Bienvenido a Indetectables.net

Erebus, el ransomware para Linux que está causando estragos a muchas empresas

Erebus se ha convertido en uno de los ransomware más preocupantes de los que tienen como objetivo a los servidores Linux. El motivo está en lo que le ha pasado a la empresa de hosting surcoreana NAYANA, que vio cómo 153 de sus servidores Linux eran infectados por este malware.

Pero lo peor de todo no ha sido la infección de los servidores en sí, sino las consecuencias provocadas por aquello. Los ficheros y las bases de datos de unas 3.400 empresas se vieron afectados, y para recuperarlos, NAYANA pasó por caja y pagó a los ciberdelincuentes tras Erebus. La empresa de hosting decidió ir de frente y publicar un aviso de lo que había hecho, sin embargo, tras realizar el primer pago de los tres que tiene que hacer, el cual fue de un millón de dólares, parece que todavía no ha recibido la primera clave de descifrado.

Erebus, como es común en la mayoría de los ransomware, nació en un principio para infectar al sistema operativo Windows. Por entonces se distribuía mediante anuncios maliciosos (malvertising) que desviaban a las víctimas al kit de exploits Rig, utilizado para provocar la infección del ransomware. Esta variante de Erebus busca 423 tipos de ficheros y los cifra usando el algoritmo RSA-2048, además de añadir la extensión .encrypt al final de estos. Tras investigar se descubrieron varios sitios web comprometidos que lo estaban difundiendo en Corea del Sur, los cuales estaban siendo utilizados como servidores de mando y control.

En febrero de 2017 apareció una nueva variante que utilizaba una técnica para evitar el Control de Cuentas de Usuario (UAC) de Windows, lo que le permitía saltarse las defensas contra los accesos no autorizados y poderse ejecutar con altos privilegios. Además, en su nota de rescate amenaza con borrar los datos en 96 horas en caso de no recibir el pago de 0,085 bitcoins, que a mediados de junio del presente año venían a ser unos 216 dólares. Con el fin de evitar que el usuario tenga la mínima oportunidad de recuperar, aunque sea parcialmente, sus ficheros, esta variante de Erebus (RANSOM_EREBUS.TOR) se encarga de eliminar las copias instantáneas.

La versión más reciente de Erebus cambia de sistema operativo y ahora apunta a los servidores Linux. Utiliza el algoritmo RSA para cifrar las claves AES, cifrando los ficheros con claves AES únicas. Para permanecer en el sistema utiliza un falso servicio de Bluetooth para garantizar su inicialización incluso tras reiniciar el sistema y emplea una rutina cron para verificar cada hora la ejecución del malware. Debido a que el objetivo aquí son las empresas, el rescate en un principio era más alto, de 10 Bitcoints (24.689 dólares), aunque posteriormente bajó hasta los 5 (12.344 dólares). La variante de Erebus contra Linux infecta un total de 433 tipos de archivo (aunque Linux internamente no trabaja con extensiones como las de Windows), entre los cuales están pptx, docx, xlslx, sql, mbd, dbf, odb, zip, rar, eml, msg, html, css, php, java, avi y mp4.

Para minimizar las posibilidades de acabar infectado por un malware, los procesos a seguir en Linux no varían mucho de los que tendríamos que seguir en Windows:

  • Mantener el sistema actualizado para obtener los últimos parches y correcciones a nivel de seguridad.
  • Minimizar al máximo la utilización de repositorios de terceros o de fuentes desconocidas, ya que estos pueden contener vulnerabilidades que podrían ser explotadas por los ciberdelincuentes.
  • Aplicar siempre los mínimos privilegios necesarios para evitar la exposición de datos a posibles daños y los posibles accesos no autorizados.
  • Supervisar y validar de forma activa el tráfico de la red para protegerse de amenazas y detectar el tráfico malicioso. Se recomienda el uso de firewalls y otros mecanismos de prevención y detección de intrusiones.
  • Realizar copias de seguridad de los datos. Algo simple y que resulta una perogrullada, pero tener una copia de seguridad siempre ayuda a minimizar los daños provocados por un malware (o incluso una avería), más si los datos son irrecuperables tras el incidente.
  • Segmentar la red y categorizar los datos.
por Eduardo Medina Mon, 26 Jun 2017 09:46:21 +0000

La ISP Virgin Media pide a 800.000 clientes que cambien la contraseña

La ISP británica Virgin Media urge a 800.000 clientes a cambiar la contraseña de sus routers Super Hub 2 debido al riesgo por ataque hacker.

