Tag malware

Malware: la principal preocupación de las empresas de América Latina

by morfil Noticias

El malware es el principal responsable de los incidentes de seguridad en las empresas latinoamericanas y representa la principal preocupación en ciberseguridad, revela el ESET Security Report 2021.

Luego de un año repleto de desafíos para la ciberseguridad nos preguntamos qué tan preparadas están las empresas de América Latina para hacer frente a los retos ya existentes, y sobre todo a los nuevos que presentó la pandemia. Para conocer más al respecto elaboramos el ESET Security Report 2021, un informe anual en el que analizamos el panorama de la seguridad de las empresas de América Latina a partir de encuestas realizadas a más de 1000 ejecutivos y representantes de empresas de 17 países de la región y que incluye también datos obtenidos de la telemetría de ESET para ayudarnos a comprender mejor el panorama actual. El informe destaca cuáles son las preocupaciones de las empresas, los principales incidentes de seguridad que sufrieron el último año, y cuáles son los principales mecanismos de gestión de la seguridad que implementan las organizaciones en los tiempos que corren.

Contexto

Como ya hemos mencionado en WeLiveSecurity, uno de los grandes retos para las empresas debido a la pandemia ha sido el teletrabajo. Las consecuencias de este cambio repentino no solo están vinculadas con la parte productiva, sino que tiene varios frentes. Uno de ellos es el de la ciberseguridad. Este giro hacia una mayor virtualidad se dio en un contexto en el que los cibercriminales también intentaron sacar provecho de esta situación impuesta por la pandemia para comprometer a las empresas y obtener su beneficio económico. Por ejemplo, utilizando el COVID-19 como señuelo para todo tipo de campañas maliciosas, ya sea para robar datos personales o para distribuir malware, así como también con el aumento de los ataques apuntando a las conexiones remotas.

Principales preocupaciones de las empresas

Este escenario de trabajo remoto, combinado con el crecimiento de los intentos de ataque, aumentó la preocupación de las empresas al ver los riesgos que esto puede suponer para la seguridad de su información. Esta realidad se vio reflejada en la opinión de los ejecutivos encuestados, ya que según revela el ESET Security Report 2021, el 64% de las organizaciones de la región ve en el malware la principal preocupación desde el punto de vistas de la seguridad.

Esta preocupación es coherente con la realidad, ya que el 34% de los incidentes que sufrieron el último año las empresas latinoamericanas fue debido a los códigos maliciosos, siendo la principal causa de incidentes de seguridad. De acuerdo con los datos de la telemetría de ESET, las empresas en Brasil fueron las más afectadas por malware con el 19% de todas las detecciones en Latinoamérica, seguidas por las de México (17,5%), Argentina (13,3%), Colombia (10,6%) y Perú (8,9%). Asimismo, los ataques de ingeniería social son responsables del 20% de los incidentes de seguridad de las empresas latinoamericanas.

Por otra parte, el último año se registró un aumento de 704% en el número de los ataques de fuerza bruta a los servicios de acceso remoto como el RDP, mientras que el número de usuarios únicos afectados por estos intentos de comprometer los accesos remotos registraron un incremento de 196%. Probablemente, el crecimiento del ransomware en 2020 sea uno de los principales responsables de este importante aumento.

A diferencia de lo que ocurrió en las últimas ediciones del ESET Security Report, en esta oportunidad la infección con malware, que generalmente ocupaba la tercera posición en el top tres de las principales preocupaciones, pasó a ser la mayor preocupación para las organizaciones, relegando al segundo y tercer lugar en el orden de preocupaciones al robo de información (60%) y el acceso indebido a los sistemas (56%).

El ransomware y el robo de información

En 2020 quedó demostrada la evolución el ransomware. Este código malicioso no solo registró una importante actividad, sino que los grupos de ransomware además evolucionaron hacia una mayor sofisticación y uso de nuevas técnicas. Estos cambios en el ransomware están directamente relacionados con las preocupaciones, no solo por el hecho de que el ransomware es un tipo de malware, sino porque en 2020 muchos grupos comenzaron a adoptar el robo de información a su estrategia —además del uso de otras técnicas extorsivas— con el objetivo de presionar a las víctimas con divulgar información sensible si no se paga el rescate.

Si analizamos este cambio y tenemos en cuenta que el 60% de las organizaciones de América Latina tiene como su principal preocupación el robo de información; que el ransomware viene creciendo en actividad con ataques dirigidos a grandes y pequeñas empresas; que las bandas de ransomware han estado aprovechando el teletrabajo para acceder a redes corporativas a través de conexiones remotas; que están demandando sumas de dinero cada vez más elevadas por el rescate de la información, y que la escena del ransomware está repleta de grupos que han ido ganando reputación, resulta evidente que el ransomware es una amenaza para preocuparse y que requiere atención. Sobre todo teniendo en cuenta que, como veremos más adelante en este artículo, el porcentaje de empresas que utiliza soluciones para el respaldo de la información es relativamente bajo.

Por otra parte, si bien otras amenazas que atentan contra la confidencialidad de la información como son los backdoors y el spyware presentaron una caída en 2020 con respecto al año anterior, esto no quiere decir que no tenga una importante actividad en Latinoamérica. De hecho, Perú es el único país del mundo que integra el top 3 en cantidad de detecciones de spyware y también de backdoors.

