Archives agosto 2019

En el día de ayer se confirmaron que fueron 22 las entidades afectadas por el ataque de ransomware y que el 25% de las mismas ya están en fase de “reparación y recuperación”

En la mañana del pasado viernes, 23 organizaciones gubernamentales a lo largo del estado de Texas fueron víctimas de un ataque de ransomware. Según publicó el Departamento de Información y Recursos de Texas (DIR, por sus siglas en inglés), en su mayoría se trató de pequeñas entidades.

Según el organismo, están trabajando para reestablecer los sistemas afectados y aseguran que los sistemas del Estado de Texas y sus redes no fueron impactadas por el ataque, el cual estiman que tiene como responsable a un único actor.

En el día de ayer, martes 21 de agosto, la cifra inicial de 23 entidades afectadas pasó a ser de 22, informó el DIR en un comunicado de prensa publicado a través de su cuenta de Twitter. Asimismo, más del 25% de las entidades víctimas del ataque pasaron del estado “respuesta y evaluación” a “reparación y recuperación”, estando algunas de los organismos afectadas operando de manera normal.

De momento no se sabe cuál fue el ransomware que afectó a los sistemas afectados ni se conocen detalles acerca del ataque simultáneo, como es, por ejemplo, cuáles son específicamente las entidades afectadas, el monto que reclaman los operadores por el rescate, cómo se fue el método de infección o si se consideró la opción de pagar, ya que tal como explica el DIR en su comunicado, dado que se está llevando adelante una investigación federal, no es posible aportar información adicional.

Además del DIR, varias agencias nacionales y del estado de Texas trabajan en este caso, como son, por ejemplo, el Departamento de Seguridad Nacional y el Buró Federal de Investigaciones, más conocido como FBI.

Una de las ventajas que tiene Texas es la existencia de un sistema de respuesta a incidentes consolidado, comentó el especialista Allan Liska a Threatpost, lo cual se hace que sea más fácil que ante la aparición de un problema como este puedan tener claro con quien comunicarse, agregó.

Cabe recordar que este no es el primer ataque de ransomware dirigido a entidades gubernamentales locales que se registra entre 2018 y 2019 en los Estados Unidos, ya que en junio de este año dos ciudades de Florida, como Lake City y Riviera Beach fueron impactadas por un ataque de ransomware y tomaron la decisión de pagar a los atacantes. En 2018 varios sistemas en la ciudad de Atlanta fueron víctimas de otro ataque de ransomware, mientras que en mayo de este año fue el turno de la ciudad de Baltimore, cuando un ataque de ransomware que demandaba el pago de 76.000 dólares por el rescate afectó a servicios como la emisión de facturas de agua, entre otros.

Semanas atrás se llevó adelante la Conferencia de Alcaldes de Estados Unidos, un evento en el que se reunieron más de 1.400 alcaldes de ciudades de todo el país, y en el cual los presentes se comprometieron a no ceder ante las extorsiones impuestas por cibercriminales en caso de que sus sistemas se vean comprometidos por un ataque de ransomware.

Los ataques de ransomware que afectaron a varias ciudades en los Estados Unidos confirman la tendencia que especialistas de ESET predijeron para 2019, donde era de esperarse ver un giro por parte de los cibercriminales al llevar adelante ataques de ransomware dirigidos en busca de una mayor rentabilidad, a diferencia de ataques en “mosaico” menos específicos mediante campañas de spam maliciosas y con la esperanza de que cada una de estas piezas del mosaico generen una retribución económica sustancial.

Fuente: www.welivesecurity.com

VideoLAN anunció que ya está disponible la versión 3.0.8 del popular reproductor VLC Media Player para Windows, Mac y Linux, el cual incluye parches de seguridad para 13 vulnerabilidades además de otras mejoras

Luego de lo que fue el debate acerca del hallazgo de una vulnerabilidad crítica en el reproductor VLC que permitía ejecutar código de manera remota y que VideoLAN se pronunciara manifestando su discrepancia y asegurando que el reproductor no era vulnerable, la organización responsable anunció el lanzamiento de la versión 3.0.8. En esta nueva edición, compañía anuncia que, además de añadir varias mejoras relacionadas a las funcionalidades del reproductor, se solucionaron 13 vulnerabilidades de seguridad.

