CÓDIGO FUENTE DE MALWARE PARA ANDROID PUBLICADO SE USA PARA CONTROLAR UNA BOTNET

El nuevo malware bancario para Android que ESET descubrió hace poco en Google Play fue detectado in-the-wild nuevamente, apuntando a más bancos. Una investigación más profunda de esta amenaza demostró que se construyó usando código fuente que se había publicado hace un par de meses.

La versión previa, detectada por ESET como Trojan.Android/Spy.Banker.HU (versión 1.1 según marcaba su autor en el código fuente), se reportó el 6 de febrero. El malware se distribuía a través de Google Play como una versión troyanizada de una aplicación legítima para el pronóstico del tiempo, llamada Good Weather. El troyano tenía como blanco a 22 apps de banca móvil turcas, e intentaba recolectar credenciales usando formularios de login falsos. Además, podía bloquear y desbloquear dispositivos infectados, así como interceptar mensajes.

El domingo pasado descubrimos una nueva versión de este troyano en la tienda, haciéndose pasar por otra app legítima de pronóstico del tiempo; esta vez era World Weather. Este troyano, detectado por ESET como Trojan.Android/Spy.Banker.HW (versión 1.2), estuvo disponible en Google Play desde el 14 de febrero hasta que fue reportada por ESET y eliminada el 20 de febrero.

ARMANDO EL ROMPECABEZAS

El segundo descubrimiento desencadenó otra ronda de investigación, que trajo interesantes revelaciones.

Resulta que ambos troyanos para Android están basados en un código fuente gratuito que se había publicado en línea. La “plantilla” de este malware móvil, supuestamente escrita desde cero, así como el código del servidor de C&C incluyendo un panel de control web, estaban disponibles en un foro ruso desde el 19 de diciembre de 2016.

Imagen 1: Código fuente del malware para Android y del C&C publicados en un foro de Rusia

Cuando buscamos más información llegamos a unos hallazgos de Dr. Web, que analizó una de las variantes anteriores del malware, a la cual nuestros sistemas detectaban desde el 26 de diciembre de 2016 como Android/Spy.Banker.HH.

Sin embargo, esta variante no está directamente conectada con aquellas que encontramos en Google Play, aunque la detectamos bajo el mismo nombre que a la versión 1.0. Pudimos confirmar esto tras lograr acceder al panel de control del servidor de C&C de la botnet, que estaba activo al momento de nuestra investigación. En este lugar pudimos obtener información sobre las versiones de malware en los más de 2800 bots infectados.

Imagen 2: Panel de control web del C&C listando víctimas del malware

Debajo hay un panorama de grupos de usuarios afectados, en base a los datos de la botnet listados en este panel de control:

  

Un dato interesante es que el servidor de C&C en sí mismo, activo desde el 2 de febrero de 2017, se dejó accesible para cualquiera que tenga la URL, sin que se requieran credenciales.

¿CÓMO OPERA?

La nueva versión detectada tiene, en esencia, las mismas funcionalidades que su predecesora. Además de brindar el pronóstico climático, capacidad que adoptó de la versión legítima, Trojan.Android/Spy.Banker.HW puede bloquear y desbloquear dispositivos infectados remotamente estableciendo una contraseña de bloqueo de pantalla de su elección; a su vez, puede interceptar mensajes de texto.

La única diferencia entre las dos parece ser un mayor grupo de objetivos: el malware afecta ahora a usuarios de 69 aplicaciones de banca móvil de Gran Bretaña, Austria, Alemania y Turquía, y tiene una técnica de ofuscación más avanzada.

Imagen 4: App maliciosa en Google Play

 

Imagen 5: En verde, el ícono legítimo de World Weather; en rojo, la versión maliciosa.

El troyano tiene también una función integrada de notificación, cuyo propósito solo pudo ser verificado tras haber accedido al servidor de C&C. Resulta ser que el malware puede mostrar notificaciones falsas en los dispositivos infectados, instando al usuario a ejecutar una de las apps de banca que figuran en su lista de objetivos, con el pretexto de tener un “mensaje importante” del respectivo banco. Al hacerlo, se ejecuta actividad maliciosa en forma de una falsa pantalla de login.

Imagen 6: C&C enviando falsa notificación al dispositivo infectado

Imagen 7: Falsa notificación de app de banca enviada desde el C&C

CÓMO LIMPIAR UN DISPOSITIVO INFECTADO

Si hace poco instalaste alguna app de pronóstico del tiempo descargada de Google Play Store, fíjate que no sea una versión maliciosa de Good Weather o Weather World.

Si crees que descargaste alguna app falsa, búscala en Ajustes → Administrador de aplicaciones. Si ves la que figura en la imagen 8, y encuentras a “System update” en Ajustes → Seguridad → Administradores de dispositivo (imagen 9), tu dispositivo fue infectado.