El problema se ha destapado tras descubrir unos investigadores en seguridad que los mencionados dispositivos pueden ser hackeados fácilmente en caso de no haberse cambiado la contraseña por defecto empleado por el panel de administración.

Como es evidente, la raíz del problema es que la contraseña de fábrica es débil, ya que está compuesta por tan solo ocho caracteres que consisten en letras en minúsculas. Esto deja el terreno muy llano para la ejecución de ataques mediante fuerza bruta, pudiendo obtener la contraseña del router en tan solo unos días. Por otro lado, las herramientas para llevar acabo el ataque hacker están disponibles en Internet, lo que vuelve relativamente accesible su realización por parte de cualquier persona con unos mínimos conocimientos.

El modelo de router posterior, el Super Hub 3, escapa mucho mejor de las pruebas realizadas por los investigadores, quienes han estimado que se necesitaría unos 262 millones de años en romper la contraseña por defecto a través de la utilización de la misma herramienta empleada contra la versión 2, gracias a que la contraseña incluida de fábrica es mucho más fuerte.

Aparte de avisar a los clientes, Virgin Media también recomienda realizar actualizaciones tanto de software como de firmware en los routers, además de aconsejar la posible adquisición de un Super Hub 3 al tener este notables mejoras a nivel de seguridad. Con el fin de facilitar al máximo el soporte a los clientes, la ISP ha publicado una guía para cambiar la contraseña por defecto en los routers Super Hub 2.

Router Super Hub 2 de Virgin Media

Este no es el primer problema que afrontan los routers Super Hub 2, ya que a principios de mes otros investigadores conseiguieron hacer una ingeniería inversa a su firmware, pudiendo obtener acceso a estos y restaurar las copias de seguridad de las configuraciones de los usuario, los puertos y las DNS.

Para realizar el ataque descrito en el párrafo anterior, los investigadores descubrieron que todos los routers Super Hub 2 utilizaban la misma clave de cifrado, por lo que al hackear una unidad, se abría la puerta para poder acceder a todas las unidades del mismo modelo de router. Para corregir el problema, Virgin Media liberó una actualización del firmware.

Debido a que muchas ISP y fabricantes ponen contraseñas débiles por defecto en los routers, desde MuySeguridad recomendamos encarecidamente su cambio nada más iniciar el dispositivo por primera vez, además de mantener el firmware actualizado para evitar los problemas de seguridad.

Fuente: The Inquirer

por Eduardo Medina Fri, 23 Jun 2017 11:14:12 +0000

WannaCry afectó a una planta de Honda el pasado fin de semana

El fabricante de automóviles Honda ha anunciado que el pasado fin de semana se vio forzado a detener la producción de la planta Sayama, situada en la ciudad japonesa de Saitama, debido a que esta quedó afectada por WannaCry.

Según el sitio web de Honda, la mencionada planta se encarga de casi todos los pasos del proceso de fabricación de vehículos, entre los cuales se encuentran los modelos Oddisey y Accord. La planta Sayama es una de las treinta que la multinacional tiene repartidas por todo el mundo.

Reuters ha recogido a través de un portavoz que la compañía se ha visto afectada en más de una ocasión por WannaCry, ya que el ransomware consiguió acceder a sus redes en Japón, América, Europa, China y otras regiones. Tras darse a conocer la polémica en torno al mencionado malware, Honda decidió poner en marcha una serie medidas de seguridad adicionales que parecen no haber sido suficientes.

