Bienvenido a Indetectables.net

70.000 servidores con memcached están en riesgo por unos bugs que llevan presentes 8 meses

El pasado mes de octubre se corrigieron tres fallos críticos en memcached que a día de hoy siguen afectando a unos 70.000 servidores expuestos en Internet.

Memcached es un software que implementa una caché de alto rendimiento en el servidor donde es instalado. Siendo un sistema distribuido, se utiliza para el almacenamiento en caché de datos u objetos en la RAM, reduciendo de esta manera los accesos a datos como los almacenados en la base de datos o las API y el tiempo necesario para el despliegue de contenidos.

Volviendo las vulnerabilidades, el pasado mes de octubre los desarrolladores de memcached corrigieron tres de ejecución de código en remoto (CVE-2016-8704, CVE-2016-8705 y CVE-2016-8706), las cuales fueron descubiertas por investigadores de Cisco Systems. Todas las vulnerabilidades afectaban al protocolo binario para almacenar y recuperar datos de memcached. Por otro lado, una de estas, además, se encontraba en la implementación de la Capa de Seguridad y Autenticación Simple (SASL).

Sin embargo, esta incidencia a nivel de seguridad solo es la punta del iceberg, ya que los investigadores de Cisco, pertenecientes a la división Talos, decidieron el pasado mes de febrero realizar una serie de comprobaciones a través de Internet, obteniendo unos resultados poco alentadores, ya que descubrieron 106.000 servidores memcached directamente expuestos, de los cuales solo 24.000 requerían autenticación.

El hecho de que muchos servidores sean accesibles sin autenticación no es lo peor, ya que los investigadores de Cisco vieron que solo 200 servidores de los que requerían autenticación tenían aplicados los parches publicados en octubre. A nivel global, se detectaron que unos 85.000 servidores no tenían aplicados los parches publicados en octubre.

Ante esta situación, los investigadores de Talos decidieron ir notificando a los responsables de los servidores afectados a ver si conseguían que los parchearan. Cinco meses después, a principios de este mes de julio, volvieron a sondear Internet y descubrieron de nuevo 106.000 servidores memcached directamente expuestos, aunque 28.500 de estos tenían una IP diferente con respecto a febrero.

Los resultados fueron bastante decepcionantes, ya que descubrieron 73.400 servidores con los parches publicados en octubre sin aplicar, además de que solo 18.000 requerían autenticación. De este último conjunto, el 99% todavía tenía vulnerabilidad de SASL. Los investigadores de Cisco han llegado a la conclusión de que muchos mantenedores de servidores web hacen un trabajo pobre a la hora de mantener correctamente los niveles de seguridad, algo que podría afectar a sus usuarios con posibles filtraciones de datos.

El mal mantenimiento de un sistema, ya sea de escritorio o servidor, puede tener consecuencias catastróficas. Para más señas, tenemos el reciente caso de WannaCry, que se dedicó a explotar una vulnerabilidad para la cual ya había un parche disponible desde hace tiempo.

Fuente: The New Stack

por Eduardo Medina Tue, 25 Jul 2017 10:28:11 +0000

El Proyecto Tor ha iniciado un programa de recompensas en HackerOne

El Proyecto Tor, encargado de la famosa red para anonimizar el tráfico y del conocido navegador Tor Browser, inició hace unos días un programa en HackerOne para “cazar bugs”.

El Proyecto Tor anunció el pasado jueves su alianza con HackerOne para la creación de un programa público de recompensas por hallar vulnerabilidades que puedan comprometer la privacidad de la red Tor.

A los que sigan los pasos del Proyecto Tor posiblemente esto no les pille por sorpresa, ya que anunció en diciembre de 2015 sus intenciones de lanzar un programa de estas características, con todo el mundo pudiendo contribuir a él, aunque para ello es necesario unos profundos conocimientos sobre ciberseguridad y privacidad a través de la red.

El pago más alto por encontrar fallos en la red Tor es de 4.000 dólares. Los cazadores de recompensas podrán ganar entre 2.000 y 4.000 dólares por fallos de severidad grave, entre 500 y 2.000 dólares por los de severidad media y 100 dólares por los de severidad leve.