Para limpiarlo, recomendamos que recurras a una solución de seguridad móvil, o puedes eliminar el malware en forma manual. Para ello, primero es necesario desactivar sus derechos de administrador desde Ajustes → Seguridad → System update. Una vez hecho eso, puedes desinstalar la app maliciosa en Ajustes → Administrador de Aplicaciones → Weather.

Imagen 8: El troyano en el Administrador de aplicaciones

Imagen 9: Malware camuflado como System update entre los administradores de dispositivo

CÓMO PROTEGERTE

Si bien el grupo de atacantes detrás de esta botnet eligió propagar el malware a través de aplicaciones de pronóstico del tiempo troyanizadas, y tiene como blanco a los bancos listados al final de este artículo, no hay garantías de que el código no esté siendo o vaya a ser usado en otro lado.

Con eso en mente, es importante que sigas algunos principios básicos para protegerte de malware móvil.

Al descargar desde Play Store, asegúrate de conocer los permisos antes de instalar o actualizar. En vez de otorgarle los que demanda automáticamente, considera lo que significan; si algo parece fuera de lugar, lee lo que otros usuarios escribieron en sus críticas y piensa dos veces la descarga.

Luego de ejecutar algo que hayas instalado en tu dispositivo móvil, sigue prestando atención a los permisos y derechos que solicita. Una app que no funciona sin permisos complejos que no están conectados a su funcionalidad principal podría ser una trampa.

Incluso si todo lo demás falla, una solución de seguridad móvil confiable te protegerá de amenazas activas.

Si quieres saber más sobre malware para Android, accede a nuestras últimas investigaciones sobre el tema. También te será de utilidad seguir estos 8 consejos para determinar si una aplicación para Android es legítima y acceder a nuestra Guía de Seguridad en Dispositivos Móviles.

Fuente:http://www.welivesecurity.com/

Conocimiento pertenece al mundo

DESCUBIERTA UNA VULNERABILIDAD EN LINUX QUE ESTABA PRESENTE DESDE HACE 12 AÑOS

Se ha descubierto recientemente en Linux otra escalada de privilegios, un tipo de vulnerabilidad muy común en el sistema Open Source, aunque este tiene la particularidad de llevar presente desde hace 12 años.

La escalada de privilegios, cuyo código es CVE-2017-6074, fue descubierta por el investigador en seguridad Andrey Konovalov mientras examinaba el Protocolo de Control de Congestión de Datagramas (DCCP/Datagram Congestion Control Protocol) utilizando Syzkaller, una herramienta de fuzzing liberada por Google.

 

La vulnerabilidad que provoca la escalada de privilegios es del tipo “usar después de liberar”, siendo el origen la manera en que la implementación del protocolo DCCP del kernel Linux libera recursos de SKB (buffer de socket) para un paquete DCCP_PKT_REQUEST cuando la opción IPV6_RECVPKTINFO está establecida en el socket.

Esta vulnerabilidad en DCCP podría permitir a un usuario sin privilegios alterar la memoria del kernel de Linux, permitiéndole causar un cuelgue en el sistema o escalar privilegios hasta conseguir acceder como administrador.

Por su parte, DCCP es una capa de protocolo de transporte orientada a mensajes que minimiza la superposición del tamaño de una cabecera de un paquete o un procesamiento de nodo final tanto como sea posible, proporcionando el establecimiento, mantenimiento y desmontaje de un flujo de paquetes no confiable, además del control de la congestión de ese flujo de paquetes.

La vulnerabilidad no ofrece ninguna manera para que alguien de fuera pueda acceder al sistema afectado, esto quiere decir que no puede ser explotada de forma remota y que el atacante necesita tener acceso de forma local.

La vulnerabilidad ya ha sido parcheada por los mantenedores del kernel Linux, así que los usuarios más avanzados pueden aplicar el parche directamente o bien esperar a que los mantenedores de la distribución en uso lo suministren a través de una actualización estándar.

Fuente:http://muyseguridad.net

Conocimiento pertenece al mundo

DHCPIG: UNA HERRAMIENTA PARA ATACAR LOS SERVIDORES DHCP, APRENDE QUÉ HACE Y CÓMO MITIGAR EL ATAQUE

El protocolo DHCP es el encargado de proporcionar direcciones IP de manera automática a los clientes, sin embargo, podemos atacar dicho protocolo para ocupar toda la piscina de direcciones e impedir que más clientes se conecten a la red. La herramienta DHCPig nos permitirá de manera fácil y rápida consumir todo el rango de IPs.

El protocolo DHCP básicamente funciona con cuatro mensajes que se intercambian entre los diferentes clientes y el propio servidor. A continuación, podéis ver un sencillo esquema de cómo funciona este protocolo DHCP.

DHCPig es una herramienta muy avanzada para realizar un ataque de agotamiento de direcciones al servidor DHCP y consumir todas las IP de manera ilegítima, también es capaz de liberar las direcciones IP que están en uso y enviar mensajes ARP para enviar todos los host de Windows fuera de la red. Esto hará que los nuevos usuarios que se conecten no podrán obtener dirección IP, y los que ya hay conectados tampoco podrán seguir estando en la red ya que perderán la IP que ha sido asignada anteriormente.

