiente sobre los casos más mediáticos en los que se reportaron pérdidas millonarias: “Estos números son muy variables y a menudo se centran en unos pocos costes específicos que se cuantifican fácilmente”. Dicho con otras palabras, se está ignorando otras pérdidas que están ahí y no se están cuantificando.

La cantidad de “mega brechas” ha subido en los últimos años, pasando de 9 casos en 2013 a los 16 registrados en 2017. Las dedicadas a la salud de las personas han sido, por octavo año consecutivo, las organizaciones que han tenido que enfrentarse a los mayores costes derivados de las brechas de datos, con 408 millones de dólares en total. Si tenemos en cuenta que la media entre todas las industrias es de 148 millones, está claro que los hackers muestran especial predilección por los sistemas sanitarios.

Fuente: VentureBeat

por Eduardo Medina Wed, 11 Jul 2018 14:18:53 +0000

Descubren que es fácil evitar el USB Restricted Mode de iOS

Con el la publicación de la versión 11.4.1 de iOS, Apple ha desplegado una nueva característica de seguridad diseñada para proteger sus dispositivos móviles contra accesorios USB que se conectan por el puerto de datos. Aquella medida se puso en marcha sobre todo como barrera para impedir a las fuerzas de la ley el acceso a los datos almacenados sin permiso, algo que obviamente ha llegado a rebufo del conocido caso de San Bernardino.

La característica de seguridad, cuyo nombre es USB Restricted Mode, inhabilita las capacidades de conexión de datos a través del puerto Lightning en los dispositivos iPhone y iPad. En caso de haber permanecido bloqueado por más de una hora, se podrá seguir cargando la batería, pero no transmitir de datos. Esto quiere decir que tras una hora la característica se pondrá en marcha para evitar los accesos no autorizados a los datos.

Sin embargo, parece que la mejora en la privacidad introducida mediante USB Restricted Mode ha durado poco, ya que investigadores de ElcomSoft han encontrado una forma sencilla que podría permitir a cualquiera derrotarla. Para ello, solo hay que utilizar un accesorio USB, como el adaptador Lightning to USB 3 Camera de Apple, en el dispositivo móvil objetivo antes de que haya pasado una hora desde que ha sido desbloqueado por última vez, algo que reiniciaría la cuenta atrás para el bloqueo de USB Restricted Mode. También se puede evitar la activación de la característica utilizando accesorios no confiables compatibles con Lightning o aquellos que nunca han sido emparejados antes con un iPhone, los cuales pueden extender una hora el límite al reiniciar la cuenta.

Los investigadores dicen que lo descubierto por ellos no es una vulnerabilidad, sino más bien un descuido por parte de Apple, que aparentemente no ha tenido en cuenta todos los escenarios posibles cuando se trata de superar USB Restricted Mode. Para acceder a la mencionada característica solo hay que dirigirse a Ajustes > Face ID y Código de Acceso/Touch ID y Código de Acceso > Accesorios USB.

Fuente: The Hacker News

por Eduardo Medina Tue, 10 Jul 2018 16:24:54 +0000

Descubren malware en software disponible para Arch Linux

Según informan nuestros compañeros de MuyLinux, se ha descubierto malware en tres repositorios AUR, que son creados por usuarios de la comunidad de la distribución Arch Linux para ofrecer software adicional que se puede instalar en el mencionado sistema operativo, el cual destaca por ser rolling release (soporte “infinito” en el tiempo) y estar orientado a usuarios avanzados.

Al parecer, un usuario de reciente creación llamado Xeactor habría modificado tres repositorios AUR añadiéndoles un malware con el fin de recopilar datos de los ordenadores en los que se terminase instalando los programas o aplicaciones modificados. Al menos uno de los repositorios estaba considerado como huérfano hasta que fue adoptado por Xeactor para llevar a cabo actividades maliciosas.

Para los que anden perdidos, un AUR (Arch User Repository) es un repositorio promovido por los usuarios de la comunidad de Arch Linux, el cual contiene descripciones de los paquetes llamadas “PKGBUILD” que le permiten compilar un paquete desde el código fuente con “makepkg” y luego instalarlo mediante Pacman, el gestor de paquetes utilizado por defecto en la distribución, que además goza de buena reputación en la comunidad Linux.

