martes, 31 de enero de 2017

IMAGEN SVG FORMATO ESTABLECIDO PARA UNA ADOPCIÓN MÁS AMPLIA EN LA DISTRIBUCIÓN DE MALWARE


SVG tiene todos los ingredientes de un gran medio de distribución de software malicioso, y los ladrones están obligados a migrar a este nuevo formato de archivo, ahora que Google se ha movido para prohibir .js adjuntos de correo electrónico.
SVG es un formato de archivo de imagen que se utiliza para almacenar los gráficos vectoriales escalables (SVG) usando la sintaxis XML.
Desconocido para la mayoría es que los desarrolladores también pueden incrustar código JavaScript en archivos SVG. Mientras que la mayoría lo utilizan para animar la imagen de una manera u otra, algunos ladrones inteligentes dieron cuenta de que también podrían hacerlo para hacer daño.

SVG PUEDE TRANSPORTAR CARGAS ÚTILES DE JAVASCRIPT

Hoy en día, se ha convertido en arma JavaScript contra los usuarios durante años. Ya utilizado en publicidad maliciosa y descarga dirigida ataques, JavaScript se ha convertido en un método de ataque viable incluso en el propio escritorio.
En los últimos años, y el año pasado, JavaScript se ha convertido en uno de los métodos más utilizados para infectar los ordenadores con malware. Los ladrones suelen ocultar archivos JavaScript (.js) en archivos ZIP, y enviar los archivos a través de mensajes de correo electrónico, como archivos adjuntos.
Gmail y la mayoría de los proveedores de correo electrónico mirar dentro de estos archivos a menos que estén protegidos con contraseña. Cuando la prohibición Js entra en acción el 13 de febrero para los servicios de Gmail, la mayoría de los spammers se verán obligados a adaptar, ya que no será capaz de utilizar ficheros .js más.
SVG es el principal candidato para reemplazar los archivos .js, ya que también puede ejecutar las mismas cargas exactas de JavaScript. Todos los ladrones tienen que hacer es volver a empaquetar sus archivos adjuntos y mover su código de un archivo a otro.
Aún mejor, de forma predeterminada, en Windows, archivos SVG se ejecute en Internet Explorer, que es el medio perfecto para la ejecución de JS maliciosos.

IVS UTILIZADOS EN CAMPAÑAS DE MALWARE EN EL PASADO

En el último año, ya hemos visto los archivos SVG utilizados para la entrega de malware. Por ejemplo, a finales de noviembre, una campaña de spam en Facebook difundió imágenes SVG para los usuarios en Francia.
Cuando los usuarios abren esta imagen, era redirigido a un sitio web clon de YouTube que les pidió que se instale un pícaro extensión de Chrome, que robó sus credenciales navegador. El daño se produjo después de cierto, cuando algunos usuarios informaron de que sus PCs infectados con Locky ransomware.
mensaje de spam Facebook SVG
Facebook SVG mensaje de correo no deseado (a través de Bart Blaze)
Una campaña más reciente se observó sólo en esta semana pasada, descubierto por @ dvk01uk, Trustwave, y SANS ISC.
Los investigadores encontraron mensajes de correo electrónico con archivos adjuntos ZIP que contenían archivos SVG en lugar de JS, que cuando se ejecuta la carga de una página en IE que trató de engañar a los usuarios para que descarguen un archivo EXE. Este EXE instalaría el troyano bancario Ursnif.
Según los investigadores, esta campaña de correo electrónico con archivos adjuntos comprimidos SVG dirigido sólo a los usuarios japoneses.
Correo no deseado difusión de archivos SVG que entregan Ursnif troyano bancario
Correo no deseado difusión de archivos SVG que entregan Ursnif troyano bancario (a través de Trustwave)
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo

ALGUNOS EJEMPLOS DE CÓDIGO VULNERABLE Y CÓMO ENCONTRARLOS


He recomendado previamente un curso titulado Los exploits de software de Formación de Seguridad abierto, y de manera similar, un libro "llamado El Manual del Shellcoder: Agujeros de descubrir y de seguridad Explotando". El uso de algunos de los ejemplos presentados en el libro, pensé que sería una buena idea para explorar cómo la teoría de las vulnerabilidades de código reales sigue siendo verdad.