Los fallos reparados podrían ser explotados remotamente por un atacante mediante el diseño de un archivo personalizado, siempre y cuando logre engañar a su potencial blanco de ataque para que abra el archivo, explica VideLAN. Por otras parte, a partir de esta versión, la compañía informa también que comenzarán a publicar boletines de seguridad para los lanzamientos de VLC. En este primer boletín se detallan todas las mejoras de seguridad que se solucionaron en esta nueva versión.

Del total de vulnerabilidades, 11 fueron reportadas por el investigador en seguridad Antonio Morales, y según la opinión del investigador, la explotación de cualquiera de ellas sería sencilla, declaró a Threatpost. De hecho, si un atacante, por ejemplo, diseñara un archivo de video y lo distribuyera a través de Torrent utilizando como nombre de archivo una popular serie de televisión a modo de señuelo, probablemente muchos usuarios lo descargarían y con solo abrir el archivo de video activarían la vulnerabilidad, dijo Morales al medio. Este escenario es válido para todas las vulnerabilidades, agregó.

Todas los bugs corregidos en la última versión afectan aún afectan a la versión 3.0.7.1 de VLC, por lo que se recomienda instalar la nueva versión 3.0.8. Asimismo, esta versión no se envió a los usuarios, aunque podrán actualizar manualmente el reproductor descargándola desde el sitio oficial.

Fuente: www.welivesecurity.com

The Document Foundation ha anunciado la publicación de la sexta versión de mantenimiento de LibreOffice 6.2, la cual según la institución sin ánimo de lucro está dirigida a entornos de producción al ser la actual rama still.

Sin embargo, lo más importante del anuncio publicado por The Document Foundation es la puesta a disposición de unos parches a nivel de seguridad tanto para LibreOffice 6.2 como LibreOffice 6.1 que deben ser aplicados cuanto antes.

Para el uso de LibreOffice en entornos corporativos, The Document Foundation recomienda conseguir la suite de uno de los socios de su ecosistema para obtener versiones con soporte a largo plazo, asistencia dedicada, nuevas características personalizadas y correcciones de errores, entre otros beneficios. A lo comentado hasta aquí la fundación ha sumado que todo lo añadido por los socios a la suite termina beneficiando a todos los usuarios.

La institución también recuerda que el soporte para migraciones y formación tendría que ser suministrada por profesionales cualificados que ofrezcan servicios con valor añadido que extiendan el alcance de la comunidad en los entornos corporativos, recalcando que LibreOffice es una excelente opción para las empresas gracias a su madura base de código, amplio conjunto de características, soporte sólido para estándares abiertos, excelente compatibilidad y sus opciones de soporte a largo plazo procedentes de los socios certificados.

LibreOffice 6.2.6 está disponible para su descarga en desde el sitio web oficial de la suite ofimática o bien se puede esperar a que llegue a Ubuntu configurando la correspondiente PPA.

Fuente: www.muylinux.com

La autoridad del supuesto emisor del mensaje, su carga emotiva e incluso la propia felicidad del internauta disminuyen su capacidad de alerta ante este tipo de ciberataque, que cada vez resulta más efectivo y popular. Pero para solucionarlo hace falta implantar una doble autenticación .

El phishing es la forma más común de ciberataque y su uso no hace más que crecer. ¿La razón? Es un ataque simple y efectivo. Lograr que alguien haga clic en un enlace malicioso e introduzca información privada, como una contraseña, es la habilidad más importante en el conjunto de las herramientas de muchos hackers. 

Y el motivo por el que es tan eficaz reside en que se aprovecha del propio funcionamiento del cerebro humano.  Así lo afirma una nueva investigación de Google y en la Universidad de Florida (EE. UU.). El estudio señala que este tipo de ciberataque se basa en la incapacidad de la gente para detectar el engaño a causa de factores como la inteligencia emocional, motivación cognitiva, estado de ánimo, hormonas e incluso la personalidad de la víctima.

Durante la conferencia Black Hat sobre ciberseguridad en Las Vegas (EE. UU.) el pasado 7 de agosto, la profesora asociada de la Universidad de Florida Daniela Oliveira,  afirmó: «Todos somos susceptibles al phishing porque engaña la forma en la que nuestro cerebro decide«.

Los problemas comienzan en el plano de la conciencia: el 45 % de los internautas ni siquiera sabe qué es el phishing, según Oliveira y el investigador de Google Elie Bursztein.

El estado de ánimo también juega un papel importante: las personas que se sienten felices y no estresadas tienen menos probabilidades de detectar el engaño. El cortisol, la hormona del estrés, aumenta la vigilancia y hace que sea más probable detectarlo. La serotonina y la dopamina, hormonas asociadas con los sentimientos positivos, pueden conducir a comportamientos arriesgados e impredecibles, lo que hace que las personas sean más vulnerables.