Otras amenazas

El malware bancario registró una caída en la cantidad de detecciones el último año, tal vez por el mayor atractivo que pueden resultar otro tipo de amenaza para los operadores, pero hemos visto y analizado varias familia de malware bancario que comúnmente apuntan a países América Latina que en el último año también ampliaron su espectro geográfico, apuntando a países de Europa (principalmente España) y también a Estados Unidos. Las campañas que distribuyen troyanos bancarios generalmente son muy focalizadas a ciertos países y el último año tuvieron en Brasil, México, Chile y Argentina los países más apuntados mediante el envío principalmente de correos de phishing.

Por su parte, el malware para minería de criptomonedas, que desde 2018 presentaba una caída constante, dio un giro en el último cuarto de 2020 y comenzó a crecer, registrando en Perú (10,1%) y Ecuador (5,1%) la mayor cantidad de detecciones de mineros de criptomonedas entre los países de América Latina. Este cambió en el malware de minería de criptomonedas probablemente se debió al aumento en el valor del Bitcoin y de otras divisas digitales como Ethereum o Monero. Además, el crecimiento en la tasa de ataques de ransomware hizo que muchas víctimas se sientan obligadas a adquirir las criptomonedas. Por estas razones, no es de extrañar la proliferación de las amenazas informáticas en torno a minería de criptomonedas.

Medidas que están tomando las empresas de la región

Los principales controles de seguridad implementados en las empresas son las soluciones antimalware (86%), firewalls (75%) y soluciones de respaldo de información (68%). Sin embargo, otras medidas importantes registran baja implementación, como es el uso de soluciones de doble factor de autenticación (22%).

En cuanto al uso de soluciones para el respaldo de la información, la cifra es muy baja, sobre todo si consideramos la actividad de una amenaza como el ransomware y tenemos presente que es la manera más efectiva para recuperarse de un incidente causado por este tipo de código malicioso evitando tener que pagar a los atacantes.

Otro dato preocupante es la baja implementación de soluciones de seguridad en dispositivos móviles, con apenas el 15% de las organizaciones, sobre todo si pensamos que en estos tiempos de teletrabajo los dispositivos móviles son utilizados para actividades laborales además de personales y pueden ser la puerta de entrada a la información sensible de la empresa.

En cuanto a las prácticas de gestión, la de mayor adopción con el 71% corresponde a la actualización de aplicaciones, seguida por la implementación de políticas de seguridad (68%), y por las auditorías (40%), tanto internas como externas. Sin embargo, y volviendo al tema del ransomware y la actividad que presenta en el último tiempo, es muy bajo el porcentaje (39%) de empresas que cuentan con un plan de respuesta ante incidentes y un plan de continuidad del negocio.

En lo que respecta al presupuesto disponible para el área de ciberseguridad, para el 81% de las empresas el presupuesto asignado para el área de ciberseguridad es insuficiente. Si bien el 24% afirmó que el último año aumentó el presupuesto en seguridad, el 22,5% aseguró que se redujo.

Por último, en el caso de actividades de capacitación y concientización al interior de las empresas (un elemento clave sobre todo en estos tiempos de trabajo remoto) el 37% de los encuestados afirmó realizar actividades de este tipo de forma periódica, mientras que 41% lo realiza de manera ocasional y un 19% no realiza este tipo de acciones.

Conclusión

La virtualidad forzada por la pandemia alteró la dinámica de muchos sectores productivos. Algunas industrias y empresas estaban preparadas, pero otras tantas se vieron obligadas a incursionar en el comercio electrónico y el teletrabajo sin haberlo experimentado previamente. Todo esto acompañado por una actividad maliciosa que creció y que buscó sacar provecho de esta transición por la que pasaron muchas organizaciones. El escenario es complejo y varía según industria y el tamaño de las empresas, pero requiere tomar medidas frente a una industria del cibercrimen que continua evolucionando y buscando la manera de sacar provecho de las oportunidades que se presentan para obtener ganancias financieras.

Fuente: www.welivesecurity.com

WhatsApp rosa: cuidado con esta falsa actualización que descarga un troyano

by morfil Noticias

El malware envía respuestas automáticas a mensajes en WhatsApp y otras aplicaciones de chat importantes, como Signal o Telegram.

Los usuarios de Android deben tener cuidado con un mensaje que está circulando a través de WhatsApp y otras importantes plataformas de mensajería y que promete la posibilidad de cambiar el color de WhatsApp a rosa. Disfrazado como una actualización oficial para la plataforma, el archivo que se invita a descargar para acceder a “WhatsApp Pink” es en realidad una variante del mismo malware con características de gusano que se distribuía automáticamente a través de mensajes de WhatsApp y que el investigador de ESET, Lukas Stefanko, analizó en enero de este año.

“Esta versión actualizada del troyano no envía respuestas automáticas solo a los mensajes que llegan de WhatsApp, sino también a los mensajes recibidos en otras aplicaciones de mensajería instantánea, lo que podría ser la razón de su aparente propagación más amplia”, dijo Stefanko.

“El troyano envía estas respuestas automáticas a cualquier mensaje que recibe el usuario en aplicaciones como WhatsApp, WhatsApp Business, Signal, Skype, Viber, Telegram”, añadió.