Hasta el día de hoy han sido muchas las empresas y entidades importantes las que han contado con el servicio de recompensas por encontrar bugs de HackerOne, entre las cuales están Intel, WordPress, Pornhub y General Motors.

Fuente: The Hacker News

por Eduardo Medina Mon, 24 Jul 2017 09:54:20 +0000

Cuidado con las estafas que consisten en falso soporte técnico para Windows

De forma cíclica aparecen ciberestafas que básicamente se tratan de falso soporte técnico para Windows, con las cuales los ciberdelincuentes inutilizan el ordenador de la víctima para luego chantajearla, aunque lo hacen de tal manera que posiblemente la víctima no se de cuenta del engaño hasta que ya es demasiado tarde.

Los investigadores en seguridad de G DATA han descubierto una estafa de falso soporte técnico para Windows, y para saber con exactitud su procedimiento, uno de sus trabajadores se ha hecho pasar por una víctima para así obtener todos los detalles sobre su comportamiento, más cuando no se termina de seguir al pie de la letra sus instrucciones.

La estafa comienza cuando en el ordenador de la víctima aparece un falso mensaje de alerta advirtiendo de un error en Windows 10, en el cual se explica que el sistema ha sufrido un daño grave y que se ha quedado bloqueado por motivos de seguridad, mostrando también el número de teléfono del estafador que ofrecerá el falso soporte técnico. Con el fin de asegurarse la realización de la llamada, añaden más drama al mensaje, diciendo que el ordenador será desactivado si se hace caso omiso al mensaje de alerta.

Cuando se realiza la llamada a esta responde uno de los estafadores, que se hace pasar por un ingeniero altamente cualificado que en un principio ofrecerá un trato amable. Tras presentarse, lo primero que pedirá el estafador será bloquear el control de cuentas de usuario (UAC) de Windows para evitar los accesos no autorizados. Sin embargo, esto tiene una consecuencia terrible, ya que la víctima será incapaz de iniciar sesión después de reiniciar el sistema.

Tras superar este primer paso, la actitud del estafador cambia y pasa a ser más agresiva. Para ello, muestra a la víctima una lista de los supuestos malware que tiene instalados en su sistema operativo Windows, abriendo para ello el registro de eventos del sistema. El estafador insiste diciendo que ahí se muestran todas las incidencias por malware ocurridas en el ordenador con la fecha y hora de la descarga. Con el fin de demostrar todavía más sobre sus falsos conocimientos de seguridad informática, ejecuta el comando netstat en una consola para listar las conexiones del ordenador de la víctima.

El estafador sigue marcando los pasos a seguir, hasta que advierte a la víctima de que su sistema Windows está infectado por el malware koobface, leyendo para su explicación un texto extraído de Wikipedia. Tras esto, llega el punto final de la estafa, la parte del pago. El estafador pedirá a la víctima realizar un escaneo completo del ordenador que costará 150 euros más IVA, ofreciendo también la posibilidad de obtener un soporte de por vida (obviamente, falso) a cambio de 888 euros más IVA. Para el pago se aceptan muchas vías, incluidas tarjetas de crédito y tarjetas prepago de Apple iTunes.

No hace falta explicar que, en caso de negarse a pagar la víctima, la actitud del estafador se volverá por momentos más grosera, eso sí, manteniendo siempre su falso perfil de ingeniero que intenta ayudar para solventar un problema con el malware.

¿Cómo reaccionar y prevenir los problemas que pueden ocasionar los falsos servicios de soporte técnico? Para ello se pueden seguir los siguientes consejos:

  • El miedo (a perder información valiosa, inutilizar el equipo o sufrir consecuencias legales) y la intimidación, combinados con los pocos conocimientos de sus víctimas, son las principales bazas de los estafadores. Un servicio de soporte nunca amenazará a sus clientes con consecuencias legales, financieras o de cualquier otro tipo en caso de que estos no acepten la ayuda o se nieguen a realizar algún pago.
  • En caso de dudas acerca de la naturaleza del servicio de atención al cliente, lo suyo sería consultar con un proveedor TIC de confianza.
  • Nunca autorizar el acceso remoto a un PC por parte desconocidos.
  • Nunca compartir datos personales (especialmente teléfonos o datos bancarios) con servicios de soporte al cliente.
  • En caso de sospechar de haber caído en una trampa de estas características, desconectar inmediatamente el cable de red, ya que los estafadores podrían seguir conectados al ordenador aunque haya finalizado la llamada telefónica. Se recomienda encarecidamente no reiniciar el equipo porque posiblemente el sistema no pueda volver a inciarse.
  • Realizar copias de seguridad de los datos siempre es una buena medida para evitar disgustos, siendo esta económica, sencilla de realizar y efectiva.