Ante la situación, Honda decidió derivar la producción a otras plantas hasta resolver la infección por WannaCry de Sayama, cosa que consiguió el martes de esta semana, recuperando así su actividad normal. Sin embargo, no se sabe qué medidas ha tomado para lograrlo.

Tras conocerse este caso, Honda se suma Renault y Nissan entre los fabricantes de vehículos afectados por el temido ransomware.

Fuente: ThreatPost
Imagen: Flickr

por Eduardo Medina Thu, 22 Jun 2017 11:17:48 +0000

AV-Test otorga la máxima nota G DATA Mobile Internet Security para Android

La institución de investigación independiente austriaca AV-Test, dedicada al análisis de soluciones antimalware, ha publicado su última comparativa de aplicaciones de seguridad para el conocido sistema operativo Android.

En las pruebas realizadas por AV-Test, la aplicación G DATA Mobile Internet Security logró una detección del 100% del malware y las mejores puntuaciones en apartados como la utilidad (donde se midió el impacto de la aplicación en la utilidad del propio smartphone) y las funciones. Además, consiguió la puntuación máxima que puede otorgar AV Test, un 13 sobre 13, lo que le valió el certificado de la institución austriaca.

Desde AV-Test hacen hincapié en la cada vez mayor presencia de amenazas y malware contra los dispositivos móviles. “Las amenazas contra los dispositivos móviles no dejan de crecer, por lo que las soluciones de seguridad ofrecen una protección cada día más necesaria y los análisis regulares de AV-TEST muestran qué apps se muestras como las mejores opciones”, afirma Andreas Marx, CEO de AV-Test. Por otro lado, Dragomir Vatkov, responsable de desarrollo de soluciones en G DATA Software, afirma que “solo la mejora progresiva y continuada de una solución de seguridad garantiza la mejor protección posible de los clientes en el tiempo.”

Recordamos que G DATA detectó la aparición de 350 nuevas aplicaciones maliciosas para Android cada hora durante el primer trimestre de 2017. A pesar de que el aumento en la cantidad de muestras de malware contra Android se va frenando, la tendencia sigue siendo al alza, lo que obliga a ser cada vez más precavidos. A esto se suma la acusada fragmentación presente en Android, lo que impide a la mayoría de los usuarios disponer de las últimas características de seguridad incluidas en el sistema.

Proyección de G DATA sobre las nuevas aplicaciones maliciosas para Android para 2017

G DATA Mobile Internet Security ofrece una protección integral y reconocida para los dispositivos Android contra el software malicioso y los elementos sospechosos o maliciosos mientras se navega por la web, además de soluciones en caso pérdida o robo del dispositivo mediante geolocalización, permitiendo también el borrado de los datos de forma remota. Las principales características de la aplicación son las siguientes:

  • Seguridad antiphising y websites maliciosas basadas en sus tecnologías de protección cloud.
  • Protección contra apps maliciosas. Verificación de permisos y advertencia sobre apps demasiado con permisos abusivos.
  • Protección frente a malware Android basada en tecnología cloud que permite un escaneo avanzado sin consume de recursos y mantiene a la aplicaciones permanentemente actualizada.
  • Sistema antispam de llamadas y mensajes SMS.
  • Protección frente a pérdida o robo. Geolocalización, borrado de datos o bloqueo en remoto de terminales afectados.
  • Módulo VPN opcional, garantiza el anonimato durante la navegación web, ideal para aquellos que están permanente conectados a las redes Wi-Fi.
por Eduardo Medina Wed, 21 Jun 2017 10:42:51 +0000

Ubuntu 17.10 mejorará el soporte de Secure Boot para arrancar Windows desde GRUB

Ubuntu es un sistema operativo en constante desarrollo. A pesar de lanzar cada dos años una versión LTS con 5 años de soporte (siendo estas las recomendadas para los usuarios finales), cada seis meses nos encontramos con un nuevo lanzamiento de esta popular distribución Linux.

