Tag malware

Cómo verificar si tu PC ha sido infectada, y qué hacer después

by morfil Noticias

¿Tu PC ha sido infectada con un malware? Repasamos las principales señales que te ayudarán a reconocer si tu PC ha sido comprometida y compartimos algunos consejos prácticos de cómo solucionarlo.

Los ciberdelincuentes a nivel global ganan miles de millones de dólares cada año. Gran parte de su éxito está relacionado con saber aprovechar los errores que cometemos las personas: hacer clic en enlaces de phishing, olvidarse de actualizar software crítico y no utilizar la autenticación multifactor (MFA). Actualmente los actores maliciosos tienen a disposición muchos recursos, como un suministro interminable de datos de identidad robados para usar, y un sinnúmero de sitios de cibercrimen en los que es posible intercambiar datos robados, herramientas y servicios de cibercrimen.

Cuanto antes te enteres que has sido infectado con un virus o algún otro tipo de malware, mejor. Ya que cuanto más tiempo pase, más daño podrán hacer los delincuentes y las consecuencias pueden resultar más caras. Es por eso que tiene sentido tomar la delantera y realizar algunos unos chequeos. En América Latina, el 24% de las organizaciones que en el último año sufrieron un incidente de seguridad fueron víctimas de una infección con malware. No esperes a que sea demasiado tarde para tomar medidas.

10 señales de que tu PC puede haber sido infectada con malware

Los cibercriminales no suelen hablar en público de sus ataques. Para ellos la clave está en permanecer ocultos. Cuanto más tiempo pase la víctima sin saber que ha sido comprometida, más tiempo tienen los atacantes para monetizar el acceso a la red y a las cuentas en línea.

Por eso, a continuación compartimos una lista con algunas de las señales que podrían indicar que tu computadora ha sido infectada con malware:

  • Recibes un mensaje de que has sido infectado con ransomware

Empecemos con lo más obvio. Si enciendes tu PC y en lugar de la pantalla de inicio habitual encuentras un archivo de texto que contiene una nota indicando que debes pagar un rescate para recuperar tus archivos, hay altas probabilidades de que te hayas convertido en una víctima del ransomware. Por lo general, los grupos de ransomware suelen dar un corto plazo a las víctimas para que paguen, además de instrucciones de cómo hacer el pago en criptomonedas. La mala noticia es que, incluso si sigues las instrucciones al pie de la letra y pagas, hay grandes posibilidades de que no recuperes el acceso a esos archivos cifrados.

  • La computadora funciona lenta

Cuando un malware – incluyendo troyanos, gusanos y mineros de criptomonedas – se instala en una PC, a menudo ralentizan la máquina. Esto es así sobre todo con algunos tipos de malware, como es el caso de los mineros de criptomonedas o coinminers, que son utilizados para realizar ataques de cryptojacking que utilizan el poder de procesamiento de la computadora para minar criptomonedas. Si bien el funcionamiento lento de una computadora puede ser como consecuencia de factores no maliciosos, como una mala higiene de la PC, es mejor verificar para descartar la posibilidad de una infección.

  • La webcam se enciende sola

Algunos spyware instalados por los cibercriminales están diseñados no solo para recolectar datos de tu PC, sino también para activar en secreto la cámara web y el micrófono. Hacerlo podría permitir a los ciberdelincuentes grabar y robar videos tuyos y de tu familia, con el riesgo de que puedan utilizarlos en intentos de extorsión. Mantén un ojo en la luz de la cámara web para comprobar si se activa sola. O, mejor aún, desactívala completamente pegándole una cinta encima.

  • Tus contactos reciben mensajes no solicitados desde tus cuentas

Otra señal clara de que tu PC se ha visto comprometida es si tus amigos y contactos empiezan a quejarse de spam proveniente de tus cuentas de correo electrónico o redes sociales. Una táctica clásica de phishing es secuestrar las cuentas de las víctimas y luego utilizarlas para enviar spam o correos de phishing a todos tus contactos. Puedes protegerte del robo de tus cuentas fácilmente asegurándote de que todas tus cuentas estén protegidas con la autenticación en dos pasos, también conocida como doble factor de autenticación o 2FA, por sus siglas en inglés.

  • Se despliegan muchos anuncios a través de ventanas emergentes

El adware es un tipo de programa no deseado que utilizan los atacantes para ganar dinero al exponer a las víctimas a un excesivo volumen de anuncios. Así que si en tu computadora se despliegan constantemente ventanas emergentes mostrando anuncios invasivos, esto podría indicar la presencia de adware en tu equipo.

  • Aparecen nuevas herramientas en la barra de herramientas del navegador

El malware también puede instalar complementos o extensiones en la barra de herramientas de tu navegador. Si detectas alguno que no reconoces o que no recuerdas haber instalado, podría significar que tu PC ha sido comprometida. Puede ser necesario restaurar tu PC a su configuración de fábrica para eliminarlos si te enfrentas a una infección con malware. Si se trata de una aplicación potencialmente no deseada (PUA, por sus siglas en inglés), puede que no se necesite una medida tan drástica. Eliminar la aplicación y la barra de herramientas podría ser suficiente en este caso.

  • Comienzan a aparecer iconos aleatorios

Cuando el malware se instala en una PC que ha sido comprometida, a menudo aparecen nuevos iconos en el escritorio. Estos se pueden detectar fácilmente, siempre y cuando el escritorio en sí esté perfectamente organizado en un pequeño número de archivos, carpetas y programas. Si tu escritorio está repleto de archivos, considera ordenarlo para poder detectar más fácilmente cualquier ícono sospechoso que aparezca en tu PC.