Esta herramienta DHCPig es compatible con sistemas operativos Linux, el único requisito es tener instalada la librería Scapy 2.1 o superior, y ejecutar esta herramienta con permisos de administrador. No es necesaria ninguna configuración, ya que todas las opciones se introducen por parámetro incluyendo la interfaz física donde queremos enviar los paquetes.

Cuando ejecutamos el script, podremos realizar una gran cantidad de acciones, entre las que se incluyen:

• Capturar las IP de los vecinos que están conectados a la red.
• Escuchar nuevas solicitudes DHCP de otros clientes y responderles.
• Solicitar todas las direcciones IP del rango de DHCP, esto se puede poner en un bucle infinito para agotar todo el rango de IP de manera continua.

Una vez que haya agotado todas las direcciones, esperará 10 segundos y entonces eliminará a todos los sistemas con sistema operativo Windows, ya que al no haber direcciones IP para dichos sistemas Windows, estarán fuera de la red.

Otra característica muy interesante de esta herramienta es que también es capaz de atacar a servidores DHCPv6, es decir, los servidores DHCP que utilizan el protocolo de red IPv6. Aunque por defecto siempre atacará al protocolo DHCPv4.

Os recomendamos visitar el proyecto DHCPig en GitHub donde encontraréis la herramienta para descargarla gratuitamente, y también tenéis todas las órdenes que podemos pasarle por parámetro.

CÓMO MITIGAR LOS ATAQUES AL PROTOCOLO DHCP

Siempre que en nuestra red tengamos un servidor DHCP, debemos protegerlo no solo de ataques de agotamiento de direcciones IP como hemos visto anteriormente, sino también de servidores DHCP falsos. ¿Qué son los servidores DHCP falsos? Con servidores DHCP que un cliente puede configurar, para que los clientes en lugar de obtener la IP y DNS del servidor legítimo, lo hagan del falso y la interceptación de las comunicaciones sea más sencilla.

¿Cómo podemos mitigar los ataques a DHCP? Con DHCP Snooping, esta técnica nos permitirá evitar que los clientes puedan montar sus propios servidores DHCP, y también impide que los clientes envíen ataques de agotamiento de direcciones. DHCP Snooping lo que hace es crear una pequeña base de datos de host confiables, y cuando detecta mensajes DHCP ilegítimos los bloquea.

DHCP Snooping normalmente están en la mayoría de switches gestionables, por ejemplo en el switch D-Link DGS-1210-10 que hemos analizado anteriormente en RedesZone lo tenemos disponible:

Normalmente los switches también permiten mitigar ataques ARP y DHCP, a continuación podéis ver el “Smart Binding” de este switch:

Si tienes cualquier otro switch, puedes mirar la documentación oficial ya que seguramente soporte DHCP Snooping y mitigar este tipo de ataques. Por ejemplo, para equipos Cisco podéis ver esta completa guía sobre DHCP Snooping donde podréis ver cómo habilitarlo globalmente, y posteriormente definir los puertos del switch confiables.

Fuente: https://www.redeszone.net

Conocimiento pertenece al mundo

DRIDEX, EL TROYANO MÁS TEMIDO QUE ROBA TU CUENTA CORRIENTE VUELVE A LA CARGA

El troyano Dridex infecta ordenadores a través de emails con archivos adjuntos. Una vez descargados, añade el PC a un ‘botnet’ y robas las contraseñas de banca ‘online’ almacenadas.

Clientes de al menos tres entidades bancarias españolas han sido víctimas del virus Dridex. Este programa malicioso es uno de los ladrones virtuales más sofisticados conocidos hasta la fecha, orientado a robar nuestra cuenta corriente sin que nos demos cuenta. Después de más de un año inactivo en España, vuelve en el contexto de una campaña de ataques a bancos de toda Europa.

Gran Bretaña, Suiza, Alemania y otros países europeos están en alerta por una campaña de ataques del troyano bancario Dridex, que amenaza también a bancos españoles, según ha confirmado a Teknautas las firmas de seguridad GoNet Fraud Prevention & Intelligence e Hispasec Sistemas. Ambas han investigado varios ataques recientes a clientes de al menos tres entidades bancarias en nuestro país, aunque han preferido no desvelar el nombre de las compañías.

La campaña se inició en enero y está usando nuevas versiones de Dridex, que ha sido mejorado con complejos métodos para evitar ser detectado cuando infecta los ordenadores: “Se hace pasar por procesos legítimos de Windows”, explica Fernando Díaz, de Hispasec. Además, en vez de instalarse en el disco duro, como la mayoría, se esconde en la memoria, donde los antivirus no pueden “verle”.

(Foto: Reuters)

Este nivel de complejidad y refinadas técnicas de engaño son los que hacen que Dridex sea admirado incluso por quienes lo combaten. Lo más preciado es su motor de exploración avanzada, capaz de detectar el banco en el que opera su víctima y, sea el que sea, navegar automáticamente por la web de esa entidad hasta realizar él solito una transferencia.