Los phishers también suelen ser muy buenos a la hora de elaborar mensajes para persuadir a una persona para que haga un clic. La autoridad es una de las armas más comunes y efectivas, por ejemplo, un correo electrónico que dice ser del CEO de la compañía y que pide a un empleado que introduzca alguna información haciendo clic en un enlace. Otras herramientas incluyen un aspecto de ganancia / pérdida, por ejemplo, una oportunidad de reembolso de Amazon.

Algunos de los más destacados correos electrónicos de phishing juegan con las emociones. Después de los devastadores y nunca vistos incendios forestales de California (EE. UU.) en 2018, Google detectó una ola instantánea de correos electrónicos pidiendo dinero para ayudar a las víctimas. Las señales emocionales, por ejemplo, las promesas de donar a las personas que se quedaron sin hogar, afectaron la capacidad de los destinatarios de centrarse en el contenido y en las pistas que indicaban que el correo electrónico era un engaño. Con esta carga emocional, los hackers lograron manipular a la gente.

Eso no significa que la única defensa contra el phishing consista en comportarse como una persona permanentemente estresada y cínica. Una estrategia más saludable y más efectivo consiste en habilitar la doble autenticación para cada uno de los inicios de sesión importantes (correo electrónico, banca online, redes sociales, páginas web de compras, etcétera). Aquí hay una lista de todas las páginas con autenticación de dos factores.

Cuando está activado, el sistema pide algo más que una contraseña al iniciar la sesión, como un código enviado al teléfono a través de un mensaje de texto, un código de una aplicación de autenticación o una clave de seguridad física en una memoria USB (el método más seguro de todos, según las recientes investigaciones ). De esa manera, si accidentalmente le ha dado su contraseña a un hacker como víctima de phishing, él seguirá sin poder iniciar la sesión en su cuenta. El año pasado, Google aseguró que menos del 10 % de sus usuarios tenían habilitada la doble autenticación en sus cuentas.

Fuente: www.technologyreview.es

Recomendaciones para personas que viajan con frecuencia acerca de cómo debemos proteger nuestra información personal, cuentas e incluso nuestros dispositivos, en un escenario en el que constantemente utilizamos servicios que pueden ser inseguros

Uno de los nichos de usuarios tecnológicos que se encuentran más expuestos a vulnerabilidades y campañas maliciosas son los viajeros. Mudarse constantemente de un sitio a otro sin un lugar privado para conectarse y realizar las operaciones digitales de forma segura puede ser un verdadero problema para asegurar la integridad y confidencialidad de nuestros datos y cuentas en línea.

Por eso, hemos reunido en este artículo algunos consejos a tener en mente cuando estamos a punto de realizar esas vacaciones soñadas o debemos prescindir de la seguridad de nuestro hogar por algún viaje de trabajo.

1. Restringir el acceso físico al equipo

Dado que no sabemos a ciencia cierta quiénes se encontrarán cerca de nuestros equipos, recuerda siempre configurar un PIN, contraseña o patrón de desbloqueo en todos los dispositivos electrónicos que lleves contigo siempre que sea posible. Recuerda que el patrón puede ser adivinable que una contraseña segura será siempre la mejor opción. Procura en lo posible tener una solución de seguridad instalada que te permita gestionar de manera remota ese equipo, en caso de robo o extravío, para poder localizarlo, activar alarmar, bloquearlo o borrar sus datos.

Si llevas equipos portátiles pequeños o unidades de almacenamiento, puedes utilizar cajas de protección con cerraduras para mantenerlos seguros. Además, recuerda utilizar los lockers que suelen ofrecerse en hostels y hoteles, pero procura asegurarlos con un candado difícil de vulnerar. Esto último también se recomienda para las valijas donde transportarás estos elementos de valor.

Por si acaso, puedes llevar un set de ganzúas para lockpicking en caso de que pierdas las llaves de tus candados, para que así no debas recurrir a romper tus hebillas de pelo como me ha ocurrido en algunas ocasiones. Ten en cuenta que quizás debas despachar estas herramientas en la bodega del avión, pues pueden ser consideradas materiales peligrosos.

Durante el traslado de un alojamiento a otro, intenta mantener todos los equipos electrónicos de valor contigo. Cifra las unidades de almacenamiento como discos externos, pendrives, o incluso los discos duros de tus laptops y equipos móviles para proteger la confidencialidad de esos datos si los pierdes.