Para Ubuntu 17.10 llegarán grandes cambios al sistema, destacando la vuelta de la interfaz gráfica GNOME en su versión 3. Sin embargo, esta no va a ser la única novedad de calado, ya que la carga de cadena de Secure Boot está siendo mejorada para arrancar Windows correctamente desde el gestor de arranque GRUB. Otros parches que van a ser añadidos harán que los usuarios no tengan que inhabilitar Secure Boot cuando usen módulos DKMS.

Los desarrolladores de Ubuntu también están trabajando para añadir algunas características como la habilitación por defecto del soporte para PIE (Position Independent Executables) en las arquitectura i386, armhf y arm64. Esto hará que los binarios habilitados por PIE se carguen automáticamente en ubicaciones aleatorias en la memoria virtual, junto con todas sus dependencias, cada vez que las respectivas aplicaciones son ejecutadas, volviendo así más difícil la ejecución de ataques ROP (Return Oriented Programming).

Otro cambio importante que llegará con Ubuntu 17.10 será la utilización de Netplan para la configuración de redes cuando se instale la versión Server de esta distribución a través del instalador de Debian (distribución madre de Ubuntu).

Fuente: Softpedia

por Eduardo Medina Tue, 20 Jun 2017 10:05:29 +0000

Parece que se confirma el origen norcoreano de WannaCry

Desde que surgieron los primeros exámenes de WannaCry se empezó a sospechar sobre los posibles vínculos de este malware con el polémico régimen de Corea del Norte.

Sin embargo, por entonces todavía quedaban muchos cabos sueltos por atar para determinar quién era el verdadero responsable de WannaCry. Han sido oficiales del National Cyber Security Centre (NCSC) de Reino Unido los que, tras examinarlo minuciosamente, se han visto en condiciones para confirmar que el temido ransomware tiene su origen en Corea del Norte, apuntando concretamente al grupo de hackers Lazarus, que presuntamente trabaja para el régimen de ese país.

La NHS, servicio público de salud del Reino Unido, fue uno de los primeros entes conocidos afectados por WannaCry, del cual se pensó en un principio que era un ataque dirigido a empresas e instituciones concretas. Pero ahora se sabe que el ataque no fue ni mucho menos dirigido, sino que fue indiscriminado, o que incluso a los atacantes se les pudo ir de las manos.

Lazarus fue el grupo de hackers encargado del brutal ataque contra Sony Pictures en 2014, el cual provocó grandes daños y pérdidas a la productora y que fue motivado sobre todo por la película The Interview, una comedia que resulta una crítica explícita al régimen de Corea del Norte y a la figura de Kim Jong-Un. Aunque muchos señalan que Lazarus trabaja para el gobierno norcoreano, nadie es capaz de afirmar esto en firme debido a que no hay pruebas contundentes de que eso sea verdad.

Para llegar a la conclusión de vincular WannaCry con Lazarus, se ha encontrado código en el ransomware que coinciden tanto en la base como en los autores con el empleado en otros malware creados por el mismo grupo de hackers.

Fuente: ItProPortal

por Eduardo Medina Mon, 19 Jun 2017 10:42:32 +0000

Cherry Blossom, el framework de la CIA para hackear routers a través de la Wi-Fi

WikiLeaks ha publicado una nueva entrega de Vault 7, mostrando en esta ocasión de forma detallada un framework utilizado por la CIA para monitorizar la actividad en Internet de los usuarios a través de la explotación de vulnerabilidades halladas en dispositivos Wi-Fi.

Dicho framework se llama Cherry Blossom y fue presuntamente diseñado por la CIA con la ayuda de Stanford Research Institute (SRI International, un instituto de investigación estadounidense sin ánimo de lucro) como parte del proyecto Cherry Bomb.

Cherry Blossom es básicamente un implante de control remoto basado en firmware para dispositivos Wi-Fi, incluyendo routers y puntos de acceso, de los cuales se explotaban vulnerabilidades para obtener acceso no autorizado y poder reemplazar el firmware legítimo por el de Cherry Blossom.