DATOS DE LA COPIA

Uno de los escenarios más simples en los cuales código vulnerable puede manifestarse - que por lo general se pueden observar de inmediato - va de la mano con la copia de los datos del buffer utilizando funciones tales como  strcpy , sin realizar ninguna comprobación sobre el tamaño de la copia.
Vulnerabilidad IMAP strcpy
La parte anterior muestra del código vulnerable en la Universidad de Washington  servidor IMAP , que fue corregido en 1998. Podemos ver que nunca se comprueba el tamaño de los datos en el  mecanismo  antes de copiar a  tmp , lo que podría provocar un desbordamiento del búfer. El error se resuelve fácilmente mediante un control con  strlen (mecanismo)  antes de copiar, o mediante el uso de n bytes de funciones de copia, como  strncpy .
Como se puede imaginar, es muy raro estos días para este tipo de vulnerabilidades que se encuentran en aplicaciones de código abierto; y, cuando existen, son corregidos rápidamente.

ÍNDICES INCORRECTOS EN BUCLES

Cuando los índices o las condiciones de corte en los bucles iterativos están mal programados, puede dar lugar a más bytes que se están copiando lo que se pretendía: ya sea un byte ( off-by-one ) o varias ( off-by-a-pocos ). Tomemos, por ejemplo, esta versión antigua del  OpenBSD demonio FTP:
Vulnerabilidad ftp de OpenBSD
Mientras que el propósito del código es reservar un byte para el carácter nulo al final de la cadena, cuando el tamaño del  nombre  es igual o mayor que  npath , y el último byte a ser copiado es "(comillas dobles), podemos ver que el índice  i  se incrementa en más en el comando resaltado. Este resultado en el carácter nulo se insertan un byte más allá del límite, generando un desbordamiento.
Los bucles que se encargan de analizar cadenas o las entradas del usuario tienden a ser buenos lugares para buscar vulnerabilidades, como se muestra en el ejemplo a continuación, de nuevo tomada de la Universidad de servidor IMAP de Washington (CVE-2005-2933):
Vulnerabilidad IMAP bucle
En la línea 20, hay una búsqueda de un signo de comillas dobles dentro de la cadena que se está analizando. Si se comprueba, el bucle en la línea 22 se copia hasta que se encuentre una segunda comilla doble. Claramente, si una cadena está introducida que sólo tiene un carácter tal, el bucle mantendrá la copia, que resulta en una pila de desbordamiento.

DESBORDAMIENTO DE ENTEROS

Una cosa que puede suceder a menudo cuando se trata de evitar una cantidad excesiva de copia de datos a un búfer - comprobando el tamaño para ser copiado - es que el número de bytes a copiar excede el número más grande que puede ser representado por el tipo de datos, girando hacia valores más pequeños. La comprobación termina siendo completado sólo por el tamaño se interpreta como un número pequeño, pero la copia se compone realmente de un gran número de elementos. Esto da como resultado un desbordamiento de la memoria intermedia de destino.
Un ejemplo de esto es cuando se utiliza una multiplicación que produce resultados muy grandes, como en este  OpenSSH código, que aparece en las versiones anteriores a 3.4:
Vulnerabilidad Enteros OpenSSH
Podemos ver que  nresp  almacena el tamaño de un paquete introducida por el usuario. En el comando resaltado,  nresp  se multiplica por el tamaño de un cursor (4 bytes). En consecuencia, si  nresp  almacena un valor mayor que 1073741823, la multiplicación excederá el valor máximo de  unsigned int  (4294967295). En otras palabras,  malloc  se reserva una pequeña cantidad de memoria y el bucle copiar una gran cantidad de datos, produciendo un desbordamiento. Este tipo de vulnerabilidad es todavía relevante y común hoy en día.
Estos son sólo unos pocos tipos de vulnerabilidades, y recomiendo mirar el libro que he mencionado antes para más ejemplos. Mientras que algunos, como el  strcpy tipo, son ahora muy poco común en las aplicaciones de código abierto de hoy, su presencia viva en aplicaciones cerradas o propietarias, o aquellos que nunca han sido objeto de una auditoría de código.
Como regla general, cuando se busca vulnerabilidades en el código de fuente abierta, es recomendable comprobar porciones de código que rara vez se ejecuta, con todas las funciones especiales, ya que son más  propensos a errores . Además, como ya se ha mencionado, cuando los desarrolladores aplican sus propias funciones para el análisis o cadenas de manipulación, tramas de datos, y así sucesivamente, que aumenta la posibilidad de que se cometan errores.
Fuente: http: //www.welivesecurity.com/
CONOCIMIENTO pertenece al mundo