Utiliza protectores USB al momento de conectar pendrives de terceros en tu computador o celular, o si has prestado tu unidad de almacenamiento a otras personas y no conoces qué tan seguros sean los equipos a los que la han conectado. De igual modo, ten cuidado con los enchufes USB para cargar tu celular que usualmente puedes encontrar en los aeropuertos, ya que pueden haber sido alterados para ejecutar malware en tu equipo. Utiliza estos protectores USB siempre que sea posible.

Imagen 1. Escudo USB para proteger el equipo de unidades infectadas.

2. Asegura la transferencia de datos

Una de las grandes desventajas de viajar es no poder contar con un medio seguro para acceder a nuestros datos en línea. A menos que contemos con un plan de roaming y presupuesto ilimitado para consumir datos, la mayor parte de los viajeros debe recurrir a redes abiertas en sitios públicos, restaurantes, cafeterías o en sitios de alojamiento que, aunque sean mejores que una red completamente abierta, no dejan de ser inseguras. Debido a que no se conoce quién más está conectado en ella o qué tan bien configurada está, existe un sinnúmero de diferentes ataques que podrían intentarse contra nuestros equipos, como de ARP spoofing o MitM, para interceptar nuestro tráfico.

En este sentido, existen diferentes servicios de VPN, algunas gratuitas y otras pagas, para equipos móviles o laptops, que nos permiten aumentar el nivel de seguridad de los datos al momento de transferirlos en medios no confiables.

Recuerda borrar las redes a las que te conectas una vez que has concluido de usarlas para evitar ataques de falsos hotspot y procura desactivar los protocolos Bluetooth o WiFi si no los estás utilizando. Igualmente, ten cuidado con falsas antenas de datos o con zonas donde solo tengas servicios 2G, ya que este protocolo es inseguro. De ser posible, puedes llevar contigo tu propio módem 4G.

Por otro lado, recuerda actualizar el sistema operativo y las aplicaciones que utilizas para evitar exploits que puedan atacarte en redes públicas. Chequea los certificados de los sitios a los que accedes para evitar ataques homográficos y otros tipos de phishing. Además, ten cuidado cuando compartes tus datos móviles creando una propia red WiFi: usa contraseñas seguras y recuerda desactivar el AP cuando ya no lo uses.

3. Refuerza la autenticación a tus cuentas en línea

Los percances pueden ocurrir y quizás terminen comprometiendo tu nombre de usuario y contraseña. Para que aun así un atacante no pueda entrar a tu cuenta, no olvides habilitar el segundo factor de autenticación (2FA) siempre que dispongas de esa opción. Dado que es posible que pierdas tu celular o laptop, o que alguien lo hurte, procura llevar códigos de autenticación que puedas utilizar sin la necesidad de acceder a tu teléfono.

Chequea usualmente la actividad de tus cuentas bancarias y redes sociales para asegurarte que no existe comportamiento inusual, mantente atento a las alertas de seguridad y cambia tus datos de acceso si sospechas de haber sido comprometido.

4. Controla tu privacidad antes y durante el viaje

Muchas redes WiFi públicas solicitan que, para poder conectarte a Internet, brindes tus datos personales a través de portales cautivos. Usualmente requieren algún correo electrónico, pero algunos incluso pueden solicitar que crees una cuenta con tus datos personales en el sistema. Procura no brindar tus datos reales y tener una cuenta de correo electrónico especialmente para utilizar en estas situaciones. De este modo, no comprometerás tus cuentas reales ni pondrás en peligro tus datos.

Estos servicios también suelen incluir una política de privacidad respecto al uso de los datos que se transferirán mientras estés conectado. Si tienes tiempo, intenta pegar un vistazo a la política y utiliza una VPN siempre que sea posible. Algunos hoteles también permiten declinar el uso de tus datos personales con fines comerciales, por lo que es una buena idea preguntar al encargado de recepción para qué utilizarán estos datos y brindar algún correo electrónico que no esté asociado a tus plataformas más importantes.

Además, entendemos que estés emocionado por tu viaje, pero ten cuidado con la información que publicas en redes sociales ya que puede ser usada con fines maliciosos. Cuando un ciberdelincuente conoce dónde estás a cada momento, puede utilizar esa información para contactar a tu familia y fingir un secuestro, o para ingresar a tu casa mientras está vacía. Publicar las fotos de los boletos de avión con toda tu información y los códigos de barra o QR asociados tampoco es una buena idea.