Os dejamos un vídeo del caso provocado por los expertos de G DATA.

por Eduardo Medina Fri, 21 Jul 2017 09:00:51 +0000

El Segway Ninebot miniPRO puede ser hackeado para provocar accidentes

Con el paso de los años nos hemos ido rodeando de ordenadores, los cuales no solo han llegado a través de dispositivos más o menos recientes y novedosos, sino que además se han computerizado otros que anteriormente eran totalmente mecánicos y bien no eran tan complejos, como coches y televisores.

La combinación de estar rodeado de ordenadores y que muchos de estos no tengan un mantenimiento adecuado a nivel de software termina provocando que el dispositivo menos esperado puede terminar siendo un riesgo para nuestra privacidad o seguridad.

Recientemente se ha conocido que el Segway Ninebot miniPRO, un modelo del famoso vehículo de transporte personal a dos ruedas, podía ser hackeado de forma remota, permitiendo a los hackers tener un control total del vehículo, desplazando de esas funciones al usuario legítimo. Esto, obviamente, puede terminar siendo muy peligroso debido a que abre la puerta a la provocación de accidentes.

Han sido los investigadores IOActive los que descubrieron las vulnerabildades críticas que abren las puertas a ataques hacker contra los Segway Ninebot miniPRO. Además, el vehículo tiene una aplicación compatible para móviles que permite realizar cosas como modificar características de seguridad, ajustar los colores de las luces, realizar diagnósticos de la velocidad, establecer alarmas anti-robo e incluso controlar de forma remota el vehículo.

A Thomas Kilbride, investigador en seguridad de IOActive, ha necesitado de solo 20 segundos realizar un ataque hacker que le ha permitido secuestrar el control remoto del Segway. El investigador ha publicado las vulnerabilidades críticas que ha encontrado y que afectan al Segway Ninebot miniPRO:

  • Saltarse el PIN de seguridad: Un atacante podía utilizar una versión modificada de la aplicación Nordic UART para conectarlo a un Segway Ninebot miniPRO a través de Bluetooth sin necesidad de ningún PIN de seguridad.
  • Comunicaciones sin cifrar: Las comunicaciones entre la aplicación y el vehículo pasaban por un canal sin cifrar, permitiendo a un atacante remoto la realización de un ataque man-in-the-middle e inyectar cargas maliciosas en la transmisión.
  • No había verificación de la integridad del software: Esto, unido al uso de un canal de comunicación no cifrado, permitía a un hacker enviar al Segway una actualización de firmware maliciosa, haciendo que esta terminase instalada debido a la carencia de un mecanismo de verificación.
  • Revelar la localización de los usuarios cercanos mediante GPS: La aplicación de Ninebot tiene una característica basada en GPS llamada “Piloto cercano”, que permite a los usuarios encontrar a otras personas que usan un Segway Ninebot miniPRO en tiempo real. Esto facilitaba a hackers y ladrones la localización de vehículos.

En caso de ser explotadas, las vulnerabilidades podían ser usadas para modificar el comportamiento del Segway en distintas áreas, pudiendo interrumpir los ajustes del vehículo, la velocidad, la dirección del movimiento y el motor.

Por suerte, las vulnerabilidades están parcheadas desde el mes de abril, después de que Thomas Kilbride las reportara al fabricante de vehículos de forma privada. Si tienes un Segway Ninebot miniPRO y no lo has actualizado desde antes del mes de abril, sería muy importante revisar las actualizaciones disponibles para instalarlas cuanto antes.

Os dejamos un vídeo en el que se muestra la actualización de un Segway Ninebot miniPRO con un firmware malicioso.