EMSISOFT SITIO WEB AFECTADA POR ATAQUE DDOS COMO RANSOMWARE COMPANY PUBLICA DECRYPTER


En la última semana, dos empresas de seguridad, Dr.Web y squared, sufrieron ataques DDoS a manos de los ciberdelincuentes que intentaron reducir sus sitios web como una venganza por entrometerse con sus actividades ilegales.
El primer golpe de ataque firma de seguridad rusa Dr.Web, que reveló el fin de semana que un ataque DDoS golpeó sus dominios de Rusia y Ucrania (drweb.ru y drweb.ua).
Según la compañía, el ataque llegó a una tasa que oscila entre 200.000 y 500.000 paquetes por segundo, y se prolongó durante más de dos días hasta que sus ingenieros han logrado mantenerla bajo control y restablecer el servicio completo a sus servidores.
El ataque DDoS golpeó la compañía el 25 de enero, un día después de la investigación publicada empresa de seguridad que expuso una red de bots que numerada miles de dispositivos Linux infectados que los ladrones estaban usando para transmitir el tráfico malicioso y ocultar sus direcciones IP.

LOS ATAQUES DDOS GOLPEAN SQUARED EL FIN DE SEMANA

Tres días después, el sábado, 28 de enero de Emsisoft sufrió un destino similar, cuando un ataque DDoS golpeó una sección específica del portal de la compañía, el lugar donde squared acoge Decrypters ransomware.
En declaraciones a la computadora que pita, CTO de Emsisoft Fabian Wosar dijo que el ataque en el reloj en alrededor de 80 Gbps, y sus defensas levantó muy bien, sin tiempo de inactividad de su sitio web.
"No lograron tomar el sitio de abajo", dijo Wosar. "De acuerdo con nuestro proveedor que fue un ataque más pequeña de aproximadamente 80 Gbit. Fue [...] un poco lento ".

MRCR AUTOR RANSOMWARE DETRÁS DEL ATAQUE

"El último ataque DDoS [] fue casi definitivamente relacionado con MRCR porque coincidió con el autor de malware a aparecer en nuestros foros," Wosar También añadió.
MRCR es un nombre alternativo para la Feliz Navidad (o Merry X-Mas) ransomware que apareció en el inicio del año, y para el que Emsisoft dio a conocer un descifrador.
El sábado, la compañía lanzó una actualización para el descifrador MRCR, la orientación última versión del ransomware.
Momentos después, el ataque DDoS golpeado. "El ataque en sí comenzó el sábado alrededor de las 10:00 am CEST, golpeando el sitio descifrador, nuestra infraestructura de correo electrónico, y nuestro portal de auto-ayuda", dijo Wosar. "Se prolongó durante aproximadamente 8 horas."
La sospecha de que el autor Wosar MRCR estaba detrás del ataque DDoS se confirmó un par de horas más tarde, cuando una persona que utiliza el nombre de Puntos de interés local se ha registrado en el foro squared e hizo acusaciones descabelladas que el uso de Decrypters Emsisoft instalará ordenadores ransomware o daño de los usuarios.
En su mensaje, esta persona utiliza una de las direcciones de correo electrónico a la que el ransomware MRCR exigía a los usuarios ponerse en contacto para discutir los detalles del pago de rescates.
mensaje del foro squared
De acuerdo con Wosar, esto no era la primera vez que el portal descifrador de alojamiento de la compañía fue golpeado por un ataque DDoS.
"Tuvimos una más grande sólo un par de semanas de 640 Gbps," dijo. "Múltiples [ataques] en realidad."
El investigador squared nunca se descubrió que estaba detrás de esos ataques, pero dice que en el momento, lanzó tres Decrypters ransomware en un período muy corto en el tiempo.
Más precisamente, uno de los ataques golpeó el 2 de diciembre, poco después de Emsisoft dio a conocer un descifrador libre para el ransomware NMoreira.