Sin embargo, parece que el hacker detrás de estos repositorios maliciosos no destaca por ser muy habilidoso, ya que en los scripts que se encargan del proceso de recopilación de datos, que abarca el ID de la máquina, la salida producida mediante los comandos “uname -a” y “systemctl list-units”, la información de la CPU y la información de Pacman, hay un fallo derivado de hacer mención a una función que no existe, ya que se llama a upload cuando lo declarado fue uploader, por lo que el proceso falla y no termina por llevarse a cabo. Otro dato importante es que la clave personal de la API de Pastebin pegada en texto plano en uno de los scripts, lo que deja en evidencia que los programadores que están detrás de esto no tienen mucha idea.

Los repositorios AUR fueron modificados mediante la inclusión de un comando “curl” para descargar un script desde Pastebin. Luego este script descargaba otro e instalaba una unidad de systemd para programar una ejecución periódica. Además de esto, en Reddit se ha destapado que Xeactor había publicado paquetes con mineros maliciosos para posiblemente implantarlos en instalaciones de Arch Linux. Tras descubrirse el pastel, como es obvio, la comunidad tras la distribución decidió suspender la cuenta y eliminar los paquetes malintencionados.

Aunque Windows es el sistema operativo más acosado (a pesar del ascenso de Android en este sentido), el malware en realidad no entiende de sistemas operativos. Los usuarios de Linux tienen tendencia a confiar en exceso en la seguridad ofrecida por el sistema, cuando la carpeta personal sí está expuesta a ataques como los de ransomware, que no necesariamente tienen dañar ni alcanzar ficheros del sistema.

por Eduardo Medina Tue, 10 Jul 2018 12:02:59 +0000

Polar suspende su servicio de mapas tras filtrarse ubicaciones de bases militares

La compañía finlandesa de fitness Polar ha suspendido temporalmente Explore, su servicio de mapas de actividad global después de que se publicaran un par de informes señalando fallos en la configuración de la privacidad que facilitaban el acceso a los datos de ubicación de los usuarios.

La gran cantidad de servicios activos a través de Internet ha terminado por hacer relativamente frecuentes este tipo de incidentes, y el caso que nos ocupa es bastante preocupante, ya que ha terminado por revelar nombres y direcciones de personas que estarían trabajando para instituciones críticas para la seguridad de los países como el ejército y los servicios de inteligencia.

Polar fabrica una gran variedad de dispositivos relacionados con el fitness, entre ellos relojes inteligentes destinados a medir cosas relacionadas con la actividad física, y que funcionan con su propia aplicación de fitness: Polar Flow. Los dispositivos de la compañía trabajan juntos para registrar cosas como la actividad y el peso, que pueden ser mostrados a través de un perfil online del usuario. Los usuarios pueden incluir su información en Explore, aunque también pueden elegir tener un perfil privado que tendría que impedir la compartición de datos con aplicaciones de terceros como Facebook.

Sin embargo, en la investigación llevada a cabo se ha encontrado que se puede usar datos del servicio de mapas de Polar para hallar sitios sensibles como los pertenecientes al ejército, así como obtener información suficiente como para determinar el nombre del usuario y su dirección postal. De hecho, se ha podido trazar la ubicación de personas que están luchando contra DAESH en Irak. Los números son para estar preocupados, ya que el servicio Explore de Polar realiza un seguimiento de la actividad de todos los usuarios desde 2014, y usando la información recopilada, se pudieron localizar a 6.460 con nombres propios que lo utilizaron cerca de instalaciones, mientras que las direcciones postales se obtuvieron mediante referencias cruzadas. Viendo esto, se podría pensar en un descuido por parte de los usuarios, y hasta cierto punto esto podría ser cierto, pero también se ha hallado un fallo que permite acceder a la información de cualquier perfil que haya sido marcado como privado, algo a lo que suma que la API no pone ningún límite al número de solicitudes, permitiendo que toda persona con los conocimientos necesarios pueda conseguir el historial completo de un usuario.