Ten en cuenta que ciertos comportamientos pueden ser considerados ilegales en el país donde te encuentras y hacerlos públicos a través de las redes sociales puede ser la prueba que necesitan las autoridades para juzgarte. En este sentido, el uso de ciertas aplicaciones puede estar prohibido, como ocurre con las apps de citas para personas del mismo sexo en ciertos países, por lo que podrías ponerte en peligro a ti mismo y a la persona con la que te encuentras.

5. Protege tus compras en línea

Las compras en línea son una realidad inevitable mientras viajas. Boletos de avión, pasajes de bus, reservas de hospedaje o compras de tours son algunos los servicios que usualmente debes adquirir mientras estás inmerso en tu itinerario. Para más seguridad, cuando realices compras en línea procura utilizar tu tarjeta de crédito y no de débito, ya que, en caso de que los datos sean robados, es mucho más sencillo denunciar y revertir la situación si se trata de una tarjeta de crédito. Además, en caso de que roben los datos de tu tarjeta  de débito corres el riesgo de encontrarte en medio de un viaje con tu cuenta bancaria vacía y sin fondos para continuar con tu plan.

Ten cuidado al momento de sacar dinero de cajeros automáticos; chequea que no existen partes sueltas fácilmente extraíbles en las ranuras donde ingresas la tarjeta. Protege tus tarjetas con chip RFID con una funda especial inhibidora de señal, para evitar compras no autorizadas o robo de datos.

Si deseas adquirir un equipo electrónico fuera de tu país, procura buscar un fabricante confiable que no tenga un historial de vulnerabilidades o distribución de equipos con malware.

6. Evita las ciberestafas viajeras

Muchos viajeros apresurados tienden a sucumbir ante tentadoras ofertas de viajes y hospedaje que les llegan vía correo electrónico o redes sociales, pero ¡ten mucho cuidado! Podrías estar siendo presa de una trampa.

Una ciberestafa es un engaño que se realiza digitalmente, a través de Internet, y que busca lograr que el usuario ceda su información a un cibercriminal o realice acciones maliciosas en su nombre; muchas veces sin llegar a advertir que está siendo víctima de técnicas de Ingeniería Social.

Las ciberestafas tienen la característica de mutar con asombrosa velocidad, pudiendo aparecer, comprometer a miles de usuarios y desaparecer en cortos períodos de tiempo. Quizás una de las campañas fraudulentas de mayor dimensión que hemos atestiguado en los últimos años fue aquella que simulaba cupones de descuentos en nombre de múltiples empresas de renombre, extendiéndose a través de múltiples países, llegando a reunir más de 22 millones de víctimas alrededor del mundo. Investigadores del laboratorio de ESET Latinoamérica han generado un reporte donde podrás encontrar más información al respecto.

Imagen 2. Estafa aérea promete falsos pasajes gratuitos de TAM.

Los viajeros suelen ser un público objetivo para este tipo de engaños, pues están acostumbrados a buscar las mejores ofertas. Para evitarlos, recuerda tener una solución de seguridad para detectar cualquier sitio falso o intento de ejecución maliciosa dentro de tu equipo. Intenta siempre ingresar al sitio de una organización escribiendo la URL en la barra de direcciones y no mediante los resultados de buscadores como Google, ya que los primeros resultados no siempre son los genuinos debido a una actividad conocida como black hat SEO.

Chequea que el enlace que estés visitando pertenezca a la organización oficial. Si enviarás información confidencial, verifica si la conexión es cifrada mediante HTTPS –lo que puede usualmente observarse como un candado verde donde se encuentra la URL– y que el certificado sea firmado por una entidad confiable. Además, contacta a la entidad a la que supuestamente pertenece la promoción a través de otros canales de comunicación (presencialmente, telefónicamente o vía perfiles de redes sociales verificados) para corroborar que el mensaje es verdadero.

Recuerda seguir estos consejos para mantenerte seguro y ¡esperamos que tengas un buen viaje!

Fuente: www.welivesecurity.com/

Microsoft Teams para Linux podría hacerse realidad pronto, según se acaba de saber. Es decir, lo que se planeta es lanzar una aplicación de Microsoft Teams para Linux, única gran plataforma que aún no la tiene.

Para quien no lo conozca, Microsoft Teams es el Slack de los de Redmond, un servicio de chat potenciado con otras características de comunicación y colaboración que se incluye en el paquete de Office 365. Está disponible desde 2017 y desde el año pasado ofrece un plan gratuito, pero limitado en funciones.