CÓMO FUNCIONA

Dridex es un troyano de élite desde el principio, desde que se manda en campañas de correo electrónico no solicitado que distan mucho de ser el típico spam cutre. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos que son abusados, lo que significa que no serán marcados como spam. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro.

Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los malos y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.

Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco

El ordenador infectado pasa a formar parte de una botnet, con miles o millones de ordenadores bajo el control de los delincuentes, que pueden incluso instalarles ransomware. Según investigadores suizos, las nuevas muestras de Dridex detectadas “están usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países”.

Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno.

“Es muy difícil para un usuario común detectar algo raro en el comportamiento de su banca a distancia, la ‘experiencia de usuario’ conseguida por el malware es completamente creible”, asegura Fernando Carrazón, COO de GoNet FPI, para quien lo que hace más peligroso a Dridex es “la total apariencia de legitimidad, pasando desapercibido a los ojos del usuario, y las técnicas de engaño simulando transferencias erróneas”.

(Foto: Reuters)

Cuando Dridex tiene nuestras credenciales, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por cierto y realiza una transferencia por este monto a la cuenta de una “mula”. Carrazón destaca “la velocidad a la que Dridex realiza las operaciones, completamente integradas en los portales de banca a distancia por las inyecciones de código que realiza su motor”.

Además explican desde GoNet, en esta campaña los delincuentes están yendo muy rápido, realizando los robos “en un único día, desmantelando y empezando de nuevo en otro lado”. No se conocen de momento cifras de afectados, de dinero robado ni entidades afectadas, sólo los avisos tempranos de investigadores en toda Europa.

SIGUE VIVO

A Dridex se le creyó muerto a finales de 2015, cuando ya había robado 40 millones de euros a clientes de bancos en Estados Unidos y Europa, también en España. Una operación conjunta de las fuerzas de la ley europeas, el FBI, entidades bancarias e incluso empresas de seguridad como la española S21sec, que jugó un importante papel, consiguieron desmantelar a parte del grupo de delincuentes del Este de Europa que operaban la botnet, una banda llamada Evil Corp.

A principios de 2016, la botnet de Dridex empezó sorpresivamente a instalar en los ordenadores que tenía esclavizados un antivirus gratuito de la empresa Avira, capaz de detectar y eliminar el troyano. “Se sospecha que un hacker de sombrero blanco habría discretamente penetrado la red de distribución de Dridex y cambiado la configuración para distribuir el antivirus”, explica la Wikipedia.

Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)

el código no muere ni puede ser encarcelado, así que otras bandas, mayoritariamente del Este, lo retomaron durante 2016, en campañas más pequeñas, usando la botnet de Dridex para distribuir ransomware, como Cerber o Locky, o bien para robar a clientes de bancos. Desde agosto de 2016 no se sabía nada de Dridex en Europa. Y, en España, desde finales de 2015. Mientras, aquí nos han infestado otros troyanos bancarios, menos estilosos pero mucho más implantados, siendo el rey ZBot y sus variantes Panda o Sphinx.

Las mejores medidas preventivas para no caer en las garras de estos virus son “desconfiar de correos electrónicos con remitentes desconocidos y obviamente, no ejecutar los adjuntos”, resume Fernando Carrazón. No ejecutar Macros aunque nos lo pidan es también recomendable. Asimismo, usar antivirus pero no fiarse ciegamente, porque a veces no detectan estos troyanos.

Fuente:http://www.elconfidencial.com

Conocimiento pertenece al mundo

VULNERABILIDAD DE INYECCIÓN DE SQL EN EL NEXTGEN-GALLERY PARA WORDPRESS

Como parte de un proyecto de investigación de la vulnerabilidad para nuestro Firewall Sucuri (WAF) auditamos varios proyectos de código abierto buscando problemas de seguridad. Cuando se trabaja en el plugin NextGen Gallery Plugin en WordPress, hemos descubierto una vulnerabilidad grave de inyección SQL. Esta vulnerabilidad permite a un usuario no autenticado capturar los datos de la base de datos de sitios web de la víctima, incluido la información confidencial del usuario.

¿SU SITIO WEB ESTÁ EN RIESGO?

Esa vulnerabilidad puede ser explotada por los hackers en dos situaciones:

1. Si usa el NextGEN Basic TagCloud Gallery en su sitio web, o
2. Si permite a sus usuarios enviar posts para se revisaren (contribuyentes).

Si su sitio web no se encaja en alguno de estos casos, se encuentra en riesgo.

Este problema existe porque el NextGEN Gallery permitía un input del usuario desinfectado de forma incorrecta en una SQL query preparada para WordPress, que es básicamente lo mismo que añadir el input del usuario en una raw SQL query. Mediante el uso de este vector de ataque, un atacante podría filtrar contraseñas y claves secretas de WordPress en ciertas configuraciones.