Tras destaparse todo el escándalo, Polar publicó el viernes de la semana pasada una declaración pidiendo disculpas por lo ocurrido, algo a lo que se sumó la suspensión de la característica Explore en la aplicación Flow. Para defenderse explicó que no hubo una violación de los datos privados y que están “analizando las mejores opciones que permitan a los clientes de Polar continuar utilizando la función Explore mientras” toman “medidas adicionales para recordarles a los clientes que eviten compartir públicamente los archivos de GPS o ubicaciones sensibles.”

Como vemos, estamos aparentemente ante dos problemas. Uno, el de los usuarios que parecen haber descuidado la privacidad sabiendo que trabajan para instituciones que tienen que actuar con la máxima discreción. Segundo, el fallo de privacidad dentro del propio servicio que ha dejado desprotegidas a estas personas.

No es la primera vez que cubrimos algo parecido este año, ya que en enero se destapó que mediante Strava se podía determinar la ubicación de soldados destinados a zonas de combate. El escándalo fue lo suficientemente grande como para obligar al Pentágono a tomar medidas.

Fuente: The Verge

por Eduardo Medina Mon, 09 Jul 2018 09:34:56 +0000

Cómo minimizar la amenaza que supone el ransomware para Android

Aunque el minado malicioso de criptodivisas está ahora muy de moda, no es motivo para bajar la guardia ante otros malware, más cuando se trata del peligroso ransomware, que siempre tiene muchas posibilidad de volver irrecuperables los datos legítimos de la víctima.

Aunque peligrosos ransomware como WannaCry, Bad Rabbit, Petya y NotPetya han apuntado sobre todo contra los usuarios de Windows, eso no quiere decir que no exista malware de características similares creados para ir contra otros sistemas. Aquí sobre todo se apunta a Android, y es que el sistema operativo de Google, debido a su acusada fragmentación y el escaso soporte ofrecido por muchos fabricantes, dejan el terreno muy llano a los cibercriminales para que puedan atacar a cientos de millones de dispositivos que no reciben parches contra las vulnerabilidades que van surgiendo. Este panorama, como es lógico, está haciendo aumentar la cantidad de malware contra Android.

Hoy vamos a aprovechar la ocasión para dar una serie de consejos para minimizar el riesgo del ransomware desarrollado contra Android, y es que el tener miles de millones de dispositivos funcionando, con muchos de estos sin recibir toda la protección necesaria, termina haciendo que sea muy recomendable a los usuarios de dicho sistema la toma ciertas precauciones y medidas.

¿Qué es un ransomware?

Lo primero que vamos a hacer es definir qué es un ransomware, aunque sea un tema que hemos tratado en muchas ocasiones en MuySeguridad. Y es que a pesar de que no sea el tipo de malware más extendido, su peligrosidad termina dándole mucho protagonismo en los medios.

Un ransomware es básicamente un software maliciosos creado para cifrar los datos personales e incluso partes del sistema, aunque algunos son capaces de hasta llevarse por delante el disco duro entero. Una vez haya cifrado lo que tenga programado, el usuario no podrá acceder a sus datos y verá un mensaje pidiéndole un rescate, que generalmente se exige pagar mediante Bitcoins u otra critpodivisa.

Uno de los posibles motivos de la existencia del ransomware es la diversificación del mercado de sistemas operativos, sobre todo gracias a los dispositivos móviles, que han dado más prioridad a los datos personales frente al sistema operativo. Esto hace que muchos ransomware no dañen ningún componente del sistema, sino que simplemente cifran los ficheros personales con la esperanza por parte de los cibercriminales de cobrar el rescate.

En muchas ocasiones no hay forma de recuperar los ficheros cifrados de forma gratuita, por lo que en caso de acabar infectado por ransomware se puede terminar perdiendo una gran cantidad o incluso todos los datos personales. Además de otras medidas y precauciones, lo más básico que se puede hacer frente a este tipo de malware es la realización periódica de copias de seguridad para perder la menor cantidad de datos posible en caso de desastre.