A nivel interno, el framework malicioso empleado por la CIA consta de los siguientes componentes:

  • FlyTrap: Se trata del firmware comprometido que se ejecuta en el dispositivo vulnerable.
  • CherryTree: Servidor de mando y control al que reporta FlyTrap.
  • CherryWeb: Un panel de administración basada en tecnologías web para ejecutar CherryTree.
  • Misión: Conjunto de tareas enviadas por el servidor de mando y control al dispositivo infectado.

Arquitectura de Cherry Blossom

Según el manual de Cherry Blossom filtrado por WikiLeaks, la CIA puede enviar “misiones” a los dispositivos infectados desde el servidor de mando y control a través del panel de control web.

Los tipos de misiones que puede cumplir Cherry Blossom son variados, lo que muestra la versatilidad de este framework. Estas son las cosas que puede hacer según las órdenes recibidas desde el mando y control:

  • Fisgonear el tráfico de Internet del objetivo.
  • Hacer sniffer sobre el tráfico y ejecutar varias acciones basadas en disparadores predefinidos para recolectar datos como URL, nombres de usuario, emails, direcciones MAC, etc.
  • Redirigir el tráfico de Internet del objetivo a otros servidores y proxies.
  • Crear un túnel de VPN desde el operador hacia la red interna del objetivo.
  • Alertar a los operadores cuando el objetivo está activo.
  • Escanear la red local del objetivo.

Según la guía de instalación de Blossom Cherry, el servidor de mando y control tiene que estar localizado en las instalaciones de un patrocinador seguro, instalado en servidores virtuales sobre un Dell PowerEdge 1850, ejecutar Fedora 9 (versión antigua de la distribución comunitaria de Red Hat) y disponer de al menos 4GB de RAM.

Panel de control de Cherry Blossom

Dispositivos Wi-Fi vulnerables ante Cherry Blossom

La lista completa de dispositivos afectados se puede consultar en WikiLeaks, sin embargo, para alertar a los usuarios sobre si su punto de acceso o router es vulnerable, en MuySeguridad mostramos la lista de marcas afectadas:

  • Belkin.
  • D-Link.
  • Linksys.
  • Aironet/Cisco.
  • Apple AirPort Express.
  • Allied Telesyn.
  • Ambit.
  • AMIT Inc.
  • Accton.
  • 3Com.
  • Asustek Co.
  • Breezecom.
  • Cameo.
  • Epigram.
  • Gemtek.
  • Global Sun.
  • Hsing Tech.
  • Orinoco.
  • PLANET Technology.
  • RPT Int.
  • Senao.
  • US Robotics.
  • Z-Com.

Fuentes: The Hacker News y BleepingComputer

por Eduardo Medina Fri, 16 Jun 2017 09:53:07 +0000

Dvmap es otro troyano que ha conseguido colarse en la Play Store de Google

Analistas de Kaspersky Lab han descubierto un nuevo troyano que ha conseguido colarse en la Play Store, infectando a usuarios de Android desde su canal oficial de distribución de aplicaciones.

El nombre de este troyano es Dvmap, y según Kaspersky Lab, ha sido descargado más de 50.000 veces desde que fue publicado en la Play Store el pasado mes de marzo de 2017. En lo que respecta a las acciones que realiza, Dvamp tiene la capacidad de conseguir acceso como root en el sistema, lo que le da privilegios totales sobre el dispositivo Android infectado. Además, es capaz de hacerse con el control del sistema a través de la inyección de código malicioso en las bibliotecas del sistema y, en caso de realizar este paso con éxito, puede eliminar el mismo acceso como root, lo que impediría su detección.

La parte correspondiente a la inyección de código es realmente preocupante, ya que resulta novedosa dentro del sector móvil y permite la ejecución de módulos maliciosos. Por otro lado, el borrado del acceso a root impide la detección a dicho acceso por parte de aplicaciones bancarias y soluciones de seguridad, por lo que no serían capaces de detectar el malware.