  • Las contraseñas/inicios de sesión dejan de funcionar

Si los atacantes han logrado comprometer tu PC, puede que hayan robado las credenciales de acceso a varias de tus cuentas en línea, como tu correo electrónico, y que luego hayan cambiado la contraseña para impedir que puedas acceder. Tener que lidiar con escenario así puede ser una de las partes más estresantes de cualquier ciberataque, ya que deberás reportar el robo de cada una de tus cuentas. Además, si el ataque puede poner en riesgo las cuentas de terceros, como pueden ser clientes, socios o cuentas de empleados, deberás comunicarte con los posibles afectados.

  • Datos y credenciales de inicio de sesión están circulando en la dark web

Si alguna vez recibes un aviso de violación de datos de una empresa o servicio con el que tienes algún tipo de relación, siempre tómalo en serio e intenta verificarlo por tu cuenta. Sitios como HaveIBeenPwned proporcionan información de direcciones de correo y contraseñas que han sido filtradas como consecuencia de una brecha o exposición de datos. Existen también herramientas de monitoreo de la dark web que permiten buscar tus datos en foros de cibercrimen para mantenerte información de forma más proactiva. Si actúas rápidamente, cambiando contraseñas y/o llamando al banco para que bloquee tus tarjetas, puedes mitigar el riesgo antes de que los actores malintencionados hayan sido capaces de monetizar un ataque.

  • Recibes advertencias de un software de seguridad de que has sido infectado

Las advertencias que nos muestran las herramientas antimalware también deben tomarse en serio, aunque también es importante tener en cuenta que es común que los atacantes desplieguen falsos mensajes alertando a la persona que el equipo ha sido infectado y utilizando el nombre de reconocidos software de seguridad. Por eso es importante comprobar en primer lugar que el mensaje es legítimo y que realmente proviene del software de seguridad informática. De ser así, sigue las instrucciones para tratar de encontrar y eliminar los archivos maliciosos en tu PC. No asumas que la advertencia significa que el software antivirus eliminará automáticamente de la PC esa amenaza específica.

¿Qué pasa después?

Pase lo que pase, no te asustes. Si tu PC ha sido comprometida, ejecuta una herramienta antimalware de un proveedor de buena reputación para tratar de encontrar y eliminar cualquier código malicioso que haya sido instalado. Luego considera realizar lo siguiente:

  • Modifica todas las contraseñas de aquellas cuentas a las que has accedido desde esa PC
  • Descarga una aplicación de MFA para reducir el riesgo de que un actor malicioso pueda comprometer alguna de tus cuenta
  • Invierte en una herramienta de monitoreo de la dark web para verificar qué datos han sido robados y/o expuestos
  • Congela la posibilidad de solicitar un crédito para que los ciberdelincuentes no puedan obtener nuevas líneas de crédito a tu nombre
  • Monitorea todas tus cuentas para detectar actividades sospechosas, especialmente las cuentas bancarias

Si no está seguro de haber eliminado por completo un código malicioso de tu PC, considera realizar la modificación de tus contraseña desde un dispositivo alternativo. Ponte en contacto con tu proveedor de software de seguridad o banco para obtener más información.

Fuente: www.welivesecurity.com

5 formas que utilizan para robar datos de tarjetas de crédito

by morfil Noticias

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

 

El cibercrimen es una máquina bien aceitada que vale billones de dólares al año. Ocultos de las fuerzas de seguridad y de la mayoría de los consumidores, los ciberdelincuentes frecuentan sitios de la dark web donde compran y venden grandes cantidades de datos robados, así como las herramientas necesarias para obtenerlos. Se cree que hay hasta 24 mil millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan actualmente en dichos sitios. Entre los más buscados se encuentran los datos de tarjetas nuevos, que luego los estafadores compran a granel para cometer fraude de identidad.

En los países que han implementado sistemas de chip y PIN (también conocidos como EMV), es un desafío convertir estos datos en tarjetas clonadas. Por eso son más comunes los ataques en línea dirigidos a transacciones sin tarjeta (CNP). Los estafadores podrían usarlos para comprar artículos de lujo para su posterior venta, o potencialmente podrían comprar tarjetas de regalo a granel, que es otra forma popular de lavar fondos obtenidos ilícitamente. La escala del mercado de tarjetas es difícil de estimar. Pero los administradores de la tienda clandestina más grande del mundo se retiraron recientemente después de ganar aproximadamente 358 millones de dólares.

Con esto en mente, a continuación explicamos cuáles son las cinco formas más comunes en que los ciberdelincuentes buscan obtener los datos de tarjetas de crédito de las personas y cómo detenerlos:

1. Phishing

El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos. En su forma más simple, es un engaño en el que el cibercriminal se hace pasar por una entidad legítima (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue malware sin darse cuenta. Estos correos o mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, hacerlo lleva al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Para tener en cuenta la vigencia que tiene pese a ser una forma de ataque muy conocida, el phishing alcanzó el máximo histórico en el primer trimestre de 2022, algo que ya había sucedido en 2021.

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

 

Con los años el phishing ha ido evolucionado dando lugar a formas de ataque similares. En lugar de un correo electrónico, las víctimas puede también recibir un mensaje texto (SMS) malicioso, conocido como smishing, donde un ciberdelincuente se puede hace pasar, por ejemplo, por una empresa de entrega de paquetería, una agencia gubernamental u otra organización de confianza. Los estafadores pueden incluso llamarlo telefónicamente, en una forma de ataque conocida como vishing, donde nuevamente fingen ser una fuente confiable con el objetivo de convencer al individuo para que comparta los detalles de su tarjeta. El smishing se duplicó en 2021, mientras que el vishing también aumentó.