Las infecciones de ransomware se producen sobre todo porque el usuario abre una aplicación o un programa malintencionado que termina secuestrando sus datos personales y posiblemente más cosas. Dicho programa malicioso suele llegar a través del navegador web (despliegue de adware, direccionamiento a un sitio web malicioso… ), el correo electrónico (en lugar de ir adjuntado, hay un enlace hacia Mega, Google Drive o Dropbox que lleva al malware) o los servicios de mensajería (ficheros maliciosos que son enviados adrede o mediante algún automatismo a la víctima). Obviamente, el engaño aquí juega un papel fundamental, por lo que no es raro verlo combinado con ataques de phishing.

¿Cómo proteger Android y sobre todo los datos frente al ransomware?

Aquí vamos a mencionar sencillos pasos para minimizar el riesgo que supone el ransomware. Los pasos a seguir no son muy diferentes a los consejos generales que publicamos en marzo del presente año, pero intentaremos darle un enfoque algo más centrado en el sistema operativo que nos ocupa en esta ocasión.

  • Utilizar un antimalware: Utilizar algún antimalware no es ninguna garantía, pero cuantas más capas de protección se tenga, mejor. Lo suyo sería contar con una solución que ofrezca protección en tiempo real, y en caso de tratarse de una empresa no hay que descartar la utilización de alguna solución de pago adaptada al tamaño de la corporación.
  • Actualizar el sistema operativo: En MuySeguridad somos muy insistentes cuando se trata de mantener al día el sistema operativo, ya que así se pueden obtener muchos parches a nivel de seguridad que ayudan a cubrir muchas vulnerabilidades. Si bien este es un tema que hemos tratado mucho cuando Windows ha sido el protagonista de la entrada, el mismo principio se tiene que aplicar a todos los sistemas operativos, aplicaciones y programas que se tengan instalados.
  • No descargar aplicaciones de fuentes desconocidas: Esto se resume en no descargar ninguna aplicación de fuera de Google Play (la tienda oficial de Google para Android) o el instalador APK procedente del sitio web oficial de aplicación. En caso extremo, se puede descartar la segunda vía, a lo que hay que sumar el no habilitar nunca los Orígenes desconocidos desde la configuración de la Seguridad en Ajustes. Sin embargo, visto está que la Play Store no es invencible, así que una medida de precaución adicional a tomar sería no descargar aplicaciones extrañas, de procedencia sospechosa (el desarrollador), que se hagan pasar por otras legítimas o que lo pongan todo “demasiado bonito”, o sea, que tienen un gancho atractivo con el fin de que el usuario pique.

Es recomendable tener siempre los Orígenes desconocidos desactivados en Android

  • Obviar los procesos de instalación a partir de una ventana emergente: Las ventanas emergentes pueden llegar a ser muy agresivas e incluso estar muy bien presentadas con el fin de que el usuario pique. Pero como ya hemos comentado en el punto anterior, los suyo es apoyarse en la Play Store, que ya se encarga de mantener al día las aplicaciones, por lo que las ventanas emergentes sugiriendo actualizaciones tienen muchas opciones de ser engaños. Aquí también es muy importante ignorar las ventanas emergentes mostradas mediante el navegador web, que básicamente suelen tener las misma malas intenciones.
  • ¡Cuidado con los enlaces!: ¿Hay que pensárselo dos veces antes de hacer clic sobre un enlace en Windows? Sí, y en Android, iOS, Linux macOS y FreeBSD, porque el sistema operativo invencible no existe. Evitar todos los enlaces sospechosos es una buena medida para evitar el malware, incluido el ransomware.
  • Hacer copias de seguridad de al menos los ficheros más importantes: Hay muchas posibilidades de hacer esto, como utilizar un servicio de almacenamiento en la nube, alguna aplicación para hacer copias de seguridad o bien hacer copias periódicas de los ficheros en un ordenador que se tenga disponible. Eso sí, en caso de recurrir a la última vía, también es muy recomendable tener copias de seguridad adicionales en un disco duro externo o un soporte óptico como DVD o Blu Ray. El usuario no tiene por qué elegir entre los métodos, sino que lo recomendable es utilizar varios para reducir al máximo la pérdida de datos en caso de acabar infectado por un ransomware.
  • Plantéate usar una ROM: Como ya hemos comentado antes, hay cientos de millones de dispositivos Android sin soporte por parte de su fabricante, así que la utilización de una ROM alternativa compatible, como LineageOS, puede ser una buena solución, ya que así se reciben periódicamente los parches de seguridad publicados por Google, aunque esta no sea la que suministre las actualizaciones, sino los encargados de LineageOS, Replicant OS o la ROM que dedica utilizar.