La otra acción realizada por Dvmap, la modificación de las bibliotecas del sistema, es un proceso arriesgado que puede fallar. Los analistas de Kaspersky Lab han observado que el troyano rastrea e informa a un servidor de mando y control, incluso sin recibir órdenes por parte de dicho servidor, siendo esto una evidencia de que su implementación o funcionamiento es incompleto.

Para saltarse las medidas de seguridad implementadas por Google para la Play Store, los desarrolladores de Dvmap subieron primero una versión de la aplicación sin malware, siendo este introducido luego a través de una actualización. Para evitar ser detectados, con el paso de las semanas han ido intercalando versiones limpias con otras maliciosas a través de las actualizaciones, realizando el proceso cuatro veces durante las cinco primeras semanas en las que la aplicación estuvo disponible.

Una vez descargada la aplicación maliciosa, el troyano Dvmap se autoinstala en el dispositivo de la víctima en dos fases:

  1. El malware intenta obtener acceso como root.
  2. En caso de tener éxito en la fase anterior, instala una serie de herramientas, algunas de las cuales tienen comentarios en chino. El módulo que inyecta para establecer la conexión entre el servidor de mando y control y el malware cliente es com.qualcmm.timeservices.

En la segunda fase el troyano ejecuta un fichero de inicio para comprobar la versión de Android instalada. Esto le sirve para decidir la biblioteca en la que inyectará un código que se reescribirá a uno malicioso, pudiendo así modificar la biblioteca. Sin embargo, es importante tener en cuenta que este proceso puede llevar a que el dispositivo falle.

Una vez parcheada, la biblioteca modificada se encarga de ejecutar un código malicioso que inhabilita la función de VerifyApps y habilita las fuentes desconocidas en la configuración de Android, permitiendo la instalación de aplicaciones desde cualquier lugar y no solo desde la Play Store.

Desde Kaspersky Lab han decidido identificar el troyano como Trojan.AndroidOS.Dvmap.a, y para prevenirlo, recomiendan la adquisición de Kaspersky Internet Security for Android, además de realizar copias de seguridad de los datos y restaurar la configuración de fábrica en caso de haber sido infectado.

El troyano fue eliminado de la Play Store en cuanto Kaspersky Lab notificó a Google de su presencia. Sin embargo, es obvio que el malware ha tenido tiempo para propagarse e infectar a una cantidad nada desdeñable de usuarios.

Los hackers y cibercrminales están poniendo mucho empeño para saltarse las medidas de seguridad de Google para la Play Store, ya que antes de Dvmap se dieron a conocer los casos de Judy y BankBot.

por Eduardo Medina Thu, 15 Jun 2017 14:47:27 +0000

Tails 3.0 mejora a nivel de interfaz para ser más discreto y fácil de usar

Tails 3.0, la última versión del sistema operativo en vivo, amnésico y de incógnito perteneciente al Proyecto Tor, ya está disponible para su descarga de forma totalmente gratuita.

Para esta versión, basada en Debian 9 Stretch, se puede destacar sobre todo la depuración de la interfaz de usuario, intentando ofrecer una experiencia más accesible y cambiando ciertos aspectos que podrían llamar la atención de “ojos ajenos”.

La ventana de configuración inicial de Tails, Tails Greeter, ha sido rediseñada para facilitar el acceso a todas las opciones desde una única ventana, abarcando idioma, configuración de teclado y de región. También activa las características de accesibilidad por defecto.

Tails Greeter de Tails 3.0

El proceso de apagado es ahora más confiable y solo muestra una pantalla en negro para pasar más inadvertido. Con el mismo propósito se ha incluido un tema en negro en la interfaz gráfica, que vuelve a ser GNOME Classic, para otorgarle un aspecto más moderno y discreto.