Fuente: The Hacker News

por Eduardo Medina Thu, 20 Jul 2017 18:01:57 +0000

SHELLBIND, el nuevo malware que explota SambaCry

La compañía de ciberseguridad Trend Micro ha alertado de la existencia de un nuevo malware que explota la vulnerabilidad SambaCry, que afectó sobre todo a sistemas operativos Linux.

Para los que anden despistados, SambaCry fue una vulnerabilidad presente desde hace 7 años descubierta y parcheada hace dos meses y que tenía como principal objetivo a servidores NAS con el fin de realizar minado de criptodivisas. Su nombre recuerda a WannaCry, y no es para menos, ya que afectaba a Samba, una implementación software libre del protocolo SMB/CIFS utilizado por Windows para compartir archivos y otros recursos a través de red, facilitando así la convivencia de Windows con otros sistemas operativos Unix y Unix-like.

A pesar de que se lanzó un parche de forma rápida, parece que a día de hoy sigue habiendo muchos dispositivos con una instalación de Samba sin actualizar, lo que ha motivado el desarrollo de malware por parte de actores malintencionados.

Llamado SHELLBIND, el malware recientemente descubierto por Trend Micro es capaz de funcionar en varias arquitecturas además de x86 (Intel y AMD), abarcando también PowerPC, MIPS y ARM. Se distribuye a través de un fichero de Objeto Compartido (.so) que acaba en carpetas públicas compartidas, siendo después cargado a través de la vulnerabilidad SambaCry.

Una vez implementado en la máquina objetivo, SHELLBIND establece una comunicación con el servidor de mando y control del atacante, que ha sido localizado en el este de África. Además de órdenes procedentes del servidor, también permite a un atacante tomar el control de la máquina infectada.

Para empeorar la situación, encontrar máquinas expuestas al público que hacen uso de Samba es relativamente sencillo, ya que solo hay que buscar el puerto 445, uno de los dos utilizados por Samba, a través del buscador Shodan para obtener una lista de IP de potenciales víctimas para SHELLBIND. Por otro lado, se desconocen los motivos de los actores maliciosos tras este malware.

El peligro está en los dispositivos IoT

Las distribuciones Linux más conocidas suelen ser diligentes a la hora de suministrar actualizaciones que parchean vulnerabilidades críticas, por lo que el impacto de SHELLBIND tendría que ser limitado.

Sin embargo, el verdadero problema no está en las distribuciones Linux “tradicionales”, sino en el IoT, ya que los dispositivos que abarcan esta área son casi siempre actualizados por el fabricante, dejando al usuario sin margen de maniobra y desprotegido en caso de no ser diligentes a la hora de suministrar actualizaciones de seguridad.

De hecho, la desidia de muchos fabricantes ha terminado por convertir al IoT en un área poco fiable en términos de seguridad.

Aun así, prescindir de Samba sería una buena idea

¿Eres usuario de Linux o de otro sistema operativo Unix o Unix-like? En caso de no necesitar Samba, sería buena idea desinstalar el correspondiente servidor para evitar su exposición.

En caso de necesitar Samba para compartir recursos, se recomienda encarecidamente tener el servidor actualizado con los últimos parches a nivel de seguridad y los puertos 139 y 445 cerrados en el router.

por Eduardo Medina Wed, 19 Jul 2017 11:29:17 +0000

Cómo evitar las compras accidentales en juegos gratuitos por parte de los niños

El modelo de micropagos está muy extendido entre los videojuegos para móviles. Estas aplicaciones en un principio son gratuitas, pero incluyen partes de pago con posibilidades adicionales para exprimirlas al máximo. Este modelo se ha consolidado porque una vez que el usuario se ha quedado enganchado a un juego, hay más probabilidades de que pase por caja para disfrutar de todas las posibilidades que puede ofrecer.

Pasar o no por un micropago es una decisión del usuario, por lo que esto en un principio no supone ningún problema al menos que se trate de un niño. Muchas veces los niños terminan tramitando micropagos sin conocimiento ni consentimiento de sus padres debido a que se dejan llevar por el ansia de ir más allá en el juego. Esta situación se vuelve algo a tener muy presente si se tiene en cuenta que la mitad de los niños españoles de 11 años tiene un móvil, un porcentaje que se dispara al 93% cuando hablamos de adolescentes de 15 años, según el Instituto Nacional de Estadística.