PROFESIONALES DE SEGURIDAD CIBERNÉTICA DIRIGIDOS EN EL PASADO

Esta no es la primera vez que las compañías antivirus se han visto afectados por los ataques DDoS, según Andy Shoemaker, fundador y CEO de NimbusDDoS, un proveedor de servicios de simulación y pruebas DDoS.
Al igual que Dr.Web y squared, Kaspersky Lab fue también golpeado por los ataques DDoS en el pasado, después de exponer las campañas de malware, Zapatero dijo que pita por ordenador.
Otro caso es el famoso periodista infosec Brian Krebs, que era el blanco de varios ataques DDoS de mamut en el otoño de 2016, después de exponer un servicio DDoS a sueldo llamado VDOS.
 Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo

jueves, 26 de enero de 2017

China, para prohibir todos los servicios de VPN no aprobados


Así que las últimas noticias de detrás de la Gran Cortafuegos de China es que planean acabar con todos los servicios VPN no aprobados. Esto significa que todos los proveedores de VPN, proveedores de servicios de nube y proveedores de Internet tendrán que buscar una licencia se renueva cada año para operar un servicio de VPN.
China, para prohibir todos los servicios de VPN no aprobados
En realidad, no es muy sorprendente que sale de China y estoy sinceramente sorprendida que les tomó este tiempo. Soy curioso en cuanto a cómo va a funcionar, sin embargo, para los proveedores establecidos fuera de China - ¿cómo van a obtener la licencia? ¿O será que siquiera se preocupan?
El gobierno chino ha iniciado una ofensiva de 18 meses que va a requerir que todos los proveedores de VPN para buscar la aprobación gubernamental para sus actividades si quieren permanecer en el negocio.
La noticia, anunciada por el Ministerio de Industria y Tecnología de la Información el domingo, dice que el mercado de los servicios que no utilizan los filtros de contenido instalados por el gobierno necesita más regulación.
En un comunicado, la dependencia afirmó que el mercado VPN y la computación en nube estaba pasando por "desarrollo desordenado" y que había una "necesidad urgente de normas de regulación." Como tal, la agencia ha decidido que, con el fin de "promover el sano y desarrollo ordenado ", el gobierno tendrá que aprobar cualquier servicio que no utilizan el gran cortafuegos.
Como resultado, todos los ISP, proveedores de servicios de nube, y el distribuidor VPN tendrán que solicitar a su oficina del gobierno regional para una licencia para operar. También tendrán que demostrar al Instituto de Tecnología Informática de la Academia de Ciencias de China que han endurecido la seguridad de sus servicios para hacer frente a las amenazas actuales de Internet.
Estas licencias para operar tendrán que ser renovada anualmente y el fracaso para conseguir uno dará lugar a jefes de la compañía de ser "severamente castigados de acuerdo con la ley". El Ministerio también se reserva el derecho a realizar controles sobre el terreno en cualquier momento para hacer que se cumpla.