2. Malware

El mercado clandestinidad del cibercrimen es enorme, y no solo se comercializan datos, sino también malware. A lo largo de los años se han desarrollado diferentes tipos de códigos maliciosos diseñados para robar información. Algunos de estos códigos lo que hacen es registran las pulsaciones del teclado de la víctima; por ejemplo, mientras escribe los detalles de la tarjeta en un sitio de comercio electrónico o bancario. ¿Cómo hacen los cibercriminales para colocar estos programas maliciosos en nuestras máquinas?

Los correos de phishing o mensajes de texto son un método muy común. También los anuncios maliciosos. En otros casos pueden comprometer un sitio web que recibe muchas visitas y esperar a que los usuarios lleguen al sitio para infectarlos. Ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio comprometido. El malware que roba información también suele estar oculto dentro de aplicaciones móviles maliciosas que parecen legítimas.

3. Web skimming

A veces, los ciberdelincuentes también instalan malware en páginas de pago de sitios de comercio electrónico legítimos. Estos códigos maliciosos son invisibles para el usuario, pero sustraerán los detalles de la tarjeta a medida que son ingresados. No hay mucho que los usuarios puedan hacer para mantenerse seguros, aparte de comprar en sitios confiables y que utilicen aplicaciones de pago de renombre, que probablemente sean más seguros. Las detecciones de web skimmers aumentaron un 150% entre mayo y noviembre de 2021.

4. Filtraciones de datos

A veces, los datos de las tarjetas se obtienen no de los usuarios, sino directamente de empresas con las que se hace algún tipo de transacción o negocio. Podría ser desde un proveedor de atención médica, una tienda en línea o una empresa de viajes. Esta forma de obtener datos es más rentable desde la perspectiva de los delincuentes, porque a través de un ataque se obtiene acceso a una gran cantidad de datos.

Por otro lado, con las campañas de phishing, si bien son ataques se lanzan de forma automatizada, tienen que robar a los individuos uno por uno.

5. Redes Wi-Fi públicas

Cuando estás fuera de casa es tentador puede resultar tentador navegar por la web utilizando puntos de acceso Wi-Fi públicos: ya sea en aeropuertos, hoteles, cafeterías y otros espacios compartidos. Incluso si tienes que pagar para unirte a la red, es posible que no sea seguro si los delincuentes han hecho lo mismo. Pueden usar el acceso a una red para espiar los datos de terceros a medida que son ingresados.

Cómo proteger los datos de la tarjeta de crédito

Afortunadamente, hay muchas maneras de minimizar los riesgos de que los datos de la tarjeta de crédito caigan en manos equivocadas. Considere las siguientes recomendaciones como un punto de partida:

  • Esté alerta: si recibe un correo electrónico inesperado o no solicitado, nunca responda, haga clic en enlaces ni abra archivos adjuntos. Podría tratarse de un engaño que busca infectarlo con malware. O podrían llevarlo a páginas de phishing que parecen legítimas donde se solicitará que ingrese sus datos.
  • No divulgue ningún detalle por teléfono, incluso si la persona al otro lado suena convincente. Pregunte de dónde están llamando y luego vuelva a llamar a esa organización para verificar. No utilice los números de contacto que le proporcionaron.
  • No use Internet si está conectado a una red Wi-Fi pública, especialmente si no utiliza una VPN. No realice ninguna acción que implique ingresar los detalles de la tarjeta (por ejemplo, compras en línea).
  • No guarde los detalles de la tarjeta de crédito o débito en el navegador, aunque esto le permita ahorrar tiempo la próxima vez que realice una compra. De esta manera reducirá considerablemente las posibilidades de que obtengan los datos de su tarjeta si la empresa o plataforma sufre una filtración o si un atacante logra secuestrar su cuenta.
  • Instale una solución antimalware de un proveedor confiable en cada una de sus computadoras y dispositivos conectados a Internet.
  • Active la autenticación en dos pasos en todas las cuentas que tengan información sensible. La autenticación en dos pasos reduce las posibilidades de que los atacantes puedan acceder a sus cuentas incluso si obtuvieron sus credenciales de acceso.
  • Solo descargue aplicaciones de tiendas oficiales, como la App Store o Google Play.
  • Si está haciendo alguna compra en línea, solo hágalo en sitios con HTTPS (debería mostrar un candado en la barra de direcciones del navegador junto a la URL). Esto significa que hay menos posibilidades de que los datos puedan ser interceptados.

Finalmente, una práctica siempre recomendable es monitorear los movimientos de nuestras cuentas bancarias y de nuestras tarjetas. Si detecta alguna transacción sospechosa, informe de inmediato al equipo de fraude de su banco/proveedor de tarjeta. Algunas aplicaciones ahora permiten “congelar” todos los gastos en tarjetas específicas hasta determinar si ha habido una violación de seguridad. Hay muchas formas en que los malos obtienen los datos de nuestra tarjeta, pero también podemos hacer muchas cosas para mantenerlos lejos.

Fuente: www.welivesecurity.com

 

Así entran los virus en tu teléfono móvil

by morfil Noticias

Descubre cuáles son las formas más comunes a través de las cuales los ciberdelincuentes son capaces de hacerse con el control de tu teléfono móvil e introducir un virus.

Descubre las formas a través de las que un hacker puede infectar tu teléfono.

 

Nadie quiere que un virus informático infecte su dispositivo móvil, pero lo cierto es que son tantos los métodos por los que un ciberdelincuente puede llevar a cabo la instalación de un malware, que cada día es más difícil escapar de ellos.

Por este motivo, es muy importante tener cuidado y ser muy conscientes de si estamos llevando a cabo alguna práctica que pueda favorecer la instalación de un malware en nuestro teléfono móvil, independientemente del modelo que sea.

Uno de los métodos más comunes para instalar un virus es desde una web. Hay que estar muy atentos a la hora de navegar por Internet el móvil para no entrar en aquellas páginas que puedan resultar sospechosas.