Si bien la nueva versión de este malware (detectada por los productos de ESET como Android/Spams.V) no hace más que eso, Stefanko advirtió que esta podría ser solo una “versión de prueba” y en el futuro puede aparecer una versión más peligrosa. Asimismo, el sitio web del que se descarga podría utilizarse en el futuro para alojar varios tipos de payloads (cargas maliciosas).

Este nuevo troyano para Android fue reportado por primera vez por el usuario de Twitter @Rajaharia. Al parecer se detectó por primera vez en India, donde se compartió en varios grupos de chat masivos de populares servicios de mensajería instantánea.

Según Stefanko, el engaño no solicita a los usuarios que descarguen e instalen la app maliciosa desde un lugar que diferente a la tienda oficial Google Play (y que deshabiliten la clave y la medida de seguridad habilitada de forma predeterminada en dispositivos Android); sin embargo, el malware sí solicita permiso para acceder a las notificaciones del usuario.

Una vez que se completa el proceso de instalación y el usuario hace clic en “WhatsApp Pink”, la aplicación se oculta y se muestra un mensaje indicando que nunca se llegó a instalar. Entonces cuando la víctima reciba un mensaje responderá el mismo sin saberlo y provocará que se propague más.

Si descargó “WhatsApp Pink” puede eliminarla a través de Configuración/Ajustes y el submenú Administrador de aplicaciones o instalando una solución de seguridad para Android que escaneará su dispositivo y eliminará automáticamente el malware.

A modo de prevención, hay varios recaudos que puede tomar y que reducirán las posibilidades de que se convierta en víctima de esquemas similares en el futuro:

  • Nunca haga clic en enlaces o archivos adjuntos que recibió a través de un mensaje no solicitado o de alguien que no conoce.
  • Descargue solo aplicaciones de tiendas de aplicaciones oficiales, ya que cuentan con rigurosos procesos de aprobación.
  • Utilice siempre una solución de seguridad móvil de confianza
  • Tenga cuidado con los permisos que otorga a las aplicaciones

Fuente: www.welivesecurity.com

Ecuador, una de las naciones más atacadas por los ‘hackers’

by morfil Noticias

El país ocupa el primer lugar con mayor incidencia del ‘malware’ a nivel andino. El secuestro de equipos es uno de los problemas frecuentes. Foto: Pixabay.

Mientras el covid-19 se propaga por el mundo, los piratas informáticos aprovechan esta situación para expandir virus que afectan tanto a las empresas como a los usuarios del hogar. Entre los países más atacados por gusanos informáticos están Rusia, Alemania, China, Estados Unidos y Brasil. Ecuador no se libra de estos programas maliciosos. Según la empresa de seguridad Kaspersky, nuestro país se ha mantenido en la posición 49 dentro de las estadísticas de países con mayores incidencias de software malicioso o malware. A nivel andino, de acuerdo con el especialista en ciberseguridad Galoget Latorre, Ecuador ocupa el primer lugar en ataques tipo ‘ransomware’, seguido por Bolivia y Venezuela. Este código malicioso permite el secuestro de datos que solo son liberados cuando se paga un rescate. Los incidentes de seguridad en las empresas se dispararon entre el 2018 y el 2019; pero los ataques dejaron de ser masivos y se volvieron más específicos. Fue precisamente el ‘ransomware’ el que proliferó. En Latinoamérica, en el 2018, Ecuador y Venezuela sufrieron la mayor cantidad de ataques a sus empresas (22%), les siguieron Chile, Costa Rica y Panamá con 21%. En el 2019, en América Latina se mantuvieron los ataques a empresas, sobre todo en países como México y Perú. Ecuador ocupó el cuarto lugar en la región en cuanto a compañías con este problema. La modalidad del teletrabajo, por la pandemia, trajo consigo un mayor número de ataques. En Ecuador, el informe ‘ESET Security Report 2020 de Latinoamérica’ indica que el 70% de las empresas que trabajan con esta marca de antivirus en el país reportó incidentes de seguridad. Este valor, de hecho, fue el más alto en la región, solo igualado por Paraguay, que también registró ese porcentaje. En las primeras semanas de este año se observa una proliferación del ‘malware’. Una amenaza informática que prevalece es la denominada JS/Adware.Atocari, con una incidencia del 20,16% entre los virus detectados en el país.

Infecciones de ‘malware’ en empresas de tres países latinoamericanos

Porcentaje de compañías que han reportado ataques de códigos maliciosos

Los bulos proliferan​Varias campañas de ataque aprovechaban temáticas del coronavirus para difundirse y motivar a que las víctimas abran los archivos adjuntos. La firma de seguridad Check­Point sostiene que, desde principios de enero del 2020, se han registrado más de 16 000 nuevos dominios relacionados con el coronavirus y cerca de un 20% de los mismos fue clasificado como potencialmente peligroso. Latorre señala que para este año se espera un incremento de nuevas variantes de amenazas informáticas, mayor complejidad y formas de infección. Por esta razón, es necesario tomar medidas para reducir el impacto del ‘malware’, lo cual se logra a través de la educación del usuario. La primera barrera de protección son las contraseñas. Estas deben ser complejas, únicas para cada servicio y deben ser cambiadas con frecuencia. Asimismo, es importante no abrir enlaces de origen desconocido, no descargar programas de fuentes no oficiales y no utilizar software pirateado, ya que estos tienen códigos maliciosos ocultos.