Lo que sospecho es que China va a utilizar esto como una herramienta para bloquear arbitrariamente grandes segmentos de la Internet de sus ciudadanos citando esta nueva ley, por lo que todos los proveedores sin licencia y por lo tanto ilegal.
Todo el asunto "desarrollo desordenado", literalmente, me hizo LOL, lo que un ángulo. Ese es el punto de la derecha computación en la nube? El desacoplamiento, la escala, rápido despliegue de nuevos servicios = desordenada en los ojos del gobierno chino.
De manera que las mandarinas del Reino Medio saben exactamente lo que está pasando, el Ministerio presentará informes trimestrales sobre el estado de los mercados de VPN y la conexión a Internet y dará a conocer periódicamente el estado actual de los trabajos de normalización de la limpieza de trabajo - es decir, el nombre y la vergüenza aquellas empresas que rompen la ley.
Esta no es la primera vez que los chinos han intentado tomar medidas drásticas en el mercado VPN - una represión similar se anunció en 2015, aunque con un éxito limitado. Pero este anuncio parece mucho más grave, con la acción oficial del gobierno prometió.
Los servicios VPN son cada vez más popular en China, y que son utilizados por los funcionarios del gobierno al más alto nivel. El arquitecto del Gran Cortafuegos de China utilizó uno públicamente el año pasado cuando se encontraba bloqueado por su propia creación.
Se necesita esta última represión para sofocar las actividades de los delincuentes en línea e introducir orden. Es una mera coincidencia que el Partido Comunista de China es la celebración de su Congreso Nacional 19 de este otoño y que le gustaría tenerlo sin que los usuarios de Internet molestos obtener información del mundo exterior.
Ellos han tratado de hacer algo similar antes, con un éxito limitado. Lo hacen parecer mucho más serio esta vez, sin embargo, voy a estar interesado en ver qué tipo de dirección que este toma y cómo afecta a los proveedores internacionales.
China, oh China.
Fuente: El Registro

UN PIRATA INFORMÁTICO DE BENEFICENCIA ESTÁ ADVIRTIENDO A LOS PROPIETARIOS DE LAS BASES DE DATOS NO GARANTIZADOS CASSANDRA


Un hacker desconocido tiene acceso a bases de datos públicas y no garantizados Apache Cassandra y la adición de una mesa adicional a través del cual se advierte a los propietarios del servidor que su base de datos se dejó expuesta a los ataques en línea.
Los primeros casos de bases de datos con este Cassandra mesa extra fueron vistos por un usuario de Twitter que se conoce con el sobrenombre de DunningKrugerEffect.
El nombre de esta tabla es "your_db_is_not_secure," y la mesa no se mantiene ningún tipo de información privilegiada.
Ver imagen en TwitterVer imagen en Twitter
El propósito de esta tabla es para advertir a los propietarios de Cassandra que su base de datos puede ser considerado muy fácilmente para el rescate en los próximos pocos días si se deja sin protección en línea. De acuerdo con Shodan, en la actualidad hay más de 2.600 casos de bases de datos Cassandra dejaron accesible en línea.

CASSANDRA EL PRÓXIMO OBJETIVO?

Desde el comienzo del año, varios grupos criminales han sido secuestro de servidores de bases dejaron sin protección en línea, limpiando los datos y solicitar un pago de un rescate.
Los primeros ataques golpean servidores MongoDB y fueron seguidos rápidamente por los ataques contra grupos Elasticsearch, servidores de bases de datos Hadoop y CouchDB.
Todos los ataques anteriores han sido rastreados por Victor Gevers y otros miembros de la GDI.foundation, que creó las hojas de cálculo que realizan el seguimiento de los ataques en curso.
Una de estas hojas de cálculo está disponible para los ataques de Cassandra. Estas son las últimas estadísticas relativas a los ataques de rescate de base de datos:
  • MongoDB - 40,291 servidores
  • Elasticsearch - 5.044 servidores
  • Apache Hadoop - 186 servidores
  • Apache CouchDB - 452 servidores
  • Apache Cassandra - 49 servidores
En la actualidad, varios miembros de la GDI.foundation "han estado investigando estos casos la implementación de sistemas trampa y conseguir inteligencia sobre los ataques," Gevers dice que pita por ordenador.
El GDI.foundation también ha estado trabajando con los equipos CERT locales y tratar de notificar a los propietarios de bases de datos antes de que los atacantes secuestrar sus datos. A pesar de esto, muy pocos propietarios de servidores hicieron caso a sus advertencias, con muchos servidores que aún permanecen sin garantía.
Ver imagen en TwitterVer imagen en Twitter
Si se pregunta qué otros servidores de base de los atacantes podrían golpear, hay sistemas Neo4J, riak, o Redis que aún no han sido blanco de este tipo de intentos de rescate.
 Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo

