Bienvenido a Indetectables.net

Hallada una vulnerabilidad en Microsoft Edge que permite robar cookies y contraseñas

Una vulnerabilidad hallada en Microsoft Edge puede ser explotada por un atacante para obtener las contraseñas y los ficheros de cookies de servicios online. Fue descubierta por el investigador Manuel Caballero, quien es experto en el descubrimiento de fallos de seguridad en los navegadores propios de Microsoft, Edge e Internet Explorer.

Caballero ha conseguido saltarse Same Origin Policy (SOP), una característica de Microsoft Edge destinada a evitar que un sitio web cargue un formulario y ejecute scripts procedentes de otro. Dicho de otra forma, se abre la puerta a que un atacante pueda cargar y ejecutar código malicioso con la ayuda de datos URI, el refresco de etiquetas meta y páginas sin dominio como about:blank.

A través de variaciones de la técnica de explotación, Caballero ha mostrado cómo un atacante podría ejecutar código en un sitio de perfil alto solo engañando a la víctima para que haga clic sobre una URL maliciosa. En las tres pruebas de concepto (1, 2 y 3) que ha publicado, el investigador consiguió ejecutar código en la página de inicio del buscador Bing, publicó tweets con el nombre de otro usuario y luego robó contraseñas y cookies desde la misma cuenta de Twitter.

El último ataque vuelve a poner en evidencia un fallo de seguridad hallado en los navegadores web modernos, el cual da la capacidad a un atacante para cerrar sesiones de un usuario, cargar la página de acceso y robar las credenciales del usuario que son rellenados automáticamente por la característica de autocompletado de contraseñas de los mismo navegadores.

El investigador ha avisado que los atacantes se podrían apoyarse en campañas de malvertising para automatizar el envío del exploit a miles de víctimas, debido a que hoy en día la publicidad moderna se envía a través de JavaScript. Esto permitiría robar las credenciales de una cuenta de Twitter a través de un banner malicioso colocado en una página web de Yahoo.

Por lo que se sabe, la vulnerabilidad de momento permanece sin parchear y Caballero ha publicado una demostración en Google Drive para que los usuarios puedan sospechar de códigos similares.

Fuente: BleepingComputer

por Eduardo Medina Tue, 25 Apr 2017 10:28:02 +0000

El phishing es cada vez más sofisticado y difícil de combatir

El phishing, ataque informático llevado a cabo mediante la suplantación de otra cosa (la página web de una empresa conocida, el currículum de un falso candidato, etc), es cada vez más sofisticado y difícil de detectar. De hecho hay casos que solo podrían ser detectados por los usuarios más atentos, ya que las imitaciones empiezan a estar realmente conseguidas.

Con el fin de esquivar algo mejor este tipo de ataques, el equipo de Google Chrome ha decidido recientemente restringir ciertos dominios con caracteres no romanos a la hora de ser mostrados en el navegador web. Este cambio viene después de revelarse una técnica que permite la creación de sitios web de phishing muy conseguidas.

Desde hace tiempo se pueden registrar nombres de dominio con caracteres árabes, chinos, cirílicos y hebreos, además de otros alfabetos no romanos. En 2009 la ICANN aprobó un gran número de dominios de alto nivel (TLD, los dominios de Internet), los cuales incluyen caracteres no romanos. Los servidores DNS gestionan los dominios internacionalizados convirtiéndolos en algo compatible con ASCII, empleando para ello un sistema llamado Punycode. Sin embargo, los navegadores web y otras aplicaciones soportan Unicode, lo que abre la puerta al correcto despliegue de contenidos escritos en caracteres no romanos.

Aunque la internacionalización de los dominios ha sido positiva como medida de inclusión dentro de Internet, no se puede obviar que algunas letras de algunos alfabetos se ven parecidos a los romanos sin ser iguales, algo que puede ser usado para crear URL falsificadas. Por ejemplo, la letra “a” en cirílico y romano se ven idénticas, pero se identifican como caracteres diferentes de Unicode, siendo U+0430 y U+0061 respectivamente.

Para evitar los problemas causados por esto, algunos navegadores están incluyendo complejas comprobaciones para decidir si es mejor mostrar los nombres de dominios utilizando sus propios scripts o bien mostrar su equivalente en Punycode. En caso de hallar caracteres romanos, cirílicos y/o griegos mezclados, se mostrará el código Punycode en lugar de una “URL bonita”. Por ejemplo, si el dominio apple.com utiliza la “a” en cirílico, se mostrará xn--pple-43d.com en la barra de direcciones.