DETALLES TÉCNICOS

Nunca confíe en el input – esta es la regla de oro que mejora la seguridad de sus clientes. En cada escenario, hay que hacer algunas preguntas simples:

• ¿Ese input es seguro?
• ¿Se lo ha sanitizado?
• ¿Seguimos las reglas específicas de framework y mejores prácticas?

WordPress utiliza la función de PHP vsprintf para preparar instrucciones SQL en $wpdb->prepare(), lo que significa que el SQL statement utiliza una cadena de caracteres de formato y los valores de entrada como sus argumentos. Esto nos lleva a la conclusión de que nunca es una buena idea proporcionar el input del usuario siguiendo los caracteres de formato, ya que no se puede sanitizar contra caracteres que podrían crear directrices arbitrarias válidos de sprintf/printf.

Es por eso que el método específico get_term_ids_for_tags() nos llamó la atención:

Encontramos ese código en nextgen-gallery/products/photocrati_nextgen/modules/
nextgen_gallery_display/package.module.nextgen_gallery_display.php

A partir del código fuente, percebemos que la string $container_idsse crea a partir del input da tag y sus valores no son desinfectados correctamente. Seguros contra la inyección de SQL, pero no impediría la formatación de strings directives/input, lo que puede causar problemas con el método de la abstracción de la base de datos de WordPress prepare().

$WPDB->PREPARE AND SPRINTF

Desde el código del método prepare, observamos que algunos cambios se ejecutan en el código SQL original. Cuando se encuentra el %s, se lo sustituye por ‘%s’. También vemos que después de realizar los cambios, pasa por la función vsprintf, lo que significa que cualquier diretivas de string de caracteres de formato válidos que se pueden inyectar serán procesados. A partir de la documentación de la función vsprintf de PHP, sabemos que los argumentos de cambio podrían ocurrir, y cuando los inputs sanitizados incorrectamente se agregan a la siguiente cadena de caracteres de formato puede haber algunos problemas:

1. Un usuario malicioso puede inyectar lo siguiente input al formato string/query:

   [any_text1]%1$%s[any_text2]

2. La query quedaría así:

   [querycode1][any_text1]%1$%s[any_text2][querycode2]

3. Cuando pasa al método prepare, se modifica para:

   [querycode1][any_text1]%1$'%s'[any_text2][querycode2]

   (e.g. %s será ‘%s’)
4. Después que e string del formato resultante pasa por la función vsprintf, el SQL query resultante tendrá el formulario:

   [querycode1][any_text1][first_argument]'[any_text2][querycode2]

Esto significa que vamos a tener un ‘ extra . Esto rompe nuestra cadena de caracteres de comillas simples y hace que el raw input[any_text2] sea parte de la propia SQL query.

TIPOS DE EXPLOITS

A partir del código fuente del plugin, encontramos dos lugares en los que esta función crearía la cadena $container_ids (necesaria para ejecutar el exploit):

• Al usar el shortcode del tag gallery, que requiere que un usuario autenticado privilegiado haga el ataque.
• Cuando accediendo tags del NextGEN Basic TagCloudgallery, que visitantes maliciosos pueden hacer para modificar la URL del gallery (desde que el gallery exista en el sitio web).

Con este conocimiento, un atacante no autenticado podría añadir directrices adicionales sprintf / printf al SQL query y utilizar el comportamiento del $wpdb->prepare para añadir el código controlado por el atacante a la query ejecutada.

Lo payloads del ataque final (usando el método TagCloud) serían así:

http://target.url/2017/01/17/new-one/nggallery/tags/test%251%24%25s))%20or%201=1%23

o

http://target.url/2017/01/17/new-one/nggallery/tags/test%251%24%25s))%20or%201=2%23

CONCLUSIÓN

Este es un problema crítico. Si está utilizando una versión vulnerable de este plugin, actualice lo antes posible.

Si no puede actualizar, recomendamos usar el Firewall Sucuri (o tecnología semejante) para se parchear la vulnerabilidade virtualmente.

Fuente:https://blog.sucuri.net/

Conocimiento pertenece al mundo

HACKEAN CLOUDPETS. EL PELIGRO DEL INTERNET DE LAS COSAS PARA LOS MENORES

El Internet de las Cosas hace que cada vez más dispositivos, como juguetes, puedan estar conectados a Internet de manera que estos puedan aprovecharse del potencial de la red para brindar funciones y características que, de otra manera, serían totalmente impensables. El problema del IoT en los juguetes llega cuando las compañías recopilan datos de los niños y no los protegen adecuadamente, tal como le ha ocurrido a la empresa CloudPets.

Hace algunas horas se daba a conocer un ataque informático contra CloudPets, un juguete capaz de conectarse a Internet a través de Android y iOS con el fin de poder intercambiar mensajes de voz entre amigos. Además, gracias al micrófono incluido en el juguete, los niños pueden enviar mensajes a sus padres o madres, así como a la inversa, facilitando la comunicación cuando los padres no pueden estar cerca. Todos estos mensajes se almacenaban en los servidores de la compañía, sin cifrar ni proteger de ninguna manera y, como era de esperar, al final ha ocurrido lo inevitable.