LINUX SYSTEMD DEFECTO DA A LOS ATACANTES EL ACCESO COMO ROOT


El investigador de seguridad de Sebastian Krahmer ha descubierto recientemente que un fallo de seguridad conocido previamente en el proyecto systemd puede ser utilizado por más de estrellarse una distribución de Linux, sino también a conceder atacantes locales acceso root al dispositivo.
El tema fue introducido por primera vez en el código fuente systemd en noviembre de 2015 y fue parcheado dos meses después, en enero de 2016, que afecta solamente V228 systemd, y recibir un arreglo con el lanzamiento de v229.

DE DOS A RAÍZ DE LA ELEVACIÓN DE PRIVILEGIOS

Inicialmente, el error se clasifica como una cuestión humilde de denegación de servicio (DoS) que, en el peor de los casos podría hacer que Linux distribuciones accidente y reiniciar el sistema.
Después de tomar una segunda mirada, más de cerca el problema, Krahmer reveló hoy que descubrió una manera de manipular las mismas funciones systemd vulnerables a escalar privilegios de un atacante para erradicar nivel.
"Systemd crea mundo puede escribir archivos suid que permite a los atacantes descargan archivos binarios en él y ejecutar código como root," el investigador escribió la semana pasada en el portal de errores OpenSUSE.

SYSTEMD ERROR ES FÁCIL DE EXPLOTAR, PERO SÓLO A NIVEL LOCAL

Krahmer dice que no hay código de prueba de concepto por el que alrededor de la web que podría ser muy fácilmente modificados para apuntar esta falla, ahora rastreado como CVE-desde 2016 hasta 10156.
Si bien la complejidad de explotación es baja, la única buena noticia es que el error no puede ser explotado a través de una red local o de Internet, que necesitan un atacante tener ya un pie en la máquina que quiere tomar el relevo.
El proyecto systemd es actualmente en la versión 232. Como sabemos los usuarios de Linux y los fabricantes de hardware, es muy posible que hay un buen número de máquinas que dejan correr alrededor v288.
Systemd es una utilidad núcleo Linux que gestiona los procesos de aplicación de las distribuciones Linux. La gran mayoría de las distribuciones de Linux actuales usan systemd como su sistema de inicio por defecto, incluyendo la mayoría de las versiones de Linux desplegados en los dispositivos IO.
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo

AlphaBay oscuro web hackeado mercado; Expone más de 200.000 mensajes privados



AlphaBay, posiblemente el más grande mercado de web oscura activa en el momento, ha pagado un hacker después de que consiguiera aprovechar las vulnerabilidades en el sistema de correo interno de la página web y secuestró más de 200.000 mensajes no cifrados privados de varios usuarios.


El pirata informático, utilizando el seudónimo Cipher0007, reveló dos "bichos de alto riesgo" hace dos días en Reddit que le permitió acceder a troves de mensajes privados pertenecientes a los compradores y vendedores en el sitio web oscura, los administradores AlphaBay anunciaron el martes.

Resulta que los mensajes no fueron encriptados por defecto, lo que dio la capacidad de hacker para ver todos los mensajes entre vendedores y compradores que compran y venden de todo, desde drogas ilícitas a exploits, malware y los datos robados.

Más de 218.000 mensajes privados de Distribuidores Anónimo Exposed

AlphaBay oscuro web hackeado mercado

AlphaBay oscuro web hackeado mercado
Para demostrar que se había comprometido con éxito la página web AlphaBay, el hacker publicó cinco imágenes de las conversaciones privadas de los usuarios al azar, lo que demuestra que los usuarios AlphaBay habían intercambiado abiertamente sus nombres, direcciones personales y números de seguimiento sin cifrado.
"Hemos llegado a ser consciente del error que permitía a una persona ajena a ver los mensajes privados del mercado, se lee en un comunicado de los administradores AlphaBay en Pastebin, y" creemos que la comunidad tiene derecho a ser conscientes de qué información fue obtenida. "
Una primera vulnerabilidad permite que el hacker para obtener más de 218.000 mensajes personales enviados entre sus usuarios en los últimos 30 días, mientras que el segundo error que le permitió obtener una lista de todos los nombres de usuario y sus respectivos identificadores de usuario.