Sin embargo, esos filtros no resultan perfectos a la hora de realizar su función y muchos navegadores ni siquiera los incluyen. El desarrollador web Xudong Zheng ha conseguido registrar el dominio xn--80ak6aa92e.com para la creación de una página web que podría hacerse pasar por la de Apple. No, el sitio web de Apple no ha sido hackeado en absoluto, sino que se trata de un domino diferente que mezcla caracteres de distintos alfabetos. El truco está en L, la cual está cogida del cirílico. Xudong ha conseguido engañar a los navegadores web Chrome, Firefox y Opera sobre Windows, Mac y Linux, y solo los usuarios del segundo sistema podrían detectar que la L es un poco extraña. Sin embargo, las versiones más reciente de Google Chrome ya detectan la “falsificación”.

Suplantación del dominio de Apple por parte de Xudong Zheng

El filtro de Chrome es capaz de detectar nombres de dominios, pero no se puede decir lo mismo de los TLD (los propios dominos). De hecho vemos cómo se puede introducir el nombre de dominio de Apple con diferentes TLD a través del código Punycode: cirílico (xn--80ak6aa92e.xn--p1ai), chino (xn--80ak6aa92e.xn--fiqs8s), griego (xn--80ak6aa92e.xn--qxam) y coreano (xn--80ak6aa92e.xn--3e0b707e). Aunque esos dominios no soy muy recomendables para lanzar ataques de phishing (debido a que la diferencia en el aspecto es muy notable) contra los que usan el alfabeto romano, sí podrían tener éxito en otras zonas del mundo. Recomendamos probar los falsos dominios de Apple desde la navegación privada y con los sistemas de seguridad en guardia, ya que algunos podrían dirigir a una web existente (mucho mejor si se hace desde una máquina virtual).

Dominio de Apple con TLD en cirilico ruso y chino

La política para el despliegue de IDN de Google Chrome realiza diez comprobaciones con diferentes condiciones para detectar las posibles suplantaciones de dominio. Por su parte, Mozilla no tiene claro todavía cómo bloquear la técnica empleada por Xudong, hasta el extremo de que hay visiones contradictorias sobre el responsable a la hora de evitar los ataques de phishing.

Los detractores de aplicar políticas como las de Google Chrome en Firefox argumentan que este problema corresponde a los dueños de las marcas, quienes tendrían que registrar sus nombres de dominios con todos los TLD posibles para evitar esto. Sin embargo, también hay que tener en cuenta que una mayor cantidad de dominios significa un mayor coste del sitio web, por lo que posiblemente muchos particulares y pequeñas empresas no puedan hacer frente a esta situación.

Los usuarios de Firefox puede dirigirse a about:config, buscar la configuración de network.IDN_show_punycode y establecer el valor a true para forzar el despliegue de los códigos Punycode cuando se introduzca un dominio con caracteres no romanos en el navegador.

Forzar la muestra del código Punycode en Firefox

Conclusión

Como se puede apreciar, el soporte para los distintos alfabetos del mundo en Internet ha dado alas a los hackers que utilizan el phishing para llevar a cabo sus acciones maliciosas.

De hecho, a principios de año avisamos sobre una conseguida falsificación del login de Gmail, la cual podría engañar a los usuarios más incautos o que no tengan los conocimientos necesarios para distinguir una URL para web legítima de otra que no lo es.

Veremos si en un futuro se aprueban más restricciones sobre cómo pueden ser desplegados los dominios en Internet.

Fuente: CSO Online

por Eduardo Medina Mon, 24 Apr 2017 14:41:11 +0000

¡Cuidado! Halladas 10 vulnerabilidades graves en routers de Linksys

Investigadores en seguridad han descubierto la existencia de una decena de vulnerabilidades que afectan a 25 modelos de routers Linksys Smart Wi-Fi, los cuales están muy extendidos actualmente.

Tao Sauvage, de IOActive, y el investigador independiente Antide Petit, han publicado en el blog corporativo de IOActive el descubrimiento de 10 bugs de seguridad hallados en 25 modelos de routers Linksys a finales del año pasado. De esos diez problemas, seis pueden ser de explotados de forma remota por atacantes no autenticados.

Según los investigadores, los fallos de seguridad permiten a los atacantes sobrecargar un router, forzar el reinicio del dispositivo a través de la creación de denegaciones de servicio (DoS), denegar el acceso para los usuarios legítimos, filtrar datos sensibles, cambiar configuraciones restringidas e instalar puertas traseras.