Fuente: www.elcomercio.com

Malware se distribuye vía mensajes de WhatsApp y presenta características de gusano

by morfil Noticias
Los usuarios de Android deben tener cuidado con un malware que se distribuye a través de WhatsApp y engaña a los usuarios para que descarguen una falsa app de Huawei de un sitio que simula ser Google Play.

Un nuevo malware que se propaga a través de WhatsApp y busca engañar a posibles víctimas invitandolas a descargar una aplicación de un sitio web que simula ser Google Play. El investigador de malware de ESET, Lukas Stefanko, analizó la amenaza dirigida a usuarios de Android.

“Este malware se propaga a través del WhatsApp de la víctima, respondiendo automáticamente ante cualquier notificación de mensaje de WhatsApp con un enlace a una falsa aplicación móvil y maliciosa de Huawei”, dijo Stefanko. Los responsables de este malware, que fue reportado por primera vez por el usuario de Twitter @ReBensk, parecen tener como objetivo generar ingresos de forma fraudulenta a través anuncios publicitarios.

Para instalar la aplicación maliciosa, se solicita a los usuarios que permitan la instalación de aplicaciones desde sitios que no sean la tienda oficial Google Play, eliminando así una barrera de seguridad que en dispositivos Android viene habilitada por defecto.

Una vez que se completa el proceso de instalación, la aplicación solicita una serie de permisos, incluido el acceso a notificaciones, que en combinación con la función de respuesta directa de Android se utiliza para obtener la capacidad de propagarse.

“Combinando estas dos características, el malware puede responder eficazmente con un mensaje personalizado a cualquier mensaje de WhatsApp que llega al dispositivo”, dijo Stefanko. Luego, el malware se ejecuta en segundo plano hasta que obtiene una respuesta del servidor mientras espera un mensaje de notificación de WhatsApp que luego utiliza para distribuir el enlace malicioso a los contactos de la víctima.

La aplicación maliciosa también solicita otros permisos, incluso para “dibujar sobre otras aplicaciones”, lo que le permite superponerse sobre cualquier otra aplicación que se esté corriendo en el dispositivo, e ignorar la optimización de la batería, logrando así ejecutarse en segundo plano y evitar que el sistema finalice el proceso, incluso si empieza a consumir la batería y los recursos del dispositivo.

“El malware con características de gusano se propaga a través de mensajes a los contactos de WhatsApp solo cuando pasó más de una hora desde el envío del último mensaje que recibió la víctima”, explicó Stefanko, agregando que cree que esto se hace para no levantar sospechas entre los contactos de la víctima, ya que recibir un enlace como respuesta a cada mensaje podría hacer sonar las alarmas.

Actualmente, la aplicación parece usarse principalmente en una campaña de adware o de estafa de suscripción, aunque podría usarse para hacer un daño mayor. “Este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware”, dijo Stefanko.

Para protegerse, los mejores consejos son: evitar hacer clic en enlaces sospechosos, descargar aplicaciones solo de Google Play y utilizar una solución de seguridad confiable.

Fuente: www.welivesecurity.com

Campaña distribuye minero de criptomonedas a través de películas pirata

by morfil Noticias

Alertan sobre una campaña activa de distribución de criptomineros a través de archivos ZIP que se presentan como películas para descargar y que afecta principalmente a España, México y Chile.

En estos momentos donde varios países han decretado el confinamiento social para combatir el avance de la pandemia del nuevo coronavirus, los cibercriminales están aprovechando el interés por la descarga de películas pirata y están usando archivos torrent y servicios de streaming pirata para distribuir malware, alertó este martes Microsoft a través de la cuenta de Twitter del equipo de seguridad de la compañía. Por otra parte, la compañía detectó una campaña que afecta principalmente a España y otros países de Sudamérica en la que los cibercriminales agregan un script malicioso en VBS para minar criptomonedas en archivos de texto incluidos dentro de archivos ZIP que aparentan ser de películas.

En el caso concreto detectado, el código malicioso se está oculto en archivos ZIP que se presentan como películas populares y utilizan nombres de archivo como “John Wick: Chapter 3 – Parabellum”, “contagio-1080p”, “Punales_por_la_espalda_BluRay_1080p”, “La_hija_de_un_ladron” y “Lo-dejo-cuando-quiera”.

 

Una vez que la víctima descarga el archivo y ejecuta el script malicioso en su equipo, a través de la ejecución de una línea de comando que utiliza BITSAdmin, se descargan en segundo plano otros payloads maliciosos, como un script en AutoIT que decodifica una DLL de segunda etapa que, una vez cargada en la memoria del equipo, inyecta un código de criptominería en el proceso Notepad.exe mediante el proceso conocido como Hollowing.

Los atacantes no están utilizando los sitios más populares para la descarga de torrents, como es, por ejemplo, The Pirate Bay, y la mayor cantidad de infecciones tuvo lugar en España, México y Chile, explicó a Cyberscoop Tanmay Ganacharya de Microsoft.

Actividades que más realizan los usuarios de Internet durante el período de confinamiento

Cómo explicó recientemente el investigador de ESET, Daniel Cunha Barbosa, los usuarios deben ser cuidadosos en estos momentos en los que crece la demanda por videojuegos online y el consumo de películas y series, ya que tanto la descarga de archivos como mirar películas y series en sitios no oficiales puede tener consecuencias para el dispositivo con el cual se accede a estos sitios o se realizan las descargas, por lo que se recomienda utilizar sitios confiables, ya que el contenido gratuito suele estar asociado a amenazas de distinto tipo.