En muchas ocasiones pueden parecer fiables, pero lo cierto es que han podido ser modificadas por un hacker. Además de eso, debemos evitar siempre descargar cualquier tipo de archivo que encontremos en una web de la que no conocemos su procedencia.

Los ataques de phishing a través de SMS también son muy recurrentes y normalmente estos mensajes suplantan a una empresa e incitan a la víctima a que haga clic en un enlace o a que se descargue una aplicación o un archivo.

En caso de recibir alguno de estos mensajes, lo mejor es eliminarlo y nunca pinchar en los enlaces que se encuentran en su interior.

Esta misma situación se produce con cierta frecuencia a través del correo electrónico, donde los ciberdelincuentes vuelven a hacerse pasar por una famosa compañía con el objetivo de hacerse con nuestros datos personales, así como las credenciales bancarias.

Al igual que con un SMS, lo más seguro es proceder a borrarlo directamente y no entrar en ningún enlace para que el hacker no sea capaz de infectar nuestro dispositivo.

Las aplicaciones también son uno de los métodos que más utilizan estos delincuentes para infectar un dispositivo. A través de un troyano o de cualquier otro tipo de virus informático son capaces de hacerse con el control de nuestro teléfono móvil en cuestión de segundos.

Este tipo de hackers logran escapar de la seguridad de las apps y en caso de haber sido víctima de esta situación, lo primero que tenemos que hacer es borrar la aplicación. Para evitar llegar a esto, hay que comprobar muy bien una plataforma antes de descargarla en nuestro teléfono.

Un método que no es tan conocido son las tarjetas de memoria y es que muchos de estos delincuentes pueden infectar un malware en nuestro dispositivo a través de estas tarjetas. Simplemente, tendremos que insertarla y automáticamente nuestro teléfono estará infectado.

La recomendación es comprobar que esa tarjeta está libre de cualquier virus antes de introducirla en el teléfono y nunca insertar ninguna tarjeta de memoria de la que no conozcamos su procedencia para evitar que ningún virus entre en nuestro móvil.

Fuente: www.20minutos.es

CaddyWiper: nuevo malware destructivo descubierto en Ucrania

by morfil Noticias

Por tercera vez en pocas semanas, investigadores de ESET detectan un nuevo malware del tipo wiper previamente desconocido apuntando a organizaciones ucranianas.

Los investigadores de ESET descubrieron otro malware que destruye datos (wiper) utilizado en ataques contra organizaciones en Ucrania.

Apodado CaddyWiper por los analistas de ESET, el malware se detectó por primera vez a las 11:38 a. m. hora local (9:38 a. m. UTC) del lunes 14 de marzo. El wiper, que destruye los datos de los usuarios y de las unidades conectadas, se detectó en varias docenas de sistemas en un número limitado de organizaciones. Los productos ESET detectan este malware como Win32/KillDisk.NCX.

CaddyWiper no presenta similitudes en el código importantes en comparación con HermeticWiper o IsaacWiper, los otros dos nuevos wipers de datos que han afectado a organizaciones en Ucrania desde el 23 de febrero.

Un nuevo wiper cada semana

En las últimas tres semanas, es la tercera vez que los investigadores de ESET detectan una muestra previamente desconocida de malware que borra datos apuntando a organizaciones en Ucrania.

En la víspera de la invasión de Rusia a Ucrania, la telemetría de ESET detectó a HermeticWiper en las redes de varias organizaciones ucranianas de alto perfil. Estas campañas también desplegaron a HermeticWizard, un gusano personalizado utilizado para propagar HermeticWiper dentro de las redes locales, y a HermeticRansom, un ransomware utilizado como señuelo.

Al día siguiente, comenzó un segundo ataque destructivo contra una red gubernamental ucraniana, esta vez desplegando IsaacWiper.

Ucrania en la mira

En enero de este año, otro wiper de datos, llamado WhisperGate, limpió las redes de múltiples organizaciones en Ucrania.

Estas campañas son solo las últimas de una larga serie de ciberataques que han alcanzado objetivos de alto perfil de Ucrania durante los últimos ocho años. Tal como lo exploraron los investigadores de ESET en un webinario en inglés publicado recientemente, desde 2014 a esta parte Ucrania ha sido el blanco receptor de una serie de ataques cibernéticos altamente disruptivos, incluido el ataque NotPetya que atravesó las redes de varias empresas ucranianas en junio de 2017 antes extenderse a otros países.

ESET Research ahora ofrece un informe de inteligencia de APT privado y una fuente de datos. Por cualquier consulta acerca de este nuevo servicio o investigación publicada en WeLiveSecurity, contáctenos en threatintel@eset.com.

Fuente: https://www.welivesecurity.com/

Crece la cantidad de usuarios en Argentina infectados con malware que roba información

by morfil Noticias

En febrero solamente, más de 3400 usuarios en Argentina se infectaron con malware que roba información y más de 142 mil usuarios a nivel global.

En febrero aumentó la cantidad de víctimas de malware del tipo infostealer que tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código maliciosos, conocido en inglés como Infostealer malware, suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. Solo en Argentina se detectaron 3471 nuevos usuarios infectados con este tipo de malware en febrero de 2022, lo que representa un aumento de más de 2.000 usuarios con respecto a enero. En Brasil fueron 13.598 el número de usuarios afectados en febrero, lo que significa 2.560 víctimas más que el mes anterior.

La cifra a nivel global también aumentó, ya que en febrero se registró un aumento de más de 39 mil infecciones en comparación con los más de 104 mil usuarios infectados en enero. Según datos de la telemetría de ESET tan solo para una de las tantas variantes de RedLine en actividad que existe, en lo que va de 2022 se observa un aumento constante en la cantidad de detecciones y el pico máximo se está registrando en marzo.