Muchos de los dispositivos Linksys activos en Internet usan la configuración por defecto, según Shodan. Esta situación los vuelve más susceptibles de recibir ataques. Hasta el momento se han encontrado más de 7.000 routers afectados por estos problemas de seguridad, aunque es importante mencionar que no se han incluido los dispositivos que están detrás de un firewall y otros mecanismos de protección de redes. IOActive está trabajando activamente con Linksys para corregir estos problemas.

Los investigadores han decidido no revelar más detalles sobre las vulnerabilidades hasta que los parches estén puestos a disposición de los usuarios, aunque han comentado que dos de los fallos podrían ser usados para realizar ataques de denegación de servicio, haciendo que los dispositivos no puedan responder, o bien podrían ser reiniciados a través de peticiones fraudulentas a una API específica.

Otro de los fallos podría permitir a los atacantes saltarse los scripts CGI para recolectar datos sensibles como la versión del firmware, las versiones del kernel Linux utilizadas, los procesos en ejecución, los dispositivos USB conectadas, los PIN WPS de las conexiones Wi-Fi, la configuración del firewall, la configuración para el FTP y la configuración el servidor SMB.

Los investigadores han avisado de que los atacantes podrían autenticarse en los dispositivos para inyectar y ejecutar código malicioso en el sistema operativo de los routers con privilegios de root (administrador). Explotando esta posibilidad, se podría incluso crear cuentas de puertas traseras para obtener accesos persistentes que resultarían invisibles para la interfaz de gestión del router y en consecuencia para los administradores legítimos. Sin embargo, no se ha detectado que se pueda explotar esta vulnerabilidad saltándose la autenticación.

Modelos de routers Linksys vulnerables y cómo se distribuyen por países

Estos son los modelos de routers afectados por las vulnerabilidades tratadas en esta noticia:

  • EA2700
  • EA2750
  • EA3500
  • EA4500v3
  • EA6100
  • EA6200
  • EA6300
  • EA6350v2
  • EA6350v3
  • EA6400
  • EA6500
  • EA6700
  • EA6900
  • EA7300
  • EA7400
  • EA7500
  • EA8300
  • EA8500
  • EA9200
  • EA9400
  • EA9500
  • WRT1200AC
  • WRT1900AC
  • WRT1900ACS
  • WRT3200ACM

Por países, el 69% de los dispositivos afectados están ubicados en Estados Unidos. Los siguientes son Canadá con casi un 10%, Hong Kong con un 1,8%, Chile con un 1,5% y Países Bajos con un 1,4%. También se han detectado routes vulnerables en Argentina, Rusia, Suecia, Noruega, China, India, Reino Unido y Australia.

¿Qué se puede hacer para mitigar las vulnerabilidades?

Mientras los parches no estén disponibles, como medida de mitigación se puede inhabilitar la característica de Guest Network para impedir el acceso a invitados al router, esto reduciría las posibilidades de acceso.

Por otro lado, también se recomienda encarecidamente cambiar la contraseña de la cuenta por defecto para así evitar los accesos fáciles, ya que los hackers suelen tener a disposición una lista con las contraseñas utilizadas por defecto por los fabricantes.

Fuente | The Hacker News

por Eduardo Medina Fri, 21 Apr 2017 10:03:10 +0000

Roban los datos de las tarjetas de crédito de 1.174 hoteles de IHG

InterContinental Hotels Group (IHG) está notificando a sus clientes de que sus números de tarjetas de crédito y otros datos sensibles han sido robados. El asunto se ha destapado después de encontrarse un malware en el sistema de pago con tarjeta en 1.174 hoteles de la franquicia en Estados Unidos.

Esta no es la primera brecha de datos destapada en la misma franquicia de hoteles, ya que el pasado mes de febrero se descubrió otro caso en Reino Unido. La multinacional confirmó que doce de sus restaurantes y hoteles padecieron una filtración de los datos de las tarjetas de crédito de sus clientes.

IHG identificó un malware que accedió a los datos de pago de las tarjetas usadas en los sistemas de escritorio de las recepciones entre el 29 de septiembre y el 29 de diciembre de 2016. Sin embargo, el malware no fue borrado hasta completar una investigación iniciada en marzo de 2017.