Fuente: www.welivesecurity.com

Malware en Linux: una preocupación que crece

by morfil Noticias

Durante mucho tiempo se creyó que era prácticamente imposible que un virus u otro tipo malware impactaran a Linux. De hecho, se consideraba que los sistemas operativos basados en Linux eran la perfecta combinación entre las bondades del código abierto y una seguridad sólida. Sin embargo, los sistemas operativos basados ​​en Linux ahora se ven cada vez más como un blanco de ataque valioso y viable.

Este cambio de pensamiento es en parte consecuencia de una creciente comprensión por parte de los aficionados a Linux y también de los administradores de sistemas, de que un sistema Linux comprometido, como un servidor web, proporciona a los atacantes un excelente “retorno de la inversión”. Igual de importante, las investigaciones de malware realizadas en los últimos años le han dado una mayor visibilidad a las amenazas que enfrentan los sistemas Linux.

Todavía hay muchas razones que justifican la creencia popular que asocia a Linux con una mayor seguridad, aunque no perfecta. Sin embargo, es importante destacar que esta creencia no distingue entre las distintas distribuciones y casos de uso de sistemas basados ​​en Linux, al tiempo que no tiene en cuenta la existencia de varias amenazas.

Las distribuciones de Linux para escritorio siguen siendo ampliamente superadas en número por los sistemas Windows (y también por las máquinas con macOS). Este estado de nicho sin dudas juega un papel en la relativa escasez de malware basado en Linux. Pero cambie su mirada sobre los servidores públicos y se volverá evidente que hay mucha más actividad maliciosa cocinándose a fuego lento bajo la tapa de Linux. Lo mismo podría decirse de todo tipo de dispositivos integrados, equipos de red y teléfonos inteligentes Android que, de alguna forma, también se basan en Linux.

Centrémonos aquí en los servidores, sobre todo porque llevan la peor parte de los ataques de malware contra sistemas basados en Linux. Las distribuciones Linux para servidores están en el corazón de la mayoría de los data centers y el sistema operativo es grande para empresas que tienen múltiples formas y tamaños. De hecho, gran parte de la web actual, incluidos los servidores operados por Google, Facebook y Twitter, funciona con Linux.

Por lo tanto, no debería sorprendernos que en la historia reciente se hayan visto ejemplos de daños causados ​​por malware que comprometieron la instalación de un servidor Linux. Un servidor vulnerable es un blanco invaluable para varios tipos de acciones nefastas, incluido el robo de datos personales y credenciales de acceso, redirección de tráfico web, ataques DDoS y minería de criptomonedas. Es importante destacar que también se puede abusar del servidor para alojar servidores de comando y control (C&C) para otro código malicioso y para lanzar campañas de spam que desplieguen malware; especialmente malware dirigido a sistemas Windows.

Antecedentes

Ni siquiera es necesario irse muy lejos para encontrar ejemplos ilustrativos de huecos en la armadura de malware de Linux. Hace poco más de un año, investigadores de ESET expusieron una gran cantidad de backdoors OpenSSH, un arma elegida por los atacantes que buscan arrebatar a los administradores el control de los servidores. Los investigadores descubrieron 21 familias de malware basadas en Linux, incluida una docena que no se había documentado antes. Casi todas las cepas tenían funcionalidades de robo de credenciales y de backdoor.

Esta investigación fue el resultado de tres años de trabajo que finalmente ofreció información única sobre el ecosistema de malware de Linux. Sin duda, no fue un esfuerzo aislado, ni ocurrió de la nada. Los investigadores emprendieron la búsqueda con los conocimientos proporcionados por su galardonada investigación sobre la Operación Windigo, que había acorralado alrededor de 25,000 servidores, la mayoría de ellos con Linux, en una de las botnets de servidores más grandes que se haya conocido. Las máquinas comprometidas fueron utilizadas para el robo de credenciales, campañas de spam, redirección de tráfico web a contenido malicioso y otras acciones nefastas.

En el corazón de la campaña se había ejecutado, sin ser detectado durante al menos tres años, el backdoor de Linux/Ebury. Incluso antes de que esta pieza de malware se instalara en un servidor, los atacantes harían que Ebury verificara si el servidor ya estaba cargado con otro backdoor SSH. Fue esta rutina la que provocó la búsqueda de familias de malware OpenSSH activas in-the-wild.

A lo largo de los años, los investigadores de ESET han realizado otros descubrimientos que se agregaron al conjunto de conocimientos sobre el malware para servidores Linux. Entre otras cosas, se descubrió que Windigo estaba vinculado a uno de sus descubrimientos anteriores: Linux/Cdorked, uno de los backdoors más sofisticados dirigidos en ese momento a servidores web Linux Apache. Además, Windigo trajo recuerdos de la investigación de ESET sobre Mumblehard, otra botnet que zombificó a miles de servidores Linux y que finalmente fue eliminada en un esfuerzo internacional de aplicación de la ley con el apoyo de investigadores de ESET.

¿Cómo capturar el malware?