Sin embargo, los administradores AlphaBay la seguridad de que aquellos usuarios que no recibieron ningún mensaje en su bandeja de entrada en los últimos 30 días no se vieron afectados. También afirmaron los errores solamente fueron explotadas por un solo usuario remoto.

AlphaBay Corrige los errores y de los Países del Hacker


Los administradores también les aseguraba a sus usuarios que los mensajes del foro, AlphaBay datos de pedido, y las direcciones de los usuarios de Bitcoin están todos a salvo, y el problema se solucionó sólo dentro de cuatro horas después de que el usuario de Reddit se hizo pública.
"El atacante fue pagado por sus hallazgos, y accedió a decirnos los métodos utilizados para extraer dicha información", dijeron los administradores AlphaBay. "Nuestros desarrolladores de inmediato cerraron la laguna con el fin de proteger la seguridad de nuestros usuarios."
Mientras tanto, se aconseja a los usuarios AlphaBay hacer uso de una clave PGP y siempre cifrar sus datos sensibles, incluyendo direcciones de entrega, identificaciones billetera Bitcoin, los números de seguimiento, y otros.

Desde AlphaBay es un mercado de la web oscura, que sólo es accesible a través del navegador Tor, el error podría haber sido explotada por la policía para desenmascarar a los usuarios identidades reales que se ocupan de las drogas y otras actividades ilegales.

Sin embargo, los miembros AlphaBay utilizando la clave PGP y el cifrado de sus datos de la cuenta sería en un lado más seguro.

Esta no es la primera vez cuando un hacker descubrió un defecto en la página web oscura AlphaBay. AlphaBay se enfrentó a una vulnerabilidad similares en abril del año pasado, cuando se dejaron mensajes privados de sus usuarios expuesta debido a una falla en su API nuevo lanzamiento, lo que permite a un atacante obtener 13.500 mensajes privados.

Nuevo troyano Activa miles de dispositivos Linux En servidores proxy

linux-proxy-malware

















" Linux no consigue virus " - Es un mito.

Un nuevo troyano ha sido descubierto en la naturaleza que convierte los dispositivos basados en Linux en servidores proxy, que los atacantes utilizan para proteger su identidad, mientras que el lanzamiento de ataques cibernéticos de los sistemas de secuestrados.


Apodado Linux.Proxy.10 , el troyano fue visto por primera vez a finales del año pasado por los investigadores de la firma de seguridad rusa Doctor Web, que más tarde se identificó miles de máquinas comprometidas a finales de enero de este año y la campaña está aún en curso y la caza para más máquinas Linux.

Según los investigadores, el malware en sí no incluye ningún módulo de explotación de cortar en máquinas Linux; en cambio, los atacantes están utilizando otros troyanos y técnicas para comprometer los dispositivos en el primer lugar y luego crear una nueva cuenta de acceso de puerta trasera utilizando el nombre de usuario como " madre " y la contraseña como " hijo de puta ".

Una vez backdoored y el atacante obtiene la lista de todas las máquinas de Linux comprometidas con éxito, y luego se registra en ellos a través del protocolo SSH e instala el servidor proxy SOCKS5 usando Linux.Proxy.10 malware en él.

Este malware Linux no es para nada sofisticada, ya que utiliza un código fuente gratuita del servidor satánicos Calcetines de configurar un proxy.

De acuerdo con la empresa de seguridad, miles de dispositivos basados en Linux ya han sido infectadas con este nuevo troyano.
ventanas-malware
Además de esto, el mismo servidor - perteneciente a los delincuentes que distribuyen el software malicioso Linux.Proxy.10 - no sólo contenía la lista de dispositivos comprometidos, pero también recibió el panel de control de un software de supervisión de la computadora Spy-Agente y un malware de Windows a partir de una conocida familia de spyware troyano, llamado BackDoor.TeamViewer .