El malware ha robado datos de tarjetas de crédito, entre los cuales están los nombres de los propietarios, los números, las fechas de expiración y los códigos internos de verificación. Aunque la compañía ha dicho que no hay evidencias de accesos no autorizado a las tarjetas de crédito desde diciembre, si tenemos en cuenta las fechas mencionadas, el malware ha tenido varios meses para actuar, ya que no fue eliminado hasta los meses de febrero y marzo del presente año.

Todavía no se conoce el número de clientes afectados, aunque sí el de hoteles, que se distribuye de la siguiente manera en algunos de los estados más importantes de Estados Unidos: 163 en Texas, 64 en California, 61 en Florida, 53 en Indiana, 50 en Ohio, 45 en Nueva York, 42 en Michigan y 39 en Illinois. También se ha detectado un caso en un hotel de Puerto Rico.

Los hoteles de IHG que implementaron Secure Payment Solution (SPS) antes del 29 de septiembre de 2016 no están afectados por este problema. SPS ofrece una solución de pago cifrada punto por punto para evitar la filtración de datos. La matriz ha recomendado a todas sus franquicias implementar este sistema para garantizar el correcto tratamiento de los datos de sus clientes.

IHG ya ha informado a las autoridades sobre esta brecha de datos, aunque a la vez está trabajando con las responsables de las redes de tarjetas de crédito y empresas especializadas en seguridad para garantizar la eliminación del malware y evaluar qué medidas tomar para mejorar la seguridad.

Se recomienda a todos los que hayan sido clientes de IHG en los meses críticos que revisen minuciosamente los movimientos en sus cuentas corrientes para detectar operaciones no autorizadas. Por otro lado, no sería mala idea cancelar la tarjeta de crédito y reemplazarla por otra nueva.

Fuente | The Hacker News

por Eduardo Medina Thu, 20 Apr 2017 11:10:08 +0000

Un nuevo malware para Windows cada 4 segundos en el primer trimestre de 2017

Según un informe de G DATA, durante el primer trimestre de 2017 han aparecido un total de 1,85 millones de nuevos malware para Windows. Esto quiere decir que ha surgido un nuevo malware cada 4,2 segundos durante ese periodo de tiempo.

Los números extraídos por G DATA suponen un aumento del 72% con respecto al primer trimestre de 2016. Se destaca el gran daño causado por el ransomware, algo que resulta paradójico si se tiene en cuenta que su proporción frente a otros tipos de malware sigue siendo pequeño. El tipo de malware más extendido es el adware, a pesar de que acapare mucha menos atención por parte de los medios porque los daños que causa son mucho menos dramáticos que los del ransomware. Actualmente el adware aglutina alrededor del 13,9% de todo el malware para Windows.

De hacerse una proyección para el año completo tomando los números obtenidos en el primer trimestre, G DATA ha estimado que durante el 2017 podrían surgir un total de 7,4 millones de nuevas amenazas.

A pesar de la expansión de otros sistemas operativos, Windows sigue acumulando el 99,1% del malware existente y su número sigue aumentando, dificultando así la disminución de la proporción frente a los sistemas competidores.

Proyección de la cantidad de malware para 2017 de G DATA

Más información | Blog de G DATA

por Eduardo Medina Wed, 19 Apr 2017 10:56:01 +0000

Existe competencia entre el malware dedicado a crear botnets apoyadas en el IoT

Hasta el día de hoy hemos informado mucho sobre Mirai, el troyano contra dispositivos IoT que ha sido utilizado para lanzar poderosos ataques DDoS a través de Internet. Su mayor logro hasta ahora ha sido tumbar una gran cantidad de sitios web relevantes cuando atacó las DNS de Dyn.

El poder destructivo del malware contra el IoT está más demostrado, lo que ha convertido a esta área en un lugar idóneo para generar competencia. Si con Mirai se puede crear grandes botnets para lanzar ataques DDoS con un nivel de tráfico récord, ¿por qué no puede haber otros malware que hagan lo mismo o parecido?

Sí, Mirai tiene competencia y hoy vamos a nombrar a uno de esos competidores, Hajime. Desde que fue descubierto por unos investigadores hace más de seis meses, se ha ido expandiendo para crear una botnet que ha infectado a unos 100.000 dispositivos alrededor de todo el mundo, según el investigador en seguridad Marshall Webb.

Las botnets, que no son más que redes de ordenadores esclavizados, pueden terminar siendo un gran problema por la posibilidad de ser utilizadas para lanzar potentes ataques DDoS mientras siguen expandiéndose para mantener y incrementar su peligrosidad.