¿Cómo reaccionar en caso de que el dispositivo Android acabe infectado por un ransomware?

Se ha hecho algo mal y ahora el usuario se ha convertido en la víctima de un ransomware que no le permite desbloquear su móvil o tablet. ¿Qué es puede hacer ante dicha situación? Afortunadamente, según los expertos de Avast, hay una serie de pasos que se pueden seguir para recuperar el dispositivo y hacer que funcione correctamente de nuevo.

Antes que nada, lo recomendable es no pagar, ya que eso no da garantías de poder recuperar el dispositivo ni los ficheros cifrados, ya que es una situación en la que se tiene que optar en confiar en criminales. Y en caso de pasar por caja, eso podría volver a usuario más vulnerable ante otro ataque mediante ransomware porque los actores maliciosos saben que dicha persona muestra menos resistencia a la hora de realizar el pago.

A partir de aquí hay dos caminos que la víctima puede seguir. Primero es intentar reiniciar, acceder al Modo Seguro (Safe Mode), revocar los permisos de Administrador del Dispositivo en caso de habérselos concedido a la aplicación y borrar la aplicación, programa o complemento origen del problema. La manera de acceder al Modo Seguro puede variar según el el móvil o tablet que se tenga entre manos, así que posiblemente sea conveniente mirar foros, las instrucciones o incluso documentación del fabricante para llegar a él, aunque la vía genérica es esta:

  1. Mantener presionado el botón de encendido hasta que aparezca la opción de Apagar.
  2. Pulsar sobre la opción de apagar que aparece en la pantalla.
  3. Volver a encender el dispositivo, aunque manteniendo pulsados de forma simultánea el botón de encendido y el que permite subir y bajar el volumen (o manteniendo los botones de subir y bajar volumen a la vez en caso de estar separados).
  4. Luego aparecerá en la pantalla una consola con una interfaz parecido al de una consola, que tendría que mostrar diferentes opciones, con el Safe Mode entre ellas.
  5. Después hay que navegar por Settings > Applications > Manage Applications para encontrar la aplicación maliciosa y desinstalarla.

En caso de no poder hacer uso del Modo Seguro, lo único que queda es restablecer la configuración de fábrica del dispositivo, algo que eliminará el ransomware, pero también todos los datos almacenados.

El sentido común es clave

Como vemos, muchas de las medidas a tomar no son exigentes a nivel de conocimientos técnicos, sino que en buena medida se basan en utilizar el sentido común ante situaciones potencialmente dañinas para el usuario.

Mantener los patrones de comportamiento correctos, siendo precavidos, unido a la realización periódica de copias de seguridad, tendría que minimizar de forma notable la amenaza y los potenciales perjuicios de los ransomware.

por Eduardo Medina Fri, 06 Jul 2018 16:31:44 +0000

Cuidado con el falso soporte técnico que se aprovecha de un fallo en Chrome y Firefox

Se ha detectado una campaña de estafas que se está ofreciendo falso soporte técnico, la cual se apoya en la explotación de un fallo que termina sobrecargando el navegador web para luego esperar que la víctima les termine llamando con el fin pedir ayuda.

En muchas ocasiones la estafa puede empezar por alguien que llama a la víctima, diciendo que trabaja para Microsoft. Este falso soporte técnico está haciendo rondas para explotar un fallo presente hallado en Google Chrome que fue descubierto en febrero. A pesar de haber sido corregido en su momento, parece que ha vuelto en la versión 67 del navegador. Firefox y otros navegadores basados en Chromium como Opera, Brave y Vivaldi parece que también están afectados.