Lectura relacionada: Más de 1.7 millones de credenciales de acceso a servicios públicos robadas con malware
Los datos fueron publicados por DarkTracer, un servicio de Inteligencia de amenazas que monitorea la actividad de la dark web que compartió la información a través de su cuenta de Twitter. Además, aseguran que más de 12.7 millones de credenciales de usuarios están siendo distribuidas en foros de la dark web.

Son varios los Infostealers en actividad. Entre los más populares está RedLine Stealer y Raccon Stealer, pero existen otros, como Vidar, Taurus o AZORult, por nombrar algunos más. En el caso de RedLine, según revelaron algunas fuentes en 2021, este malware en particular ha sido la principal fuente de credenciales robadas en los mercados clandestinos.

Como suele distribuirse este tipo de malware
La forma de distribución de estos códigos maliciosos es muy amplia. El año pasado este malware en particular ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de videos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas. Hace unos días investigadores detectaron una nueva campaña dirigida a gamers que distribuía RedLine a través de videos de YouTube relacionados al juego Valorant. Los actores de amenazas promovían un cheat para el juego a través de un enlace en la descripción que conducía a la descarga del infostealer.

Otra forma de distribuir este tipo de malware han sido los cracks de software. Este año se detectó una campaña distribuyendo RedLine que se hacía pasar por un falso instalador de Windows 11. Los cibercriminales crearon un sitio de apariencia similar al sitio oficial de Microsoft para engañar a los usuarios y que descarguen el falso instaldor. Algo similar reveló un usuario en Reddit que hizo una búsqueda en Google para descargar el editor de código Sublime Text y llegó a un sitio falso que alojaba Redline.

Además del robo de cookies, datos de tarjetas de crédito y otro tipo de información, este malware suele recolectar credenciales, ya sea de cuentas como de servicios, por ejemplo, VPN.

Investigadores revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, lo que permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.


Como recomendación final para los usuarios, activar siempre que sea posible la autenticación en dos pasos. De esta manera el atacante no podrá acceder a nuestras cuentas con la contraseña y el usuario, ya que necesitará también verificar su identidad con un código único que está en poder del usuario

Por último, recordar también utilizar contraseñas seguras, de ser posible frases como contraseña, utilizar un administrador de contraseñas confiable que permita crear y almacenar de manera ordenada contraseñas únicas para cada cuenta o servicio y de esta manera evitar la tentación de reutilizar las mismas credenciales o leves variaciones para acceder a otras cuentas.

Fuente: https://www.welivesecurity.com/

Malware en Linux, una tendencia al alza.

by morfil Noticias

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

Fuente: https://www.muylinux.com/

Compromiso de sitios web estratégicos de alto perfil en Medio Oriente.

by morfil Noticias

Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.

En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El julio de 2020 el sistema nos ha notificado que la página web de la embajada de Irán en Abu Dabi había sido modificada y había empezado a inyectar código JavaScript desde https://piwiks[.]com/reconnect.js.

Nuestra curiosidad se despertó por la naturaleza del sitio web comprometido y en las semanas siguientes notamos que otros sitios web vinculados a Medio Oriente comenzaron a ser blanco de acciones similares. Rastreamos el inicio de la campaña hasta marzo de 2020, cuando se volvió a registrar el dominio piwiks[.]com. Creemos que estos compromisos de sitios web estratégicos solo comenzaron en abril de 2020 cuando el sitio web de Middle East Eye (middleeasteye.net), un sitio de noticias digitales con sede en Londres que cubre la región, comenzó a inyectar código desde el dominio piwiks[.]com.

A finales de julio o principios de agosto de 2020, se limpiaron todos los sitios web comprometidos restantes; es probable que los propios atacantes hayan eliminado los scripts maliciosos de los sitios web comprometidos. El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web se limpiaron nuevamente. Un compañero investigador compartió algunos indicadores de esta segunda ola en Twitter, lo que nos permite establecer un vínculo con lo que Kaspersky denomina Karkadann.

Detallamos el funcionamiento interno de los compromisos en la sección Análisis técnico a continuación, pero vale la pena señalar que los objetivos finales son visitantes específicos de esos sitios web, que es probable que reciban un exploit para el navegador. Los sitios web comprometidos solo se utilizan como una forma de alcanzar los objetivos finales.

También descubrimos vínculos interesantes con Candiru, detallados en la sección Vínculos entre los sitios de watering hole, documentos de spearphishing y Candiru. Candiru es una empresa privada de spyware israelí que fue recientemente añadida a la Lista de entidades (entidades sujetas a restricciones de licencia) del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia por parte del Departamento de Comercio.

Al momento de escribir este artículo los operadores parece que están haciendo una pausa, probablemente para reorganizarse y hacer que su campaña sea más sigilosa. Esperamos volver a verlos en los próximos meses.

Blancos de ataque

Nuestro seguimiento muestra que los operadores están principalmente interesados ​​en Oriente Medio, y con un énfasis particular en Yemen. La Tabla 1 muestra cuáles fueron las víctimas conocidas en 2020 y 2021.