Hajime fue descubierto en el mismo mes en el que Mirai fue utilizado contra las DNS de Dyn, cuando los investigadores de Rapidity Networks centraron su atención en el histórico ataque. Lo que descubrieron fue un malware de características similares a las de Mirai, pero que resultaba incluso más tenaz.

Al igual que Mirai, Hajime también escanea Internet en busca de dispositivos IoT con una pobre seguridad, abarcando sobre todo cámaras, DVR y routers. Para comprometer los dispositivos prueba diferentes combinaciones de nombres de usuario y contraseñas para luego transferir el programa malicioso y convertirlos en parte de la botnet. Sin embargo, Hajime no recibe órdenes de un servidor de mando y control como Mirai, sino que en su lugar se comunica a través de una red P2P (Pear-to-Pear) construida con los protocolos de BitTorrent, dando como resultado una botnet bastante más descentralizada. Según Webb, “Hajime es mucho, mucho más avanzado que Mirai.”

Las ISP han estado luchando para destruir las botnets creadas con Mirai a través del bloqueo del tráfico en Internet procedente de sus servidores de mando y control, situación que fue aprovechada por Hajime para crecer de forma notable, infectando incluso a dispositivos que previamente lo fueron por Mirai. La naturaleza P2P de Hajime hace que los dispositivos infectados puedan transmitir ficheros o instrucciones a través de toda la botnet, haciéndola más resistente a los esfuerzos por bloquear su tráfico.

Crecimiento tanto de Hajime como de Mirai en los últimos meses, hasta abril de 2017

No se conocen los orígenes ni los autores de Hajime, aunque hasta ahora no parece que haya sido usado para lanzar ataques DDoS. Todo parece indicar que está intentando expandirse de forma más silenciosa, esperando el momento más idóneo para atacar. Esta situación genera cierta incertidumbre debido a que todavía no se conocen los propósitos de la botnet creada con Hajime, aunque se especula con futuros ataques DDoS y el fraude financiero. Tampoco se descarta que pueda formar parte de algún tipo de investigación al no haber hecho aparentemente ninguna actuación maliciosa destacable.

El tipo de dispositivo infectado también cambia entre Mirai y Hajime. Mientras que el primero ha ido contra dispositivos ARM, MIPS, x86 y de otras seis plataformas que ejecutaban tanto Linux como Windows, el segundo se ha centrado más en dispositivos con arquitectura ARM. Esto quiere decir que la competencia directa entre los dos malware todavía no se ha hecho efectiva, aunque podría darse en un futuro.

¿La solución? Unos parches que posiblemente no lleguen

Investigadores de distintos entes han recomendado hacer lo mismo, parchear los dispositivos IoT para neutralizar la vulnerabilidad que permite la expansión y posible ejecución tanto de Mirai como de Hajime. Pero aquí nos encontramos un panorama muy similar al de los smartphones Android, en el que muchos fabricantes no suministran los parches necesarios a tiempo o ni siquiera lo hacen, dejando una gran cantidad de dispositivos expuestos.

Por otro lado, ya hay informes haciendo hincapié en la gran cantidad de dispositivos inseguros conectados, algo que se suma a la escasa seguridad ofrecida por muchos dispositivos IoT, pudiéndose destacar el deficiente diseño de Tizen.

Fuente | CSO Online

por Eduardo Medina Tue, 18 Apr 2017 11:22:37 +0000

Shadow Brokers publica más supuestos exploits y herramientas contra SWIFT y Windows

Shadow Brokers, el grupo hacker que se autoproclamó autor del robo de las herramientas de la NSA, ha publicado recientemente más exploits y herramientas destinados a atacar versiones recientes del sistema operativo Windows y SWIFT, la red bancaria que enlaza a miles de entidades de todo el mundo.

Estos no son los únicos contenidos publicados por Shadow Brokers, que supuestamente está disuelto, sino que la semana pasada también dio a conocer la contraseña para la caché cifrada con el fin de hacer uso de unos exploits hallados en Unix, incluyendo uno zero-day remoto que afecta al sistema operativo Solaris y el framework TOAST que el grupo intentó subastar el pasado verano.