Tema negro de GNOME Classic en Tails 3.0

El explorador de archivos ha sido mejorado para que sea capaz de realizar renombramientos de ficheros múltiples y poder descomprimir sin tener que recurrir a una aplicación adicional.

Renombramiento de ficheros múltiple en Tails 3.0

Las notificaciones han sido reubicadas y mejor listadas para mejorar su utilidad. Por otro lado, se ha mejorado el acceso a los atajos de teclado de algunas de las aplicaciones del entorno de escritorio GNOME.

Notificaciones de Tails 3.0

Un aspecto importante a tener en cuenta es que Tails 3.0 solo soporta oficialmente CPU x86 de 64 bitsotorgándole (Intel y AMD). Sin embargo, esto no es ningún drama ya que las CPU de 64 bits se han estado extendiendo durante los últimos 10 años.

Por último, no se puede obviar la actualización de todo el conjunto de aplicaciones, destacando la incorporación de Tor Browser 7.0 y el renombramiento de Icedove por Thunderbird.

Fuente: MuyLinux
Más información: Tails

por Eduardo Medina Wed, 14 Jun 2017 10:16:12 +0000

MacRansom y MacSpy son dos malware como servicio contra macOS

Investigadores en seguridad han descubierto en la Dark Web dos portales de malware como servicio que están suministrando software malicioso para infectar ordenadores Mac con su sistema operativo por defecto, macOS.

Ambos portales fueron puestos en marcha el pasado 25 de mayo y descubiertos por el editor de BleepingComputer, Catalin Cimpanu, mientras realizaba un escaneo rutinario en la Dark Web. El primer portal se llama MacSpy y lo que hace es vender spyware para Mac, mientras que el segundo, de nombre MacRansom, alquila ransomware para infectar ordenadores de la marca perteneciente a Apple.

Si nos fijamos en el diseño de cada uno de los sitios web, queda en evidencia que ambos fueron construidos por la misma persona, ya que son idénticos en su aspecto. El funcionamiento también es muy similar, teniendo los criminales que contactar con el autor del malware para recibir demostraciones y negociar las tarifas.

Portal de MacSpy Portal de MacRansom

¿Cómo están hechos MacSpy y MacRansom?

AlienVault y Fortinet han publicado una investigación desglosando ambos malware llegando a la misma conclusión, que tanto MacSpy como MacRanson son creaciones de un programador sin experiencia. Estos han sido sus descubrimientos:

MacRansom:

  • El autor de MacRansom necesita la aprobación de cada cliente, negociar las tarifas y construir manualmente cada muestra del malware, echando por tierra el propósito del Ransomware como Servicio (RaaS) en primer lugar.
  • El ransomware utiliza cifrado simétrico, con las claves de cifrado incluidas en el código fuente del ransomware.
  • Una de las claves de cifrado es permutada con un número aleatorio y obtenida desde la memoria después terminar el cifrado. Esto significa que el ransomware pierde una de las dos claves de cifrado.
  • El ransomware no se comunica con un servidor de mando y control, esto significa que el autor del ransomware no puede descifrar los ficheros cifrados.
  • El ransomware no utiliza el panel de pago basado en Tor, sino que pide a los usuarios estar en contacto con el arrendador a través de email.
  • El fichero del ransomware no está firmado digitalmente, esto significa que puede disparar alertas de seguridad cuando es ejecutado sobre una instalación estándar de macOS.

MacSpy:

  • El autor de MacSpy parece haber copiado y pegado código de Stack Overflow.
  • La carga del spyware no está firmado digitalmente, lo que puede disparar alertas de seguridad cuando es ejecutado sobre una instalación estándar de macOS.

La situación es paradójica porque MacSpy parece estar mejor programado, pero el más peligroso es MacRansom al ser sus efectos devastadores y casi imposibles de revertir (de momento no hay forma de descifrarlo).

Fuente: BleepingComputer
Más información: Fortinet y AlienVault

por Eduardo Medina Tue, 13 Jun 2017 11:14:45 +0000