Para la estafa utilizan un programa de interfaz llamado window.navigator.msSaveOrOpenBlob, que combinado con otras funciones permite a los navegadores descargarlo repetidamente hasta colapsar la aplicación. Llegados a este punto, aparece un falso mensaje de error emergente que informa a la víctima del problema, ofreciendo además un número de teléfono de ayuda. Pero en lugar de ayudar, lo que intentan los estafadores es obtener datos personales e información financiera con el fin de robar el dinero.

Tras destaparse la estafa, Google y Mozilla están investigando de forma activa el problema con el fin de corregirlo, así que se espera que pronto tenga solución, aunque viendo que ya ha habido una regresión que lo ha reactivado, no se puede descartar que vuelva a pasar una tercera vez. En caso de encontrarse con esta estafa, ya sea recibiéndola mediante una llamada telefónica o bien descargando un programa malintencionado, lo que se recomienda es ignorar todo lo relacionado con este falso soporte.

Por otro lado, Microsoft ni ninguna otra compañía va a llamar a casa de nadie de forma unilateral para avisar sobre un problema presente en su ordenador.

Fuentes: MakeUseOf y ArsTechnica

por Eduardo Medina Thu, 05 Jul 2018 14:50:57 +0000

The Pirate Bay vuelve a minar criptodivisas utilizando las CPU de sus visitantes

El minado de criptodivisas se ha convertido en algo de lo que han abusado los cibercriminales para generar ingresos. Si bien los mineros no son, al menos en un principio, malware, el hecho de que muchas veces sean usados de forma deshonesta los ha convertido en algo preocupante a nivel de seguridad, sobre todo por el uso de las CPU de los usuarios finales sin el consentimiento de estos últimos.

Según se puede leer en publicaciones recientes en Pirates Forum, algunos usuarios han notado un brusco aumento en el consumo de la CPU tras acceder a The Pirate Bay, llegando hasta a experimentar bloqueos cuando se intenta descargar o subir ficheros al mencionado sitio web. No es la primera vez que esto pasa, y eso es porque desde The Pirate Bay quieren implementar el minado de criptodivisas como una vía alternativa para generar ingresos frente a una publicidad que lo tiene cada vez más difícil por el extendido uso de los bloqueadores.

Pese a la polémica, afortunadamente The Pirate Bay no está usando ningún software extraño para minar. Los usuarios que hayan detectado que su CPU ha sido utilizada para minar han ejecutado la conocida biblioteca en JavaScript Coinhive, que si bien ha sido implementada de forma maliciosa en sitios web hackedos, sitios web maliciosos e incluso aplicaciones de Android, no se trata de ningún malware.

Coinhive se dedica a minar la criptodivisa Monero. Al final de cada día, las criptominedas extraídas van a parar a la cartera del sitio web que ha implementado la mencionada biblioteca en JavaScript, The Pirate Bay en el caso que nos ocupa.

Como ya hemos dicho, Coinhive no es malware, e incluso ha llegado a ser implementada por algunos sitios web con fines benéficos para campañas de UNICEF. Sin embargo, su ejecución termina acaparando muchos recursos de la CPU, pudiendo llegar hasta más del 50%, por lo que al final puede terminar siendo molesto para un usuario final que no puede utilizar su ordenador con normalidad. A esto se añade que podría pensar en la posibilidad de que le hayan colado un malware o que algo en el sistema operativo funciona mal si el sitio web no muestra un aviso de que está utilizando Coinhive.

¿Es ético lo que hace The Pirate Bay? La situación es más compleja de lo que en un principio aparenta. Por un lado tenemos los bloqueadores de publicidad, que han limitado mucho los ingresos que los sitios web obtienen por esa vía, pero por otro tenemos la falta de información sobre los mineros de cara a los usuarios. El problema que suponen los bloqueadores de publicidad no solo afecta a portales de descargas de dudosa legalidad, sino también a sitios web de todo tipo, sobre todo aquellos que sirven información de forma gratuita.

Pese a todo, los mineros no son una “armada invencible”, pudiendo ser bloqueados con facilidad mediante complementos para navegadores como No Coin o minerBlock.

Fuente: BTCNN

por Eduardo Medina Thu, 05 Jul 2018 10:45:56 +0000

Detectan una campaña en la que se intenta ocultar la utilización del minero Coinhive

Investigadores en seguridad avisan de la existencia de una nueva campaña que se apoya en el criptominado, inyectando Coinhive y otros mineros en los sitios web hackeados.