El material mencionado en el primer párrafo ocupa un total de 117,9MB, siendo un fichero cifrado que se puede descargar desde el mismo blog de Shadow Brokers. Para descifrar y acceder a los contenidos se tiene que introducir la siguiente contraseña:

Reeeeeeeeeeeeeee

Como era de esperar, era cuestión de tiempo que los contenidos descomprimidos y descifrados estuviesen disponibles para todo el mundo, pudiéndose ya obtener desde GitHub junto a una lista de lo que hay dentro.

Entre el material filtrado se pueden encontrar 23 herramientas para hackear, las cuales han recibido nombres tan extraños como OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan y DoublePulsar, entre otros. Por otro lado, investigadores en seguridad empezaron a examinar para comprobar las capacidades reales de los presuntos exploits, implantes y cargas útiles que supuestamente atacaban al sistema operativo Microsoft Windows.

La filtración ha quedado desacreditada

La filtración de Shadow Brokers ya ha tenido respuesta por parte de algunos expertos.

En primer lugar, EastNets niega que la estructura burocrática de SWIFT haya sido comprometida. La empresa ha dicho de forma explícita en una publicación en su blog que los informes de hacking son “totalmente falsos en infundados”, argumentando que “los informes de sobre el presunto comprometimiento mediante ataque hacker de la red EastNets Service Bureau (ENSB) es totalmente falsa e infundada. La Unidad de Seguridad interna de la red de EastNets ha realizado una comprobación completa de sus servidores y no han encontrado ningún comprometimiento por ataque hacker ni vulnerabilidades.”

Por otro lado, EastNets explica que su servicio burocrático se “ejecuta sobre una red segura separada que no puede ser accedida desde redes públicas. Las fotos mostradas en Twitter, reclamando el comprometimiento de la información, son de páginas antiguas y obsoletas, derivado de un servidor interno de bajo nivel que fue retirado en 2013.”

Sobre el material relacionado con Windows, Microsoft comenta que la mayoría de exploits publicados por Shadow Brokers ya fueron neutralizados a través del parche mensual de seguridad publicado el pasado martes.

Fuente | The Hacker News

por Eduardo Medina Mon, 17 Apr 2017 10:09:00 +0000

Un troyano para Android hallado en la Play Store afecta a 420 bancos

El investigador en seguridad Niels Croese, de Securify B.V, ha descubierto una nueva variante de un troyano bancario para Android oculto bajo diferentes nombres en la Play Store, entre ellos la aplicación Funny Videos 2017.

Croese ha analizado la aplicación Funny Videos (vídeos divertidos en inglés), la cual tiene entre 1.000 y 5.000 instalaciones, descubriendo que actúa como cualquier otra de contenidos de vídeo en la Play Store, pero en segundo plano se dedica a ir contra las aplicaciones bancarias instaladas en los dispositivos Android.

El troyano bancario recientemente descubierto funciona como cualquier otro malware del mismo tipo, pero hay dos cosas que lo hacen algo diferente: su capacidad para apuntar contra las víctimas y el uso de la herramienta DexProtector para ofuscar el código de la aplicación.

El malware descubierto por Niels Croese ha recibido el nombre de BankBot, y tiene como objetivo a los clientes de más de 420 bancos de todo el mundo, incluyendo Citibank, ING, ABN, Rabobank, ASN, Regiobank, Binck y muchos otros, por lo que posiblemente el tuyo, en el cual eres cliente, también esté afectado.

Funny Videos 2017, la aplicación que contiene le troyano bancario para Android BankBot

Cómo funciona BankBot, el nuevo troyano bancario para Android

BankBot es un troyano bancario que no parece ser otra cosa que una aplicación sencilla. Una vez instalada, permite a los usuarios ver vídeos divertidos, pero en segundo plano puede dedicarse a interceptar mensajes de SMS y desplegar ventanas superpuestas para robar información bancaria.

Los troyanos bancarios para móviles muchas veces son distribuidos como plugins para las aplicaciones o una aplicación con contenido adulto, pero en esta ocasión se ha detectado que puede ser descargado de la misma Play Store, haciéndose pasar como una aplicación estándar de Android.

Nada más detectarse esta situación, Google procedió a eliminar las aplicaciones relacionadas con BankBot de la Play Store, sin embargo, aquellas personas que aún las tenga instaladas siguen en riesgo. Por otro lado, esto no quiere decir que el malware no siga en la misma tienda ofuscado en otras aplicaciones, ya que la “Play Store se basa principalmente en un escaneo automatizado sin una comprensión plena de los actuales vectores ofuscados, dando como resultado un malware bancario en la Google Play Store”, según explica el mismo investigador.