En Softpedia recogen las respuestas de dos ingenieros de Microsoft a esta cuestión, que publica un usuario en un hilo con más de 9.000 votos positivos: «Mi equipo tiene algunos usuarios en Linux, y un beneficio que Slack tiene es un cliente para Linux. Sin un cliente de Microsoft Teams para Linux, algunas organizaciones pueden tener que rechazarlo en favor de Slack, para que todos puedan participar sin tener un navegador abierto todo el tiempo».

Es una cuestión curiosa, pues lo de que «algunas organizaciones pueden tener que rechazarlo en favor de Slack» por falta de una aplicación independiente es difícil de comprar. Por lo general es el empleado el que se adapta a lo que impone la empresa y no al revés. Sin embargo, hay respuesta afirmativa por parte de Microsoft.

«Sabemos que muchos de nuestros clientes usan Linux y queremos que Teams esté disponible para todos. Estad atentos, pronto habrá más información«, responde uno de los ingenieros de Microsoft. «Hola chicos, gracias por los comentarios, los escuchamos fuerte y claro. Después de hablar sobre esto con el equipo de ingeniería, confirmo que esto permanecerá en la cartera de pedidos y estamos considerando activamente cómo acelerarlo«, añade el otro.

Y así está la cosa: el desarrollo de una aplicación de Microsoft Teams para Linux está sobre la mesa, sin más datos o previsiones. Pero es una buena noticia para quienes trabajan desde Linux y tienen en Office 365 un requisito obligatorio, aunque no va más allá.

Hay que recordar que Microsoft Teams se puede utilizar a través de cualquier navegador web, y que de llegar una aplicación para Linux muy probablemente lo haga en la forma y fondo de Electron, tal y como ha hecho Microsoft con VSCode o Skype, o como hicieron en Slack con su cliente de escritorio. La integración alcanzará como mucho a las notificaciones. Ergo, será casi lo mismo que «tener un navegador abierto todo el tiempo».

Conviene recordar también que hay vida más allá de Microsoft Teams y Slack, dos servicios muy potentes, pero privativos de arriba abajo. Algunas de las alternativas de código abierto más solventes son Mattermost, Rocket.chat o Gitter, propiedad de GitLab.

Fuente: www.muylinux.com

Logo del sistema operativo HarmonyOS, presentado por Huawei.

Marca distancias con Android

Investigación de ESET devela que los operadores detrás del malware Machete siguen activos y realizando operaciones de ciberespionaje dirigidas a organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela.

América Latina es a menudo pasada por alto cuando se trata de amenazas persistentes y grupos cuyos blancos son seleccionados a partir de motivaciones políticas. Sin embargo, existe una operación de ciberespionaje en curso contra organizaciones de alto perfil que ha logrado mantenerse bajo el radar. El grupo detrás de estos ataques robó gigabytes de documentos confidenciales, principalmente de organismos gubernamentales. Al momento de esta publicación el grupo sigue estando muy activo, introduciendo regularmente cambios en su malware, en su infraestructura y en sus campañas de spearphishing.

ESET ha estado monitoreando una nueva versión de Machete (el conjunto de herramientas del grupo basadas en Python) vista por primera vez en abril de 2018. Si bien la funcionalidad principal del backdoor sigue siendo la misma que en versiones anteriores, se ha ampliado con nuevas características a lo largo del transcurso de un año.

Blancos de ataque

Desde finales de marzo hasta finales de mayo de 2019, los investigadores de ESET observaron que había más de 50 computadoras comprometidas que se comunicaban de manera activa con el servidor de C&C. Esto equivale a gigabytes de datos robados de manera semanal. Más de la mitad de estos equipos pertenecían a organismos gubernamentales. La mayoría de las organizaciones apuntadas por el malware Machete son de países de América Latina, como es el caso de Venezuela (75%), Ecuador (16%), Colombia (7%) y Nicaragua (2%). La distribución de este malware en estos países se puede observar en la Figura 1.

Los operadores detrás de Machete

Los operadores de Machete utilizan técnicas efectivas de spearphishing. Su larga serie de ataques, centrados en países de América Latina, les ha permitido recopilar inteligencia y perfeccionar sus tácticas a lo largo de los años. Conocen bien a sus objetivos, cómo esconderse entre las comunicaciones periódicas y qué documentos son los más valiosos para robar. Machete no solo extrae documentos de ofimática, sino también tipos de archivos especializados que son utilizados por software de sistemas de información geográfica (SIG).