Los micropagos pueden ofrecer todo tipo de contenidos: niveles adicionales, posibilidad de avanzar más deprisa en el juego, nuevos trajes para el personaje o dibujos para tunear un coche, vidas extra, dinero extra, etc. Esto ya depende de cada juego.

El hecho de que los niños puedan realizar compras de forma impulsiva y sin control puede terminar disparando la factura, habiendo casos en los que la cuantía ha superado los 10.000 euros. Para evitar estos disgustos, al igual que cuando se combate el malware, la prevención termina siendo la mejor medida.

G DATA Internet Security para Android permite a los padres configurar un modo infantil en los smartphones y tablets de sus hijos, pudiendo limitar el tiempo de uso y bloquear aplicaciones que no deben ser utilizadas por menores bien porque podrían ser susceptibles de provocar compras o son demasiado profesionales o personales. Por otro lado, se pueden seguir estos cuatro consejos para evitar las compras compulsivas por parte de los niños:

  • Supervisar las aplicaciones y el uso que los menores hacen del dispositivo. Muchos padres no saben en qué aplicaciones invierten sus hijos el tiempo que pasan conectados a sus dispositivos móviles. Por muchos motivos es recomendable saber cuáles son, cómo funcionan y si son susceptibles de provocar estas compras accidentales
  • Bloquear la función de compras integradas: iOS permite desactivar las compras dentro de las aplicacones y Android ofrece la posibilidad de pedir una autenticación cada vez que se realiza una compra.
  • No compartir nunca las contraseñas utilizadas para realizar compras integradas.
  • Instalar una aplicación de seguridad en el dispositivo. G DATA Mobile Internet Security no solo garantiza la seguridad y protege los datos personales almacenados en el smartphone, sino que también incorpora funciones para limitar el tiempo de uso de cada aplicación o, incluso, bloquear el acceso a aquellas desde las que se pueden realizar compras o descargar aplicaciones de pago. Además, G DATA también bloquea las llamadas y mensajes a números Premium, evitando así posibles disgustos por una factura elevada.
por Eduardo Medina Tue, 18 Jul 2017 11:27:03 +0000

Un ciberataque a nivel mundial podría causar pérdidas de 53.100 millones de dólares

Casos como los de WannaCry y NotPetya han despertado la preocupación de muchas empresas e instituciones en torno a la ciberseguridad. Cada vez estamos más interconectados a través de Internet, y eso supone más posibilidades de recibir un cibertaque o bien dar medios para realizar uno, como por ejemplo los necesarios para la creación de una botnet.

Con la ciberseguridad en primer plano debido a la cada vez mayor capacidad de los cibercriminales y hackers para lanzar potentes ataques, el mercado de seguros británico Lloyd’s of London ha publicado un informe que intenta predecir las pérdidas máximas que puede ocasionar un potente ciberataque.

El mercado de seguros ha estimado que las pérdidas que podría causar un ciberataque a nivel mundial estarían entre los 53.100 millones y los 121.400 millones de dólares. Este daño, debido a que está totalmente basado en software, sería puramente económico, a pesar de que las cuantías parecen más bien propias de un desastre natural.

Para estimar esas cuantías tan elevadas, Lloyd’s ha planteado dos posibles escenarios de ataques:

  • Ataque hacker contra un proveedor de servicios en la nube: La nube está concentrando cada vez más secciones y departamentos de las empresas. Un ataque contra un proveedor de servicios en la nube podría ser llevado por activistas que podrían realizar una modificación maliciosa de un hypervisor que controla la infraestructura cloud. En caso de realizarse contra servidores cloud utilizados por empresas, el servicio acabaría interrumpido y se forzaría a detener la actividad, generando así pérdidas.
  • El segundo escenario sería algo muy parecido a lo visto a través de WannaCry. Windows es un sistema operativo muy utilizado, por lo que una vulnerabilidad grave que le afecte podría causar grandes daños a las empresas en caso de ser explotada. Los informes sobre las vulnerabilidades que afectan a los sistemas operativos podrían ser vendidos a través de la dark web y acabar en menos de ciberdelincuentes que crearían exploits y diseñarían ataques específicos contra empresas vulnerables para obtener un beneficio económico.