CLOUDPETS ALMACENABA LAS GRABACIONES DE LOS MENORES EN UN SERVIDOR SIN AUTENTICACIÓN

Un ataque informático, del cual aún no se conocen muchos datos, ha conseguido robar más de dos millones de grabaciones de voz, junto a una serie de datos sobre los menores registrados en la plataforma. Según se cree, este robo ha podido ser posible debido a que la compañía responsable de CloudPets utilizaba una base de datos MongoDB mal configurada.

Esta base de datos utilizaba el puerto 2701 en su correspondiente dirección IP y, al intentar conectarse a ella, no pedía ningún tipo de autenticación. Esta base de datos contenía enlaces a las grabaciones, en formato WAV, sin cifrar, de los menores y sus padres en un servidor Amazon Cloud, de nuevo sin autenticación. Un sencillo script ha conseguido descargar más de dos millones de grabaciones con las conversaciones familiares y privadas de los menores.

El pirata informático responsable de este robo de datos pide un rescate a la compañía a cambio de no hacerlos público. De todas formas, este rescate no tiene demasiado valor, ya que el servidor ha estado abierto desde sus inicios, por lo que cualquier otra persona puede haber entrado, descargado los datos y salido sin dejar una sola pista.

Troy Hunt, responsable de la plataforma HaveIBeenPwned, ya ha subido a su base de datos este robo, confirmando así que los dos millones de grabaciones corresponden en total a más de 800.000 cuentas diferentes.

LOS JUGUETES CONECTADOS A LA NUBE SON MUY PELIGROS. ESTAMOS HABLANDO DE NIÑOS MENORES

No es la primera vez que se expone la seguridad de los menores por culpa de una mala configuración de los juguetes conectados al Internet de las Cosas. Sin ir más lejos, a finales de 2015 pudimos ver cómo se filtraban cerca de 200 Gb de fotos de menores utilizando juguetes de la marca V-Tech.

Además, no solo los juguetes están poniendo en peligro a los menores. Hoy en día es muy frecuente que las familias tengan monitores de bebé conectados a la red, monitores generalmente mal configurados y que aparecen listados en la plataforma Shodan, pudiendo cualquiera conectarse a ellos sin dificultad.

Sin duda, un ataque informático muy grave que podía haberse evitado simplemente habilitando la opción de “No permitir conexiones anónimas” en la configuración por defecto de MongoDB.

Fuente: https://www.redeszone.net

Conocimiento pertenece al mundo

UN ESTUDIO PROPONE EL USO DE CRIPTOMONEDAS PARA REGULAR LA DARK WEB

Tal y como ya se comentó en este artículo Deep Web, Dark Web y Darknet no son lo mismo, aunque sean términos relacionados. La Deep Web es todo aquello que los buscadores no pueden indexar (como por ejemplo comunidades a las que se accede mediante registro), la Dark Web son los servicios ocultos de la red y la Darknet sería lo más sórdido y oscuro de Internet, a grandes rasgos.

En la Dark Web se pueden realizar transacciones usando bitcoins, monedas digitales muy difíciles de rastrear que permiten hacer pagos de forma casi anónima, por lo que también reciben el nombre de criptomonedas. Pues bien, según se ha publicado en DeepDotWeb ahora las criptomonedas como los bitcoins podrían ayudar a regular la Dark Web, o al menos eso es lo que se deduce de un documento publicado por Kartik Hegadekatti, experto en economía que trabaja para el gobierno hindú.

Hegadekatti propone un método basado en el concepto de criptomonedas con respaldo regulado y soberano o RSBCs. Usando estas RSBCs se puede tener un medio básico para rastrear pagos por toda la Dark Web. En el documento se propone una situación según la cual las RSBCs se convierten en la moneda principal para realizar transacciones en la mayoría de países del mundo. Teniendo en cuenta que hay un proceso de desmonetización global en marcha, no es tan descabellado.

CRIPTOMONEDAS Y CADENAS DE BLOQUES CONTROLADAS

Las RSBCs representan criptomonedas que se ponen en circulación y tienen respaldo por parte de los gobiernos, como las monedas corrientes, pero aplicadas al medio digital. Dichas monedas, conocidas como NationCoins, estarán apoyadas a su vez por lo que se conoce como garantía soberana, o sea, que tendrán respaldo de un banco central federal.

Las NationCoins se mueven por cadenas de bloques controladas o CBCs, extremadamente controladas y seguras y que funcionan de forma muy diferente a la cadena de bloques convencional. Una cadena de bloques como la que ya conocemos es un libro público libre de permisos, mientras que una CBC está totalmente basada en los permisos.

El permiso de acceso, por ejemplo, sólo se otorgará cuando la autoridad soberana que emite la NationCoin y regula la CBC lo considere oportuno. Además una de estas cadenas de bloques controladas se puede usar también en operaciones no monetarias. Por lo demás, cuando una CBC ha terminado de diseñarse por completo, puede tener muchísimas aplicaciones según el medio.