Una vez descargada, la aplicación con BankBot ofuscado pide de forma persistente permisos de administración. Si se les concede, el malware bancario puede controlar cualquier cosa que pase en el smartphone Android infectado. Luego, BankBot entra en acción cuando la víctima abre cualquier otra aplicación móvil desde una lista preconfigurada con 425 aplicaciones de bancos, dedicándose a imitar sus interfaces para que el usuario pique e introduzca sus datos, siendo esto un ataque de phishing.

Ventanas superpuestas de BankBot, troyano bancario para Android, que suplantan las interfaces de bancos para robar datos

Si el usuario rellena los campos enviará sus datos a dos destinos. Uno de ellos es el propio banco del usuario, pero el otro son los servidores utilizados por los ciberdelincuentes. Esta técnica de ingeniería social es a menudo utilizada para obtener los datos bancarios de personas incautas.

¿Cómo protegerse de BankBot?

El usuario puede seguir estas recomendaciones sencillas y estándares para evitar caer en el ataque de phishing de BankBot:

  • Instalar una buena aplicación antivirus capaz de detectar y bloquear el malware que pueda infectar el smartphone, además de tenerlo actualizado.
  • Instalar las aplicaciones siempre de tiendas oficiales, como Play Store y App Store, además de verificar los permisos solicitados. En caso de que la aplicación pida más permisos de los que en teoría necesita, se recomienda no instalarla.
  • No descargar aplicaciones procedentes de tiendas o sitios web de terceros. Aunque el caso que nos ocupa afecta a la Play Store, generalmente el malware para Android tiende a distribuirse fuera.
  • Esquivar los puntos de Wi-Fi desconocidos y/o no seguros y apagar la Wi-Fi del router de casa en caso de no usarse.
  • Tener cuidado con las aplicaciones a las que se concede permisos de administración, ya que estos pueden otorgar poder total sobre el dispositivo.
  • Nunca hacer clic sobre enlaces de los SMS. Incluso si la procedencia es legítima, se recomienda en su lugar abrir el sitio web desde un navegador y comprobar las actualizaciones manualmente.

Fuente | The Hacker News

por Eduardo Medina Fri, 14 Apr 2017 10:09:33 +0000

Hackers se apoyan en routers situados en hogares para atacar sitios web WordPress

Un grupo de hackers se está apoyando en routers para el hogar inseguros para lanzar ataques coordinados de fuerza bruta contra paneles de administración de sitios web WordPress.

Como no podía ser de otra forma, el objetivo es obtener la contraseña de una cuenta de administración para adueñarse del sitio web (ya que la fuerza bruta consiste en ir probando contraseñas hasta acertar, generalmente utilizando un diccionario). El hecho de apoyarse en routers situados en hogares permite a los hackers esparcir sus ataques de fuerza bruta a través de miles de IP diferentes, esquivando así cortafuegos y listas negras.

Los routers están siendo secuestrados a través del puerto 7547

Los encargados del desarrollo de WordFence, un plugin de seguridad para WordPress, han sido los que han descubierto este ataque, diciendo que el grupo de hackers detrás de esta campaña se está apoyando en dos fallos de seguridad (1 y 2) en el protocolo de gestión del router TR-069, los cuales utiliza para hacerse con el control de los dispositivos. La explotación de los fallos se tiene que hacer a través del envío de peticiones maliciosas por el puerto 7547.

Según los expertos, los hackers solo están haciendo unos pocos intentos de acceso desde cada router con el fin de mantener un perfil bajo en sus ataques. De momento no se conoce el tamaño de la botnet creada, pero podría haber incluso más de una botnet. WordFence dice que el 6,7% de todos los ataques de fuerza bruta contra sitios web WordPress en 2017 vienen de routers con el puerto 7547 abierto de cara a Internet.

Los ataques pueden proceder de hasta 28 ISP diferentes

WordFence ha rastreado a algunos de los ciberdelincuentes a través de 28 ISP de todo el mundo, de las cuales 14 tienen una gran cantidad de routers con el puerto 7547 abierto a conexiones externas. La lista completa se puede consultar desde aquí. En muchos de esos incidentes, los ataques fueron rastreados hasta routers Zyxel ZyWALL 2. Por otro lado, se conoce que algunos modelos routers de ese fabricante están afectados por los fallos de TR-069.