Los investigadores de ESET están ansiosos por compartir sus hallazgos con los profesionales de Linux, que pueden estar inadecuadamente entrenados para combatir el malware dirigido a servidores. La próxima Conferencia RSA 2020 contará con un taller realizado por el experimentado investigador de malware de ESET Marc-Etienne M.Léveillé, quien ha sido una figura central en la mayoría de las investigaciones descritas anteriormente. El taller de Marc-Etienne, Hunting Linux Malware for Fun and Flags, brindará a los administradores de sistemas y a otros profesionales de TI una excelente oportunidad para enfrentar la amenaza que supone el malware para Linux y aplicar las conclusiones en sus propios entornos de servidor.

Compartimos una entrevista que publicaremos con Marc-Etienne en la que nos brinda más detalles sobre el ecosistema de malware para Linux en la actualidad.

Fuente: www.welivesecurity.com

Lo más destacado en seguridad informática que dejó el 2019

by morfil Noticias

Compartimos un resumen anual con una selección de las noticias e investigaciones más importantes publicadas en WeLiveSecurity a lo largo del 2019.

Compartimos una recopilación con algunos de los hechos más relevantes que tuvieron lugar este 2019 en el mundo de la seguridad informática, que incluye el hallazgo de vulnerabilidades críticas, como es el caso de Bluekeep, nuevas investigaciones sobre la actividad de grupos de APT, como The Dukes, además del malware Machete, la masiva publicación de datos provenientes de filtraciones, llamada Collection #1, entre otras noticias e investigaciones relevantes que publicamos durante este año. A continuación, te invitamos a ver el siguiente video y más abajo un resumen de cada una de las noticias con los enlaces a los artículos completos.

Microsoft y la suspensión del soporte para Windows 7

Como contamos en el video, 2019 fue un año que comenzó con el anuncio por parte de Microsoft de que el 14 de enero del 2020 dejará de lanzar actualizaciones de seguridad y de dar soporte gratuito para el sistema operativo Windows 7.

Vulnerabilidad en WinRAR

En el segundo mes del año se conoció la noticia sobre el hallazgo de una vulnerabilidad crítica en todas las versiones de un popular software como WinRAR. Si bien la compañía detrás de este programa para comprimir archivos lanzó una actualización que solucionaba el fallo, al poco tiempo de conocerse el fallo comenzaron a detectarse campañas que intentaban aprovecharse de este error en equipos que no hubieran actualizado para distribuir desde un backdoor hasta un ransomware. Incluso en foros comenzaron a ofrecerse herramientas para crear archivos RAR maliciosos. Entre las campañas que se aprovecharon de este fallo, investigadores de ESET descubrieron una campaña dirigida a departamentos financieros en los Balcanes (que distribuía un backdoor y un RAT) que explotaba este fallo en WinRAR para comprometer los equipos de sus víctimas.

Vulnerabilidad Bluekeep

Siguiendo con el tema de las vulnerabilidades, una de las que más dio que hablar este año y que probablemente continúe ocupando espacio en los titulares de los medios en 2020 es Bluekeep; la vulnerabilidad (CVE-2019-0708) que afecta a varias versiones de Windows y que permite realizar ataques vía RDP.  En mayo Mirosoft lanzó un comunicado alertando a los usuarios acerca de la importancia de instalar el parche que reparaba este fallo, ya que, en caso de ser explotada, la vulnerabilidad podría tener consecuencias similares a Wannacry. Con el correr de los días, la gravedad del fallo despertó preocupación y curiosidad por parte de la comunidad de investigadores y comenzaron a surgir las primeras pruebas de concepto (POC) que demostraban que el fallo era explotable. Además de la publicación de nuevos comunicados por parte de Microsoft, se sumaron mensajes alertando acerca de BlueKeep por parte de organismos como la NSA, quién también lanzó un comunicado reforzando el mensaje que instaba a instalar el parche de seguridad. Finalmente, en el mes de noviembre, comenzaron a registrarse ataques de Bluekeep, que si bien solo lograron distribuir mineros de criptomonedas y no consiguieron llevar adelante ataques más peligrosos, es muy factible que en el corto plazo se aprovechen de esta vulnerabilidad para intentar distribuir amenazas más peligrosas.

Collection #1: la recopilación de brechas más grande

Este año se conocieron varios casos de filtraciones de datos privados de los usuarios, pero nada fue como Collection#1, que fue el nombre que recibió la recopilación compuestas por siete carpetas con direcciones de correo electrónico y contraseñas filtradas en antiguas brechas. Se estima que en total los datos estaban compuestos por más de 2.200 millones de direcciones y contraseñas. Al momento del hallazgo esta información se estaban comercializando en el mercado negro por $45.

Gandrab dejo de operar

Otra de las noticias relevantes de este año fue el anuncio de que los operadores detrás del ransomware Gandcrab dejarían de operar y la posterior publicación de las claves maestras de descifrado por parte del FBI. Vale la pena recordar que esta familia de ransomware hizo su aparición a principios de 2018 y que en poco tiempo se posicionó como una de las familias más detectadas en América Latina.

Ransomware dirigido: una tendencia que se confirmó

Continuando con el tema del ransomware, algo que se consolidó este año fue la tendencia de los ataques de ransomware dirigidos, algo que los especialistas de ESET predijeron en Tendencias 2019. Entre los varios ataques de ransomware dirigidos que se vieron este año, se destaca el que afectó a 23 agencias gubernamentales en Texas, los que impactaron tanto a Cadena SER, la consultora Everis y Prosegur en España, y el ataque dirigido a la petrolera estatal mexicana Pemex.