El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, y estos cambian de un blanco a otro. Estos correos electrónicos contienen un enlace o un adjunto con un archivo comprimido autoextraíble que ejecuta el malware a la vez que abre un documento que funciona como señuelo.

Para engañar a sus blancos desprevenidos, los operadores de Machete utilizan documentos reales que han robado anteriormente. ESET ha visto casos en los que documentos robados fechados con un día en particular fueron empaquetados con malware y se utilizaron el mismo día como señuelos para comprometer a nuevas víctimas.

El tipo de documentos utilizados como señuelo suelen ser enviados y recibidos legítimamente varias veces al día en las organizaciones seleccionadas como blancos. En este sentido, los atacantes aprovechan para elaborar correos electrónicos de phishing muy convincentes.

Principales características

El grupo Machete es muy activo y ha introducido varios cambios en su malware desde el lanzamiento de una nueva versión en abril de 2018. Versiones anteriores fueron descritas por Kaspersky en 2014 y por Cylance en 2017. En la Figura 3 mostramos los componentes para la nueva versión del malware Machete.

Figura 2. Componentes de Machete

La primera parte del ataque consiste en un downloader que se presenta como un archivo autoextraíble, creado con 7z SFX Builder. Una vez que el archivo es desempaquetado por el código de autoextracción, el extractor abre un archivo PDF o documento de Microsoft Office que funciona como señuelo y luego corre el downloader ejecutable del archivo. Ese ejecutable es otro archivo autoextraíble que contiene el binario del downloader (un componente py2exe) y un archivo de configuración con la URL de descarga, que se encuentra cifrada.

Todas las URL de descarga que hemos visto apuntan a Dropbox o a Google Docs. Todos los archivos descargados han sido autoextraíbles (RAR SFX) que contienen un archivo de configuración (cifrada) y los componentes del backdoor (ejecutables py2exe). Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de utilizar downloaders y comenzaron a incluir el archivo señuelo y los componentes del backdoor en el mismo archivo.

Los binarios py2exe se pueden descompilar para obtener el código en Python. Además, todos los componentes (downloaders y backdoors) han sido ofuscados con pyobfuscate; algo que también se ha utilizado en versiones anteriores del malware. En la Figura 3 se puede apreciar parte de uno de estos scripts ofuscados.

Figura 3. Script ofuscado con pyobfuscate

Desde Agosto de 2018, se añadió una capa adicional de ofuscación a los componentes de Machete. Los scripts ahora contienen un bloque de texto comprimido con zlib, previa codificación en base64, que luego de ser decodificado, resulta en un script como el de la Figura 3. La primera capa de ofuscación es creada utilizando pyminifier con el parámetro -gzip.

Componentes del backdoor

El dropper de Machete es un ejecutable RAR SFX. Tres componentes py2exe son droppeados: GoogleCrash.exe, Chrome.exe y GoogleUpdate.exe. Un único archivo de configuración es droppeado (jer.dll), el cual contiene texto codificado en base64 que corresponde a strings cifradas con AES. Un esquema que resume los componentes se puede observar en la Figura 4.

Figura 4. Componentes de backdoor py2exe de Machete

GoogleCrash.exe es el componente principal del malware. Programa la ejecución de los otros dos componentes y crea tareas en el Programador de Tareas de Windows para lograr persistencia.

El componente Chrome.exe es responsable de recopilar datos de la computadora comprometida y tiene la capacidad de:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado
• Acceder al portapapeles
• Cifrar en AES y exfiltrar documentos
• Detectar nuevas unidades insertadas y copiar archivos
• Ejecutar otros binarios descargados del servidor C&C
• Obtener archivos específicos del sistema
• Obtener datos de perfil de usuario de varios navegadores
• Recopilar la geolocalización de las víctimas e información sobre redes Wi-Fi cercanas
• Realizar exfiltración física en unidades extraíbles

Los operadores de Machete están interesados ​​en obtener de los equipos comprometidos determinados tipos de archivos. En este sentido, además de documentos de Microsoft Office, se buscan en las diferentes unidades los siguientes tipos de archivos:

• Archivos de backup
• Archivos de base de datos
• Claves criptográficas (PGP)
• Documentos de OpenOffice
• Imágenes vectoriales
• Archivos para sistemas de información geográfica

Con respecto a la geolocalización de las víctimas, Chrome.exe recopila datos sobre redes Wi-Fi cercanas y las envía a la API del Servicio de ubicación de Mozilla. En resumen, esta aplicación proporciona coordenadas de geolocalización cuando le son proporcionadas otras fuentes de datos, tales como beacons Bluetooth, antenas de telefonía celular o puntos de acceso Wi-Fi. Luego, el malware toma coordenadas de latitud y longitud para construir una URL de Google Maps. Parte del código se puede observar en la Figura 5.