Desde que apareció a mediados de 2017, Coinhive ha sido utilizado por muchos actores maliciosos para minar la criptodivisa Monero y así generar ingresos. Se trata de una biblioteca en JavaScript que ha sido incrustada en sitios web hackeados, sitios web maliciosos e incluso aplicaciones de Android, aprovechando la potencia de CPU que disponen los usuarios finales para el proceso de minado. A pesar de no ser de por sí un malware, el cómo está siendo utilizada ha forzado a muchos desarrolladores de soluciones antimalware a considerarla como algo malicioso en caso de detectarla. Cuando se usa de forma maliciosa no se avisa al usuario final, que solo notará una disminución el rendimiento derivado del uso de la CPU por parte de Conhive. Esto permite a los mineros maliciosos pasar inadvertidos fácilmente, empleando una estrategia que es prácticamente la contraria a la agresividad mostrada por los ransomware.

Coinhive cuenta entre sus características la posibilidad de acortar las URL, la cual permite a los usuarios crear enlaces cortos para cualquier URL para extraer criptomonedas durante un instante antes de redirigir al destino. Según cuentan los expertos de Malwarebytes, una gran cantidad de sitios web legítimos han sido hackeados para cargar URL recortadas sin saberlo, las cuales son generadas con el servicio de Coinhive e introducidas dentro de un iFrame de HTML oculto, siendo esto un intento de generar criptomonedas para los ciberdelincuentes.

El objetivo es el mismo que el del clásico minero, utilizar la potencia de CPU de los usuarios finales para generar ingresos para los cibercriminales. En el caso que nos ocupa, se introduce el código JavaScript en un iFrame de HTML apuntando a una URL recortada que ocupa en pantalla la superficie de 1×1 píxel, o sea, un píxel de ancho y otro de alto, por lo que resulta muy difícil de detectar a simple vista y forzaría a utilizar alguna herramienta para desarrolladores como la incluida en Google Chrome y otros navegadores como Firefox y los basados en Chromium. Tras pasar un instante en el iFrame se cargará el contenido al que se redirige la URL recortada.

Al ser las URL recortadas un método de redireccionamiento, podría no ser un buen método para generar muchos ingresos. Sin embargo, el servicio de Coinhive permite ajustar mediante un valor hash la cantidad de tiempo que se tiene que esperar hasta el redireccionamiento, permitiendo además configurar períodos bastante prolongados. En valor establecido por defecto es de 1024 hashes, pero para la campaña ese valor ha sido modificado a 3.712.000 antes de cargar la URL de destino.

Tras terminar el proceso, la URL recortada se encarga de dirigir al usuario a la misma página web que está visitando, dando la sensación de que ha habido un proceso de actualización. El malware realiza dicha acción con el fin de reiniciar el proceso explicado en el párrafo anterior.

Pero el tema del iFrame no es lo único que se realiza a través de esta campaña, ya que también se ha detectado la inyección de enlaces a otros sitios web hackeados que invitan al usuario a descargar aplicaciones que se hacen pasar por legítimas con un minero malicioso en su interior, concretamente XMRig, con el objetivo de minar todavía más aprovechándose de los recursos que disponen los usuarios finales.

También se ha detectado la utilización de otro minero, CNRig, descargado mediante la incrustación previa de un fichero PHP malicioso, que se encarga de minar empleando los recursos de un servidor Linux. PHP es la tecnología y lenguaje de programación a nivel de servidor web más utilizado del mundo, y que generalmente se encuentra instalado junto Apache, MySQL y Linux, de ahí que el minero apunte contra el sistema operativo Open Source.

La mejor manera que tienen los usuarios finales de defenderse de los mineros maliciosos es, además de contar con una solución antimalware que actúe contra estos, tener instalado en el navegador web extensiones como minerBlock o No Coin para bloquearlos.

Esquema de la campaña de critpominado contra usuarios finales y servidores detectada por los expertos de Malwarebytes

Fuente: The Hacker News

por Eduardo Medina Wed, 04 Jul 2018 14:17:42 +0000