Tabla 1. Dominios comprometidos durante la primera ola

Compromised websiteC&CFromToDetail
middleeasteye.netpiwiks[.]com2020‑04‑042020‑04‑06A UK-based online newspaper covering the Middle East.
piaggioaerospace.itpiwiks[.]com2020-07-082020-11-05An Italian aerospace company.
medica-tradefair[.]corebrandly[.]site2020-07-092020-10-13Fake website impersonating a German medical trade fair in Düsseldorf.
mfa.gov.irpiwiks[.]com2020-07-112020-07-13Ministry of Foreign Affairs of Iran.
almanar.com.lbrebrandly[.]site2020-07-242020-07-30Television channel linked to Hezbollah.
smc.gov.yevisitortrack[.]net
hotjar[.]net		2021-01-18
2021-04-21		2021-04-14
2021-07-30		Ministry of Interior of Yemen.
almasirahnews.comvisitortrack[.]net
hotjar[.]net		2021-01-25
2021-04-21		2021-03-25
2021-07-17		Yemeni Television channel linked to the Ansar Allah movement (Houthis).
casi.gov.syhotjar[.]net2021-02-01UnknownCentral Authority for the Supervision and Inspection of Syria.
moe.gov.syhotjar[.]net2021-02-01UnknownSyrian Ministry of Electricity.
almanar.com.lbwebfx[.]bz
webffx[.]bz
webffx[.]bz		2021-02-03
2021-03-12
2021-03-24		2021-02-23
2021-03-24
2021-03-25		Television channel linked to Hezbollah.
manartv.com.lbwebfx[.]bz2021-02-032021-03-22Television channel linked to Hezbollah.
mof.gov.yehotjar[.]net2021-02-112021-07-14Ministry of Finance of Yemen.
scs-net.orghotjar[.]net2021-03-07UnknownInternet Service Provider in Syria.
customs.gov.yelivesesion[.]bid2021-03-242021-06-16Customs agency of Yemen.
denel.co.za
pmp.co.za
deneldynamics.co.za
denellandsystems.co.za
denelaviation.co.za		site-improve[.]net2021-03-31
2021-03-31
2021-04-03
2021-04-04
2021-04-07		2021-07-22
Unknown
2021-07-27
2021-07-23
2021-07-19		A South African state-owned aerospace and military technology conglomerate.
yemen.net.yehotjar[.]net2021-04-152021-08-04Internet service provider in Yemen.
yemenparliament.gov.yehotjar[.]net2021-04-202021-07-05Parliament of Yemen.
yemenvision.gov.yehotjar[.]net2021-04-212021-06-13Yemeni government website.
mmy.yehotjar[.]net2021-05-042021-08-19Yemeni media linked to the Houthis.
thesaudireality.combootstrapcdn[.]net2021-06-162021-07-23Likely dissident media outlet in Saudi Arabia.
saba.yeaddthis[.]events2021-06-18UnknownYemeni news agency linked to Houthis. However, it seems it was taken over by the Southern Transitional Council in early June 2021, just before this website was compromised.

medica-tradefair[.]co es el único atípico en esta lista, ya que el dominio no fue comprometido, pero sí fue operado por los propios atacantes. Estaba alojado en ServerAstra, al igual que todos los demás servidores C&C utilizados en 2020.

El sitio imita la web legítima de medica-tradefair.com, que es el sitio web de la feria comercial MEDICA del Foro Mundial de Medicina que se celebra cada año en Düsseldorf (Alemania). Los operadores simplemente clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript.

Como se observa en la Figura 2, el contenido no parece haber sido modificado. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso.

Fuente: https://www.welivesecurity.com/

Emotet regresó y se distribuye a través de correos con adjuntos maliciosos.

by morfil Noticias

Luego de la caída de Emotet a principios de 2021, el 14 de noviembre la botnet volvió a la actividad en campañas de malspam que contienen distintos tipos de adjuntos maliciosos.

En enero de 2021 una operación liderada por Europol Interpol desmantelaba la botnet Emotet, uno de los malware más prevalentes de los últimos años que venía operando desde 2014 y que se estima provocó daños económicos por aproximadamente 2.500 millones de dólares. En total unos 700 servidores de comando y control (C&C) utilizados por los atacantes para comprometer equipos y lanzar nuevas campañas maliciosas fueron desconectados como parte de la operación y rápidamente se observó una caída abrupta en su actividad. Sin embargo, pese a los esfuerzos, el pasado 14 de noviembre se detectó una nueva campaña de malspam que distribuía el troyano Trickbot que luego descargaban en una segunda instancia una DLL maliciosa correspondiente a Emotet.

En el siguiente tweet publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet.

Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:

  • Archivos de Microsoft Excel (.xlsm)
  • Archivos de Word (.docm)
  • Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word

Por otra parte, si bien se ha observado la distribución a través de Trickbot, algunos investigadores ya confirman que también comenzaron a circular campañas a través del correo que descargan Emotet directamente, con lo cual podría ser una señal de que su infraestructura está creciendo.

Según explicó el investigador Cryptolaemus que desde hace tiempo sigue la actividad de Emotet, la nueva versión analizada presenta algunas modificaciones con respecto a las anteriores. Una de ellas es que ahora cuenta con siete comandos que amplía las posibilidades de descarga de binarios.

Por su parte, desde la organización Abuse.ch compartieron una lista de servidores de C&C para que puedan ser bloqueados para mayor protección.

Vale la pena recordar que en el pasado Emotet era utilizado como infraestructura de malware como servicio (MaaS, por sus siglas en inglés) para distribuir otras amenazas. Si bien en este resurgir Trickbot está distribuyendo Emotet, antes de la interrupción de su infraestructura Emotet distribuía Trickbot, el cual a su vez era utilizado para descargar algunos ransomware como Ryuk o Conti.

Fuente: https://www.welivesecurity.com/

Qué es un adware y cuáles son sus características.

by morfil Noticias

Posiblemente muchas veces te sucedió que mientras navegabas por Internet aparecían ventanas emergentes con mensajes como: “ganaste un nuevo celular gratis haz clic AQUÍ”, “eres nuestro usuario 500.000 y has ganado un premio haz clic AQUI”, u otro tipo de mensajes similares que hacen referencia a cosas demasiado buenas para ser verdad. A través de este tipo de anuncios es cómo más comúnmente se presenta el adware a los usuarios, ya sea a través de la computadora o el smartphone. Si el usuario hace clic donde no debe y se infecta, probablemente comiencen a aparecer nuevas ventanas emergentes desplegando más publicidad invasiva y no deseada.