Figura 5: Código para geolocalización

La ventaja de utilizar el Servicio de ubicación de Mozilla es que permite la geolocalización sin un GPS real y puede ser más preciso que otros métodos. En este sentido, si bien se puede utilizar una dirección IP para obtener una ubicación aproximada, la misma no es tan precisa. Por otro lado, si hay datos disponibles para el área, el Servicio de ubicación de Mozilla puede proporcionar información como, por ejemplo, en qué edificio se encuentra el blanco.

El componente GoogleUpdate.exe es responsable de comunicarse con el servidor de C&C remoto. La configuración para establecer la conexión se lee del archivo jer.dll: nombre de dominio, nombre de usuario y contraseña. El principal medio de comunicación para Machete es a través de FTP, aunque la comunicación HTTP se implementó como alternativa en 2019.

Este componente carga archivos cifrados a diferentes subdirectorios en el servidor de C&C, pero también recupera archivos específicos que los operadores de Machete han puesto en el servidor. De esta manera, el malware puede actualizar tanto su configuración, sus archivos binarios maliciosos y sus listados de archivos, pero también puede descargar y ejecutar otros binarios.

Conclusión

El grupo Machete está operando con más fuerza que nunca, incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware. ESET ha estado siguiendo esta amenaza durante meses y ha observado varios cambios, a veces en semanas.

Al momento de esta publicación, el último cambio que se introdujo en el malware son seis componentes del backdoor, que ya no son ejecutables py2exe. En este caso se trata de scripts de Python ofuscados, un ejecutable original de Python 2.7 y todas las librerías utilizadas, que son empaquetadas en un archivo autoextraíble.

Varios artefactos que hemos visto en el código de Machete y la infraestructura subyacente nos llevan a pensar que se trata de un grupo de habla hispana. Asimismo, la presencia de código para exfiltrar datos a unidades extraíbles cuando hay acceso físico a una computadora comprometida podría indicar que los operadores de Machete están presentes en alguno de los países blanco de sus ataques, aunque no podemos estar seguros de esta afirmación.

Por otra parte, añadir que ESET detecta esta amenaza como una variante de Python/Machete.

Fuente: www.welivesecurity.com

Los fallos ya fueron reportados a la compañía a finales de 2018 y uno de los métodos de explotación de ya fue reparado. Aún así, desde Facebook consideran que es falso sugerir que existe una vulnerabilidad

Una vulnerabilidad en la app de mensajería permite manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.

Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.

La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.

El primer método es el uso de la función “citar” en una conversación de grupo para cambiar la identidad de la persona que lo envía, incluso si no es miembro del grupo. El segundo consiste en modificar el texto de una respuesta, mientras que el tercero método permite engañar a un usuario y hacerle creer que estaba enviando una respuesta de manera privad a una sola persona, cuando en realidad la estaba enviando a todo un grupo.

El fallo que permite el tercer método de explotación ya fue reparado por Facebook, pero según explicó Vanunu a BBC, la compañía propietaria de WhatsApp les explicó que los otros problemas no se han podido resolver debido a limitaciones de infraestructura en WhatsApp. De acuerdo al medio, la tecnología de cifrado que utiliza la app hace que sea extremadamente difícil para la compañía poder monitorear y verificar la autenticidad de los mensajes enviados por los usuarios.

Por otra parte, consultado el investigador acerca de por qué lanzar una herramienta que podría facilitar a terceros explotar la vulnerabilidad, Vanunu dijo que espera que el tema genere discusión.

“La compañía revisó estos temas hace un año atrás y asegura que es falso sugerir que existe una vulnerabilidad con la seguridad que le aplican a WhatsApp”, explicó un vocero de Facebook a Bloomberg. Por otra parte, desde el lado de WhatsApp opinan que “el escenario descrito por los investigadores equivale a alterar la respuesta de alguien en una cadena de correos”. Asimismo, agregan que “debemos tener en cuenta que considerar las inquietudes planteadas por los investigadores podría hacer que WhatsApp sea menos privado”.

Fuente: www.welivesecurity.com