Estas incluirían la banca, automatización, pago y cobro de impuestos y otros servicios públicos. Aparte, por supuesto, de ser el medio para regular la Dark Web más eficientemente según propone en su estudio Kartik Higadekatti.

¿CÓMO SE PUEDE REGULAR LA DARK WEB CON RSBCS?

Las mercancías y los servicios ilegales que se venden en la web suelen pagarse en monedas como los bitcoins y otras menos conocidas como Monero, DASH y Ethereum. Aunque el Bitcoin es muy famoso por su alto nivel de anonimato, las transacciones no lo son del todo y se pueden rastrear mediante un análisis de la cadena de bloques y del tráfico de Internet.

Por otra parte, otras monedas como Monero sí son totalmente anónimas, ya que sus transacciones no pueden consultarse en la cadena de bloques. La criptomoneda se apoya en firmas criptográficas en un anillo, con lo que los vendedores de los mercados negros de la Dark Web se están pasando a Monero precisamente por ser casi imposible de rastrear o de regular.

Ahora bien, mediante el uso de las RSBCs todo esto podría cambiar. Según el documento, los gobiernos podrían regular actividades de la Dark Web si despliegan lo que se conoce como “protocolo K-Y”. ¿Qué es esto exactamente? Vamos a intentar explicarlo para que quede claro.

Supongamos que las RSBCs están de moda, con lo que los bitcoins no se cambian por euros, sino por EuroCoins, la variante RSBC del Euro. Estos EuroCoins se depositarán en una cartera que esté registrada a un nombre verificado legalmente. Como tal, los individuos que manden y reciban bitcoins que se hayan ganado mediante actividades ilegales serían más fácilmente rastreables usando un proceso de “desanonimización”.

Cuando se considera en este supuesto criptomonedas anónimas como Monero, hay que tener en cuenta que el emisor y el receptor de una transacción sólo se pueden rastrear hasta que haya una transacción de intercambio de la criptomoneda a la RSBC de turno. El sistema podrá identifcar el origen de cada transacción, y luego, a través de análisis de patrones y rastreo de transacciones, los gobiernos pueden identificar a los individuos y en qué actividades están involucrados.

Kartik Higadekatti propone en su documento un escenaro en el que 200 países lanzan su propia NationCoin. Las transacciones en efectivo en papel moneda se reducirán al mínimo, dado que la gente usará en su mayoría RSBCs. Según este escenario, quedará muy poco dinero en efectivo para financiar actividades ilegales, ya que casi todo el dinero estará contabilizado y “en A”.

Al no existir prácticamente el dinero negro, las actividades ilegales serán más fáciles de identificar, debido a que las identidades de las partes involucradas se revelarán a través de sus carteras de NationCoin. Por otra parte, la cantidad de dinero que circula en varios sitios de la Dark Web podrá ser consultada por autoridades gubernamentales, lo que permitirá aplicar impuestos sobre ellas y regular diversas actividades.

Fuente:https://www.genbeta.com

Conocimiento pertenece al mundo

MALWARE Y OFFICE, UNA PAREJA QUE SIGUE DE LA MANO

Desde hace cuatro años hemos visto cómo la propagación de amenazas utilizando archivos de Word y Excel o lo que en algunos casos se ha denominado como macro malware ha venido creciendo particularmente en Latinoamérica. Fuimos testigos de cómo han evolucionado estas amenazas, desde macros simples que tenían un script en texto plano para conectarse a un sitio y descargar otra muestra hasta nuevas artimañas para tratar de evadir la detección de productos antivirus.

Hace unos días recibimos de nuestro distribuidor autorizado en Centroamérica, SIAT, una muestra de un código malicioso; según advirtieron, se estaba propagando por algunos países de la región con características muy similares a las de amenazas que habíamos visto antes: un correo electrónico de una entidad (supuestamente) oficial que pedía descargar un archivo de Word o Excel relacionado con un pago.

Esta amenaza pertenecía al grupo de las que ESET detecta como variantes de VBA/TrojanDownloader. Tenía las características del típico engaño al que ya nos tienen acostumbrados los cibercriminales: si la víctima abría el documento malicioso y seguía las instrucciones, veía comprometida la seguridad de su máquina.

Pero un análisis rápido de uno de estos archivos reportados nos llamó la atención, pues era sutilmente diferente a lo que habitualmente hacían los atacantes. Resulta que este archivo en particular no tenía en su interior el típico código de macro utilizado para conectarse a algún servidor y descargar el payload dentro de la máquina del usuario:

Por lo tanto, la forma de ocultar la acción maliciosa era diferente a lo que usualmente se venía viendo para propagar amenazas. Te preguntrás dónde ocultaron esta vez la porción de código que descargaba otra amenaza, y para responder la pregunta primero vamos a analizar los diferentes componentes que conforman este archivo:

Sabemos que, desde las versiones Microsfot Office 2007, el formato con que se guardan los archivos cambió a “docx”, extensión que, entre algunas otras características, tiene la particularidad de que funciona de manera similar a lo que sería un archivo comprimido. De hecho, puedes probar un .docx utilizando algún software para descomprimir archivos y ver qué pasa. En este caso particular, dentro de los componentes del archivo malicioso había uno que llamaba particularmente la atención por ser un archivo bin, un formato que no esperaríamos encontrar dentro de un documento de Word.