Esta no es la primera vez que este tipo de malware Linux ha sido descubierto.

Hace más de un año, los investigadores de seguridad de ESET descubrieron un malware similares, conocido como alces , que también tenía la capacidad para activar los dispositivos de Linux en servidores proxy que luego fueron utilizados para el lanzamiento de los ejércitos de cuentas falsas en las redes de medios sociales, como Instagram y Twitter.

Se recomienda a los usuarios y administradores de Linux para reforzar la seguridad de SSH limitando o inhabilitación del acceso root remoto a través de SSH, y para saber si el sistema ya ha sido comprometida, mantener una vigilancia regular sobre los usuarios de inicio de sesión recién generadas.

lunes, 23 de enero de 2017

BANKBOT, UN MALWARE PARA ANDROID BASADO EN UN CÓDIGO FUENTE SE FILTRÓ EN INTERNET


la firma de antivirus Dr. Web descubrió una nueva BankBot denominado malware para Android que se basa en un código fuente que se filtró en un foro subterráneo.
Malas noticias para los usuarios de Android, los investigadores del fabricante de antivirus ruso Dr. Web han informado de que el código fuente para otro software malicioso bancario Android se ha filtrado en un foro de la piratería subterráneo. La línea de fuga de código fuente maliciosa es un evento de mal agüero, los ladrones podrían fácilmente utilizan para sus actividades ilegales y también podría mejorar con la implantación de sus propias características, incluyendo nuevas capacidades de evasión.
Los expertos de Dr. Web ya han descubierto un troyano bancario Android (BankBot doblada) en la naturaleza que probablemente se desarrolló a partir del código fuente se filtró.
El código filtrado se relaciona con un troyano bancario Android que fue desarrollado para desviar dinero de cuentas bancarias de las víctimas, gana privilegios de administrador en los dispositivos móviles con el fin de controlarlos.
"Un troyano bancario que se dirige a los dispositivos Android. Se distribuye bajo la apariencia de programas benignos, por ejemplo, los programas de Google con el icono de Play Store. "Afirma el análisis publicado por el Dr. Web.
El código fuente se filtró en Internet junto con instrucciones detalladas, los expertos en seguridad temen una escalada en el número de ataques cibernéticos aprovechan en el código de filtrado.
El androide BankBot troyano también tiene la capacidad de obtener privilegios de administrador en el dispositivo móvil infectado. Una vez que el malware se obtiene privilegios que es capaz de ocultar su presencia mediante la eliminación de icono de la aplicación en la pantalla principal mientras está activo en segundo plano.
"La información sobre coincidencias encontradas se envía al servidor C & C. El troyano recibe una lista de archivos para ser monitoreado de la ejecución. Después se pone en marcha uno de ellos, Android.BankBot.149.origin muestra WebView en la parte superior de la aplicación atacado con una forma de autenticación fraudulenta para acceder a la cuenta de usuario. A continuación, la información introducida se envía al servidor. Los siguientes son los ejemplos de tales formas de autenticación fraudulentas: "
el malware BankBot Android
BankBot permanece oculta a la espera de las víctimas abierta de banca móvil o aplicaciones de medios sociales, entonces se pone en marcha una superposiciones de inicio de sesión de suplantación de identidad con el fin de engañar a las víctimas que volver a introducir sus credenciales de acceso o datos de la tarjeta de pago. BankBot es capaz de crear superposiciones de inicio de sesión de phishing para una serie de aplicaciones, incluyendo Facebook, WhatsApp, Instagram, Twitter, Youtube, Snapchat, Viber, WeChat, la OMI, Uber, y la tienda de Google Play.
El malware para Android también es capaz de interceptar mensajes de texto y los eliminará del dispositivo de la víctima, de esta manera se podría eludir 2FA aplicado por los bancos.
En febrero de 2016, los expertos de la inteligencia de amenazas de IBM X-Force han descubierto que el código fuente de otro malware para Android, el DJ Bot de Troya, se filtró en Internet.
Sourcehttp: //securityaffairs.co
CONOCIMIENTO pertenece al mundo

Disqus Shortname

Comments system