Lloyd’s ha calculado las posibles pérdidas para cada uno de los posibles escenarios. Para el primero ha estimado unas cuantías que van desde los 4.600 millones hasta los 53.100 millones de dólares, mientras que para el segundo ha estimado unas posibles pérdidas de entre 9.700 millones y 28.700 millones de dólares.

Los expertos de Lloyd’s dejan entrever en su informe que es muy difícil estimar las posibles pérdidas económicas causadas por un ciberataque de grandes dimensiones, ya que por un lado dicen que las cuantías podrían ser mucho menores si se toman todas las precauciones necesarias, sin embargo, por otro dicen que en un caso extremo de interrupción de los servicios cloud las pérdidas podrían ascender hasta los 121.400 millones de dólares.

Sobre ataques que ya se han producido, Cyence ha estimado que WannayCry ha podido provocar unos 8.000 millones de dólares en total, mientras que NotPetya habría causado daños que ascenderían a 850 millones.

Fuentes: BleepingComputer y Reuters

por Eduardo Medina Mon, 17 Jul 2017 10:11:25 +0000

LeakerLocker es un ransomware para Android que filtra información privada del usuario

Aunque Windows es el sistema más afectado por el malware en general y el ransomware en particular, no se puede obviar que Android le sigue. Aunque lejos de los números de Windows, el sistema operativo de Google sí está marcando distancias con respecto al resto de competidores, y eso algo a tener muy en cuenta.

Una vez más, nos encontramos otro malware para Android que se ha distribuido a través de la Play Store, tienda oficial del sistema operativo. En esta ocasión nos encontramos a LeakerLocker, un ransomware cuyo comportamiento no es el habitual en este tipo de malware, ya que en vez de cifrar los ficheros alojados en el dispositivo de la víctima, se dedica a recolectar, de forma inadvertida, imágenes personales, mensajes, contactos aleatorios, direcciones de email, llamadas y el historial de navegación, además de poder tomar fotografías, amenazando después con compartir toda esos datos con los mismos contactos de la víctima si esta no paga 50 dólares.

Los investigadores de McAfee descubrieron que LeakerLocker se ha estado distribuyendo a través de al menos dos aplicaciones, Booster & Cleaner Pro y Wallpapers Blur HD, las cuales se podían encontrar en la misma Play Store de Google, lo que facilitaba enormemente su difusión.

Para evitar que las aplicaciones fuesen detectadas como malware, los ciberdelincuentes hicieron algo parecido a Dvmap suministrando versiones sin ninguna carga maliciosa, lo que permitía hacerlas pasar por legítimas. Pero una vez instaladas en los dispositivos de las víctimas, las aplicaciones contactaban con un servidor de mando y control para descargar el malware y recibir las instrucciones de recolección de datos, aunque para realizar esto el usuario tiene que conceder permisos innecesarios (por el tipo de aplicación que suplanta) durante la instalación.

LeakerLocker se dedica a bloquear la pantalla principal y muestra un mensaje diciendo que ha habido datos que han sido robados junto con las instrucciones a seguir para realizar el pago del rescate. Es importante tener en cuenta que el ransomware presume de robar todo tipo de datos sensibles, pero los investigadores de McAfee han descubierto que en realidad solo recolecta una cantidad limitada.

A modo de consejo, es importante estar pendiente de los permisos que pide una aplicación. En caso de sospechar que pide más de los necesarios, se recomienda no instalarla porque podría tratarse de un malware o un medio de despliegue de malware.

Fuente: The Hacker News

por Eduardo Medina Fri, 14 Jul 2017 09:49:31 +0000

Filtrados los datos de 14 millones de clientes de Verizon

La empresa de telecomunicaciones Verizon ha padecido una filtración de datos que ha afectado a más de 14 millones de clientes después de que NICE Systems los dejara expuestos por error por una mala configuración de uno de sus servidores.

Chris Vickery, investigador y director de la empresa de ciberseguridad UpGuard, ha descubierto los datos sensibles expuestos en un servidor cloud Amazon S3 desprotegido que permitía tanto el acceso como la descarga de los datos por parte del público.