Qué es adware

Adware es la combinación de las palabras “advertising” (publicidad) y “software” (programa) y se refiere a cualquier software, sea malicioso o no, que nos muestre anuncios en una app o sobre el navegador web para generar ganancias a partir de clics e impresiones en los anuncios.

¿El adware es considerado malware?

Si bien se suele hacer referencia al adware como un tipo de malware, la realidad es que el adware es considerado un grayware o aplicación potencialmente no deseada (PUA, por sus siglas en inglés). Esto quiere decir que, si bien puede conducir a sitios maliciosos, el riesgo de que realice otra acción maliciosa es menor, aunque esto último puede ocurrir.

Por lo tanto, si bien el adware no suele ser peligroso en sí mismo, en algunos casos puede tener otros objetivos que suponen un riesgo mayor; por ejemplo, recolectar datos. Este fue el caso por ejemplo del adware Wajam, capaz de recopilar y filtrar información del usuario víctima, como software instalado, el modelo del equipo, entre otros datos.

Podemos notar que tenemos instalado un adware en nuestro dispositivo cuando empezamos a observar que aparecen ventanas emergentes con anuncios falsos sin ningún motivo aparente, o cuando aparecen varios anuncios de forma consecutiva causando una molestia a la hora de navegar, o si somos redirigidos a sitios no deseados que pueden llevar a la descarga de malware.

Por este tipo de comportamiento es tal vez el malware más fácil de detectar, ya que toda su actividad maliciosa es invasiva y notoria mientras el usuario navega por Internet.

Cómo llega el adware a nuestros dispositivos

Existen diversas maneras de instalar este tipo de software no deseado en nuestros dispositivos. Por ejemplo, puede colarse en la computadora al instalar un software gratuito (Freewares o Sharewares) y realizar modificaciones sobre nuestro navegador; por ejemplo, instalando una barra de herramientas (toolbars) que no deseamos, modificarnos la página de inicio del navegador o el buscador que usamos por defecto por uno que nos agregue anuncios publicitarios que, en la mayoría de los casos, no tienen relación con nuestra búsqueda principal, como podemos ver en la Imagen 1.

Imagen 1. Enlaces de anuncios publicitarios que no tienen relación con nuestra búsqueda

Cuando se instalan junto a un software gratuito es el propio usuario el que muchas veces acepta la instalación del adware por no prestar atención durante el proceso de instalación. Esto significa que el adware muchas veces accede al sistema de manera “legal” porque el usuario aceptó la instalación. Lo que se recomienda es eliminar un archivo que es detectado por la solución de seguridad como adware, ya que existen posibilidades de que contenga código malicioso.

Cómo se propaga el adware

El adware puede propagarse e infectar tu computadora de varias maneras, por ejemplo:

  • Instalando en el navegador extensiones no confiables o desconocidas.
  • Instalando software gratuito (Freewares o Sharewares) de sitios con una reputación dudosa.
  • Navegando en sitios “no confiables” o que estén infectados con adware, algunos de estos pueden mostrar contenido multimedia como películas online gratis, partidos de fútbol online gratis, contenido para adultos, minijuegos online, etc.
  • A través de archivos ejecutables que se hacen pasar por un software en particular pero que nos terminan instalando otros.
  • Haciendo clic en anuncios sospechosos.

Es importante recordar que cuando uno descarga e instala software en la computadora, estos programas traen un contrato de “términos y condiciones de uso” donde se detallan los derechos de propiedad intelectual, qué se va a instalar en el sistema, qué permisos se están otorgando y cuáles no, entre otras cosas.

Cuando uno acepta este acuerdo, sin haberlo leído detenidamente, está dando su consentimiento a la posible instalación de uno de estos adware o cualquier otro tipo de software que pueda estar incluido, en el caso de que estén incluidos, sobre la computadora.

Como dijimos antes, es importante prestar atención durante todo el proceso de instalación, ya que en algunos casos se da la posibilidad de elegir si se quieren instalar otras aplicaciones o no, que son ajenas al software que se va a instalar.

¿Cómo afecta a mi computadora?

A continuación, se listan una serie de posibles comportamientos que pueden dar indicios de una posible infección:

  • El navegador empieza a funcionar más lento que de costumbre o puede cerrarse de forma inesperada.
  • Aparecen anuncios en páginas web donde antes no aparecían.
  • Se modificó la página de inicio o la página de búsqueda sin nuestra autorización.
  • Cada vez que se visita una página web, el navegador es redirigido a una página diferente.
  • Aparecen nuevas barras de herramientas (toolbars), plugins o extensiones en el navegador que antes no estaban.
  • Hacer clic en cualquier parte de la página abre una o más ventanas emergentes con anuncios no deseados.
  • Se instalan aplicaciones no deseadas en la computadora sin nuestro permiso. 

¿En mi teléfono también?

Los Adwares no solo afectan a las computadoras, también pueden propagarse en dispositivos móviles infectándolos por medio del navegador web, o a través de aplicaciones alojadas en tiendas tanto oficiales como tiendas no oficiales de terceros.Se recomiendan las siguientes lecturas con relación a adwares para dispositivos móviles:

  • Troyanos propagan adware entre usuarios de Android explica el funcionamiento de un troyano que hacía peticiones a decenas de anuncios publicitarios.
  • Rastrean desarrollador de adware para Android que afecta a millones de usuarios donde explica una campaña de adware sobre aplicaciones que estaban disponibles en Google Play.

¿Cómo puedo protegerme?