Más problemas para Facebook

La red social estuvo envuelta en varios temas relacionados a la seguridad en 2019. Uno de los hechos más importante fue el que estuvo relacionado con el bloqueo de su VPN, “Facebook research”, por violar las políticas de Apple al hacer uso de certificados emitidos por la compañía de la manzana para realizar acciones que van en contra de la política de la compañía. Facebook research había sido utilizada por la compañía de Zuckerberg para recolectar datos de los teléfonos que la utilizaran. Poco después del incidente con Apple, Facebook eliminó la app de Google Play.

Grupo de APT The Dukes continúa activo

Uno de los hallazgos más relevantes de este año fue el descubrimiento de que el grupo de APT “The Dukes”, acusado de haberse infiltrado en el Comité Nacional Demócrata de EUA, continúa activo pese a haberse mantenido durante largo tiempo lejos de los radares de detección. Investigadores de ESET confirmaron que, lejos de haber detenido sus actividades, el grupo de cibercriminales ha estado activo comprometiendo blancos gubernamentales.

Ciberespionaje en América Latina

Otra de las investigaciones más importantes de este año tuvo que ver con el descubrimiento de la reciente actividad de una nueva versión del malware Machete, ya que se develó que los operadores detrás de esta amenaza continúan en actividad realizando tareas de espionaje contra organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela. Según los hallazgos de los investigadores de ESET, los ataques de Machete permitieron robar grandes cantidades de información y datos confidenciales.

Varenyky: sextorsión y la posibilidad de grabar la pantalla de sus víctimas

Por último, otra investigación que dio que hablar fue el hallazgo de una nueva amenaza, apodada Varenyky, que apuntó principalmente a usuarios de Francia. Luego de que en 2018 comenzaran a circular por todo el mundo campañas de sextorsión que comenzaban por un correo que incluía una posible contraseñas de la potencial víctima en asunto, o que hicieran uso de técnicas maliciosas para enviar un correo haciendo creer a la víctima que había sido enviada desde su propia cuenta, el hallazgo de Varenyky fue el de una campaña de sextorsión que además de extorsionar a sus víctimas, distribuía un malware con capacidad para grabar la pantalla de sus víctimas (no su webcam).

Fuente: www.welivesecurity.com

 

Machete sigue activo realizando ciberespionaje en Latinoamérica

by morfil Noticias

Investigación de ESET devela que los operadores detrás del malware Machete siguen activos y realizando operaciones de ciberespionaje dirigidas a organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela.

América Latina es a menudo pasada por alto cuando se trata de amenazas persistentes y grupos cuyos blancos son seleccionados a partir de motivaciones políticas. Sin embargo, existe una operación de ciberespionaje en curso contra organizaciones de alto perfil que ha logrado mantenerse bajo el radar. El grupo detrás de estos ataques robó gigabytes de documentos confidenciales, principalmente de organismos gubernamentales. Al momento de esta publicación el grupo sigue estando muy activo, introduciendo regularmente cambios en su malware, en su infraestructura y en sus campañas de spearphishing.

ESET ha estado monitoreando una nueva versión de Machete (el conjunto de herramientas del grupo basadas en Python) vista por primera vez en abril de 2018. Si bien la funcionalidad principal del backdoor sigue siendo la misma que en versiones anteriores, se ha ampliado con nuevas características a lo largo del transcurso de un año.

Blancos de ataque

Desde finales de marzo hasta finales de mayo de 2019, los investigadores de ESET observaron que había más de 50 computadoras comprometidas que se comunicaban de manera activa con el servidor de C&C. Esto equivale a gigabytes de datos robados de manera semanal. Más de la mitad de estos equipos pertenecían a organismos gubernamentales. La mayoría de las organizaciones apuntadas por el malware Machete son de países de América Latina, como es el caso de Venezuela (75%), Ecuador (16%), Colombia (7%) y Nicaragua (2%). La distribución de este malware en estos países se puede observar en la Figura 1.

Los operadores detrás de Machete

Los operadores de Machete utilizan técnicas efectivas de spearphishing. Su larga serie de ataques, centrados en países de América Latina, les ha permitido recopilar inteligencia y perfeccionar sus tácticas a lo largo de los años. Conocen bien a sus objetivos, cómo esconderse entre las comunicaciones periódicas y qué documentos son los más valiosos para robar. Machete no solo extrae documentos de ofimática, sino también tipos de archivos especializados que son utilizados por software de sistemas de información geográfica (SIG).

El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, y estos cambian de un blanco a otro. Estos correos electrónicos contienen un enlace o un adjunto con un archivo comprimido autoextraíble que ejecuta el malware a la vez que abre un documento que funciona como señuelo.

Para engañar a sus blancos desprevenidos, los operadores de Machete utilizan documentos reales que han robado anteriormente. ESET ha visto casos en los que documentos robados fechados con un día en particular fueron empaquetados con malware y se utilizaron el mismo día como señuelos para comprometer a nuevas víctimas.

El tipo de documentos utilizados como señuelo suelen ser enviados y recibidos legítimamente varias veces al día en las organizaciones seleccionadas como blancos. En este sentido, los atacantes aprovechan para elaborar correos electrónicos de phishing muy convincentes.