Entre lo expuesto nos encontramos nombres de los clientes de Verizon, números de teléfono y el PIN de las cuentas, los cuales resultan suficientes para que cualquiera pueda acceder a las cuentas de los usuarios, incluso si se tiene activada la autenticación en dos pasos.

NICE Systems es una empresa israelí conocida sobre todo por ofrecer un gran catálogo de soluciones para las agencias de inteligencia, incluyendo grabación de llamadas telefónicas, seguridad para datos y vigilancia.

Datos de clientes de Verizon filtrados

Debido al tipo de empresa que es NICE Systems, el descubrimiento de Chris Vickery ha dejado sorprendidos a él, a su empresa y a toda persona que se hiciera eco de la noticia, ya que en un principio no tiene sentido que Verizon contrate los servicios de un tercero para que recolecte los datos de sus clientes, sin embargo, parece que NICE Systems monitoriza la eficiencia de sus operadores de centros de llamada para Verizon.

Además de Verizon, los datos filtrados muestran que NICE Systems también podría tener otro acuerdo con la compañía de telecomunicaciones francesa Orange, cuyo objetivo sería recolectar datos de clientes de Europa y África.

Tras su descubrimiento, Vickery informó de forma privada a Verizon sobre la exposición de sus datos el pasado mes de junio, los cuales fueron puestos en un lugar seguro tras pasar una semana.

Fuente: The Hacker News

por Eduardo Medina Thu, 13 Jul 2017 10:36:08 +0000

El RAT Adwind es un malware multiplataforma contra la industria aeroespacial

Investigadores en seguridad han descubierto un nuevo troyano de acceso remoto (RAT/Remote Access Trojan) construido con Java al que han decidido llamar Adwind, que está afectando sobre todo a la industria aeroespacial de países como Suiza, Austria, Ucrania y Estados Unidos.

Adwind ha tenido otros nombres en el pasado, entre los cuales están AlienSpy, Frutas, jFrutas, Unrecom, Sockrat, JSocket y jRat. Esto es así debido a que se trata de un malware que lleva en desarrollo desde 2013, por lo se han lanzado distintas versiones a lo largo del tiempo. Por otro lado, al estar hecho con Java, se abre la puerta a que pueda causar daños en distintos sistemas operativos, entre los cuales están Windows, macOS (requeriría de la instalación de la máquina virtual de Java de Oracle), Linux (donde está OpenJDK por defecto, pero también se puede instalar el Java de Oracle) y Android (que usa su propia implementación de Java, Dalvik/ART).

Pasos de la campaña de difusión del RAT Adwin correspondiente al mes de junio

Entre sus capacidades maliciosas, Adwind es capaz de robar credenciales, registrar las pulsaciones de teclado, tomar capturas de pantalla, además de reunir y filtrar datos. El troyano puede incluso convertir las máquinas que infecta en miembros de una botnet para lanzar ataques DDoS.

Trend Micro, descubridora del Adwind, ha avisado que el número de infecciones provocado por el malware ha subido de forma repentina durante el pasado mes de junio, llegando a las 117.649 en total. Esto supone un 107% más que en el mes anterior.test

Número de infecciones del RAT Adwind en casa mes durante el año 2017

La campaña de malware estuvo compuesta por dos fases en el mes de junio, algo que explicaría el gran aumento en su impacto. La primera fase fue descubierta el 7 de junio y usaba un enlace malicioso para dirigir a las víctimas a un malware con capacidades de spyware escrito en .NET, mientras que la segunda fase fue detectada justo una semana después y en esta se usaba diferentes dominios para almacenar el malware y los servidores de mando y control. El enlace malicioso mencionado en este párrafo se encontraba incrustado en un email que suplantaba a Mediterranean Yacht Brokers Association.

Además de las capacidades de spyware, el malware escrito en .NET hace la función de descargador para Adwind, que está escrito en Java. Esto quiere decir que pesar de que Adwind puede infectar a distintos sistemas operativos, la exitosa campaña de difusión detectada en junio estaba dirigida a los usuarios de Windows.

Como medidas de prevención se recomienda tener todo el software (sistema operativo, aplicaciones y antimalware) al día y no hacer clic sobre los enlaces que aparecen en los emails sospechosos.

por Eduardo Medina Wed, 12 Jul 2017 10:38:11 +0000