Para poder protegernos de este tipo de amenazas se recomienda tener en cuenta los siguientes puntos:

  • Mantener actualizado el navegador de web.
  • Evitar abrir anuncios con falsas advertencias o aquellos que contengan mensajes muy buenos para ser verdad.
  • Utilizar una extensión confiable que bloquee anuncios mientras se navega por Internet.
  • Evitar navegar por sitios web no confiables, en especial aquellos que el navegador los marque como no seguros.
  • Evitar descargar programas de fuentes no confiables
  • Durante la instalación de un programa, leer con detenimiento los términos y condiciones de uso antes de aceptarlos.
  • Contar con una solución de seguridad para bloquear este tipo de contenidos cuando se navega por Internet.

Fuente: www.welivesecurity.com

Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje

by morfil Noticias

Investigadores de ESET analizan las nuevas campañas del grupo Gelsemium y el complejo malware modular que ha utilizado en ataques contra gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia del Este y Oriente Medio.

A mediados de 2020 los investigadores de ESET comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo Gelsemium, y rastrearon la primera versión del malware que utiliza el grupo y que se remonta a 2014. Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Principales puntos en este reporte:

  • Los investigadores de ESET creen que Gelsemium está detrás del ataque de cadena de suministro contra BigNox que informamos anteriormente y que denominamos Operación NightScout
  • Los investigadores de ESET encontraron una nueva versión de Gelsemium, un malware complejo y modular al que nos referimos más adelante como Gelsemine, Gelsenicine y Gelsevirine
  • Se descubrieron nuevos blancos de ataque que incluyen gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia Oriental y Oriente Medio
  • Gelsemium es un grupo de ciberespionaje activo desde 2014

La distribución geográfica de los blancos de ataque de Gelsemium se puede ver en la Figura 1.

Componentes de Gelsemium

Toda la cadena de Gelsemium puede parecer simple a primera vista, pero las exhaustivas configuraciones, implantadas en cada etapa, modifican sobre la marcha la configuración para el payload final, lo que hace que sea más difícil de entender. Los comportamientos analizados a continuación están vinculados a la configuración. Por lo tanto, los nombres de archivo y las rutas pueden que sean diferentes en otras muestras. La mayoría de las campañas que observamos siguen lo que describimos aquí.

Gelsemine: el dropper

La primera etapa de Gelsemium está compuesta por un dropper escrito en C++ que utiliza la biblioteca Microsoft Foundation Class (MFC). Esta etapa contiene varios binarios de etapas adicionales. El tamaño del dropper oscila entre 400 kB y 700 kB, lo cual es inusual y podría ser incluso mayor si los ocho ejecutables embebidos no estuvieran comprimidos. Los desarrolladores usan la biblioteca zlib, vinculada estáticamente, para reducir en gran medida el tamaño total. Detrás de este ejecutable de gran tamaño se esconde un mecanismo complejo pero flexible que es capaz de droppear diferentes etapas según las características de la computadora víctima, ya sea que corra en 32 o 64 bits o de acuerdo con los privilegios (usuario estándar frente a administrador). Casi todas las etapas están comprimidas, ubicadas en la sección de recursos del PE, y mapeadas en el espacio de direcciones de memoria del mismo componente. La Figura 3 ilustra todas las etapas del componente Gelsemine.

Gelsenicine: el loader

Gelsenicine es un loader que recupera Gelsevirine y lo ejecuta. Hay dos versiones diferentes del loader: ambas son DLL; sin embargo, difieren en el contexto en el que se ejecuta Gelsemine.

Para víctimas con privilegios de administrador, Gelsemine droppea Gelsenicine en C:\Windows\System32\spool\prtprocs\x64\winprint.dll (DLL en modo usuario para el procesador de impresión) que luego se carga automáticamente por el servicio spoolsv de Windows. Para escribir un archivo en el directorio %WINDIR%/system32, los privilegios de administrador son obligatorios; de ahí el requisito mencionado anteriormente.

En el caso de los usuarios con privilegios estándar que son comprometidos por Gelsemine se droppea Gelsenicine en un directorio diferente que no requiere privilegios de administrador. La DLL chrome_elf.dll se droppea en CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine: el “plugin principal”

Gelsevirine es la última etapa de la cadena y sus desarrolladores la llaman MainPlugin (plugin principal), de acuerdo con el nombre de la DLL y también la ruta PDB que se encuentra en las muestras antiguas (Z:\z_code\Q1\Client\Win32\Release\MainPlugin.pdb). Vale la pena mencionar que si los defensores logran obtener esta última etapa solamente, no funcionará a la perfección, ya que requiere que sus argumentos hayan sido configurados por Gelsenicine.

La configuración utilizada por Gelsenicine contiene un campo llamado controller_version que creemos que es el control de versiones utilizado por los operadores para este MainPlugin. La Figura 4 proporciona una línea de tiempo de las diferentes versiones que hemos observado en actividad. Las fechas son aproximadas.

Links/herramientas adicionales

Durante nuestra investigación encontramos algunos programas maliciosos interesantes que se describen en las siguientes secciones.

  • Operación NightScout (BigNox): en enero de 2021, otro investigador de ESET analizó y escribió un artículo sobre Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque fueron luego comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la “variante 2” del presente artículo muestra similitudes con el malware Gelsemium.
  • OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
  • Chrommme: Chrommme es un backdoor que encontramos durante nuestras aventuras por el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que nos llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.

Conclusión

El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.

Se puede encontrar una lista completa y completa de Indicadores de Compromiso (IoC) y muestras en el whitepaper y en nuestro repositorio de GitHub.

Fuente: www.welivesecurity.com


Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in /home1/uiolibre/public_html/wp-content/plugins/simple-lightbox/includes/class.utilities.php on line 545