A finales del año pasado, un hacker intentó secuestrar casi un millón de routers, principalmente de ISP de Alemania y Reino Unido. Muchos de los routers eran de la marca Zyxel y lo que pretendía el hacker era crear una botnet utilizando el troyano Mirai para realizar ataques DDoS.

Las ISP podrían detener fácilmente los ataques contra los paneles de administración de WordPress

Los expertos en seguridad de WordFence recomiendan a los usuarios limitar el acceso a través del puerto 7547. Sin embargo, hay que tener en cuenta que la mayoría de los usuarios no tienen conocimientos suficientes como para tratar con puertos, además de que por lo general los routers suelen tener cerrados los puertos no asignados.

Debido a esta situación, WordFence argumenta que “las ISP tendrían que filtrar el tráfico en sus propias redes procedente de Internet que apunta al puerto 7547. El único tráfico que tendría que estar permitido es el tráfico de la propia configuración automática de los servidores o los servidores ACS hacia y desde el equipo del cliente”, comenta Mark Maunder, CEO de WordFence.

Fuente | BleepingComputer

por Eduardo Medina Thu, 13 Apr 2017 10:16:41 +0000

EE.UU. tumba la botnet Kelihos tras arrestar a su operador ruso en España

Un hacker ruso ha sido arrestado el pasado fin de semana en Barcelona por ser el presunto operador de una botnet masiva.

Peter Yuryevich Levashov, un programador ruso de 32 años, es sospechoso de ser el operador principal de la botnet Kelihos, que desde 2010 ha infectado a unos 100.000 ordenadores con el fin de usarlos para enviar spam, robar contraseñas e infectar otras computadoras con ransomware y otros tipos de malware, según el Departamento de Justicia de Estados Unidos.

Levashov ha estado actuando bajo el pseudónimo de Peter Severa, siendo en consecuencia la misma persona que está en la lista de los 10 peores spammer del mundo según Spamhaus, que lo colocó en el séptimo. El arresto pudo llevarse a cabo después de que el FBI supo la semana pasada que estaba viajando con su familia a España desde Rusia.

Inicialmente se pensó que Levashov fue arrestado como sospechoso del ataque hacker contra el proceso de elecciones en Estados Unidos celebradas el año pasado, debido a que su mujer contó a Russia Today que fue arrestado por ese hecho, además de la brecha de datos contra el Comité del Partido Demócrata. Sin embargo, el Departamento de Justicia de Estados Unidos salió a confirmar que los motivos eran otros.

La realidad es que Levashov está vinculando a la botnet Kelihos, algo que descubrió el FBI tras ver que la misma dirección IP del operador fue utilizada para acceder a su email y a otras cuentas online, incluyendo Apple iCloud y sus cuentas de Gmail. Según la acusación, Levashov ha estado operando con la botnet desde 2010, teniendo como objetivo infectar ordenadores Windows. Kelihos ha sido usada presuntamente para distribuir cientos de millones de emails en forma de spam al año, a lo cual se puede sumar una gran cantidad de estafas.

Además de sus actividades con el spam, el fiscal también ha señalado que Kelihos fue usada para infectar computadoras de usuarios finales con malware y de recolectar contraseñas para servicios online y cuentas bancarias de miles de estadounidenses. Según el asistente del fiscal, “Kelihos fue armado rápidamente para vastos y variados tipos de daños” que se han transformado en una amenaza para todos los estadounidenses. Por otro lado, recalca que este éxito se debe a la “cooperación entre la industria privada y las fuerzas de la ley, además del uso tácticas legales y técnicas innovadoras.”

El FBI consiguió obtener una orden judicial para redirigir el tráfico de los PC infectados por Kelihos a los servidores gestionados por las autoridades estadounidenses, empleando para ello un proceso llamado “Sinkhole attack” (ataque de sumidero). Esto ha permitido bloquear cualquier intento de la botnet por volver a tener el control de los ordenadores infectados, llevando su tráfico hacia un “sumidero”.

Siendo más concretos, el FBI ha explicado que ha trabajado junto a las firmas CrowdStrike y Shadowserver Foundation (un grupo de voluntarios de expertos en seguridad de la información) para desplegar el ataque de sumidero con el fin de desconectar las comunicaciones entre los criminales y las computadoras infectadas.

Levashov ha sido acusado de fraude e intercepción no autorizada de comunicaciones electrónicas. El gobierno estadounidense está ahora intentando su extradición a Estados Unidos.

Fuente | The Hacker News

por Eduardo Medina Wed, 12 Apr 2017 10:12:11 +0000