Si analizamos las características de este archivo, tal como se ve en la imagen anterior, encontramos una sección particularmente diferente al resto: es la que contiene la porción de código en VBS que hace el trabajo sucio de conectarse a un sitio web y descargar el payload a la máquina del usuario.

La porción de script que encontramos tiene una característica muy singular en este tipo de scripts y es que utiliza alguna función para ofuscar su contenido y hacerlo un poco más complejo de detectar. Sin embargo, tras un rápido análisis de la rutina utilizada para ofuscar el código, nos encontramos con que se utiliza un script para descargar el archivo ejecutable haciendo un GET a un servidor; luego, se ejecuta ese mismo archivo dentro de la máquina de la víctima.

Para finalizar, algo curioso que se desprende del análisis de este amenaza es poder encontrar algunos detalles adicionales, como el nombre de la máquina de quien está detrás de su propagación o la confirmación de que guarda estos archivos maliciosos en una carpeta en el escritorio de su PC.

Quizá no es información suficiente para dar con la persona real detrás de la propagación de una campaña maliciosa, pero si por alguna casualidad de la vida te encuentras con una máquina que tenga este nombre, por las dudas pregunta a qué se dedica su dueño.

 Fuente:http://www.welivesecurity.com/

Conocimiento pertenece al mundo

Stitch - Python remoto RAT herramienta de administración conocido como

 0

Stitch es una multiplataforma herramienta de administración remota Python, comúnmente conocido como una rata. Este marco le permite construir cargas útiles personalizados para Windows, Mac OSX y Linux.

Usted es capaz de seleccionar si la carga útil se une a una IP y el puerto específico, para detectar una conexión en un puerto, la opción de enviar un correo electrónico de información del sistema cuando se inicia el sistema, y ​​la opción para iniciar keylogger en el arranque. Las cargas útiles creados sólo puede funcionar con el sistema operativo que se crearon sucesivamente.

Caracteristicas

Asistencia de plataforma cruzada

• Mando y archivo de auto-completado
• detección antivirus
• Capaz de activar / desactivar monitores de visualización
• Ocultar / archivos y directorios en Mostrar
• Ver / editar el archivo hosts
• Ver todas las variables de entorno de sistemas
• Keylogger con opciones para ver el estado, iniciar, detener y volcar los registros en el sistema de acogida
• Ver la ubicación y otra información de la máquina de destino
• Ejecutar secuencias de comandos de Python personalizados que devuelven lo imprime en la pantalla
• Imágenes
• detección de máquina virtual
• Carga / descarga de archivos desde y hacia el sistema de destino
• Tratar de volcar los hashes de sistemas de contraseñas
• propiedades cargas útiles son "disfrazados" como otros programas conocidos

específico de windows

• Muestra un cuadro de diálogo de usuario / contraseña para obtener la contraseña de usuario
• contraseñas volcado guardan a través de Chrome
• Limpiar el sistema, seguridad y registros de aplicación
• Habilitar / Deshabilitar servicios tales como RDP, UAC y Windows Defender
• Editar las propiedades que se accede, creadas y modificadas de archivos
• Crear un cuadro emergente de encargo
• Ver webcam conectada y tomar instantáneas
• Ver más allá de las conexiones wifi conectado junto con sus contraseñas
• Ver información sobre las unidades conectadas
• Ver resumen de los valores inscritos como DEP

Mac OS X específica

• Muestra un cuadro de diálogo de usuario / contraseña para obtener la contraseña de usuario
• Cambie el texto en la pantalla de inicio de sesión de inicio de sesión del usuario
• instantáneas de cámara web

Específica Mac OSX / Linux

• SSH desde el equipo de destino en otro host
• Ejecutar los comandos sudo
• Intento de ataque de fuerza bruta la contraseña del usuario utilizando la lista de contraseñas que se encuentra en Herramientas /
• instantáneas de cámara web? (No probado en Linux)

Toda la comunicación entre el anfitrión y de destino está cifrado AES. Cada programa de puntadas genera una clave AES que luego se pone en todas las cargas útiles. Para acceder a una carga útil de las claves AES deben coincidir. Para conectarse desde un sistema diferente puntada corriente debe agregar la clave mediante el comando showkey del sistema original y el comando addkey en el nuevo sistema.

requisitos

El único requisito es la base de Python 2.7. Para una fácil instalación, ejecute el comando siguiente que corresponda a su sistema operativo:

1 2 3 4 5 6 7 8

# for Windows pip install -r win_requirements.txt   # for Mac OSX pip install -r osx_requirements.txt   # for Linux pip install -r lnx_requirements.txt

Puede descargar la puntada aquí:

Stitch-master.zip

O leer más aquí .