Principales características

El grupo Machete es muy activo y ha introducido varios cambios en su malware desde el lanzamiento de una nueva versión en abril de 2018. Versiones anteriores fueron descritas por Kaspersky en 2014 y por Cylance en 2017. En la Figura 3 mostramos los componentes para la nueva versión del malware Machete.

Figura 2. Componentes de Machete

La primera parte del ataque consiste en un downloader que se presenta como un archivo autoextraíble, creado con 7z SFX Builder. Una vez que el archivo es desempaquetado por el código de autoextracción, el extractor abre un archivo PDF o documento de Microsoft Office que funciona como señuelo y luego corre el downloader ejecutable del archivo. Ese ejecutable es otro archivo autoextraíble que contiene el binario del downloader (un componente py2exe) y un archivo de configuración con la URL de descarga, que se encuentra cifrada.

Todas las URL de descarga que hemos visto apuntan a Dropbox o a Google Docs. Todos los archivos descargados han sido autoextraíbles (RAR SFX) que contienen un archivo de configuración (cifrada) y los componentes del backdoor (ejecutables py2exe). Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de utilizar downloaders y comenzaron a incluir el archivo señuelo y los componentes del backdoor en el mismo archivo.

Los binarios py2exe se pueden descompilar para obtener el código en Python. Además, todos los componentes (downloaders y backdoors) han sido ofuscados con pyobfuscate; algo que también se ha utilizado en versiones anteriores del malware. En la Figura 3 se puede apreciar parte de uno de estos scripts ofuscados.

Figura 3. Script ofuscado con pyobfuscate

Desde Agosto de 2018, se añadió una capa adicional de ofuscación a los componentes de Machete. Los scripts ahora contienen un bloque de texto comprimido con zlib, previa codificación en base64, que luego de ser decodificado, resulta en un script como el de la Figura 3. La primera capa de ofuscación es creada utilizando pyminifier con el parámetro -gzip.

Componentes del backdoor

El dropper de Machete es un ejecutable RAR SFX. Tres componentes py2exe son droppeados: GoogleCrash.exe, Chrome.exe y GoogleUpdate.exe. Un único archivo de configuración es droppeado (jer.dll), el cual contiene texto codificado en base64 que corresponde a strings cifradas con AES. Un esquema que resume los componentes se puede observar en la Figura 4.

Figura 4. Componentes de backdoor py2exe de Machete

GoogleCrash.exe es el componente principal del malware. Programa la ejecución de los otros dos componentes y crea tareas en el Programador de Tareas de Windows para lograr persistencia.

El componente Chrome.exe es responsable de recopilar datos de la computadora comprometida y tiene la capacidad de:

  • Realizar capturas de pantalla
  • Registrar las pulsaciones del teclado
  • Acceder al portapapeles
  • Cifrar en AES y exfiltrar documentos
  • Detectar nuevas unidades insertadas y copiar archivos
  • Ejecutar otros binarios descargados del servidor C&C
  • Obtener archivos específicos del sistema
  • Obtener datos de perfil de usuario de varios navegadores
  • Recopilar la geolocalización de las víctimas e información sobre redes Wi-Fi cercanas
  • Realizar exfiltración física en unidades extraíbles

Los operadores de Machete están interesados ​​en obtener de los equipos comprometidos determinados tipos de archivos. En este sentido, además de documentos de Microsoft Office, se buscan en las diferentes unidades los siguientes tipos de archivos:

  • Archivos de backup
  • Archivos de base de datos
  • Claves criptográficas (PGP)
  • Documentos de OpenOffice
  • Imágenes vectoriales
  • Archivos para sistemas de información geográfica

Con respecto a la geolocalización de las víctimas, Chrome.exe recopila datos sobre redes Wi-Fi cercanas y las envía a la API del Servicio de ubicación de Mozilla. En resumen, esta aplicación proporciona coordenadas de geolocalización cuando le son proporcionadas otras fuentes de datos, tales como beacons Bluetooth, antenas de telefonía celular o puntos de acceso Wi-Fi. Luego, el malware toma coordenadas de latitud y longitud para construir una URL de Google Maps. Parte del código se puede observar en la Figura 5.

Figura 5: Código para geolocalización

La ventaja de utilizar el Servicio de ubicación de Mozilla es que permite la geolocalización sin un GPS real y puede ser más preciso que otros métodos. En este sentido, si bien se puede utilizar una dirección IP para obtener una ubicación aproximada, la misma no es tan precisa. Por otro lado, si hay datos disponibles para el área, el Servicio de ubicación de Mozilla puede proporcionar información como, por ejemplo, en qué edificio se encuentra el blanco.

El componente GoogleUpdate.exe es responsable de comunicarse con el servidor de C&C remoto. La configuración para establecer la conexión se lee del archivo jer.dll: nombre de dominio, nombre de usuario y contraseña. El principal medio de comunicación para Machete es a través de FTP, aunque la comunicación HTTP se implementó como alternativa en 2019.

Este componente carga archivos cifrados a diferentes subdirectorios en el servidor de C&C, pero también recupera archivos específicos que los operadores de Machete han puesto en el servidor. De esta manera, el malware puede actualizar tanto su configuración, sus archivos binarios maliciosos y sus listados de archivos, pero también puede descargar y ejecutar otros binarios.

Conclusión

El grupo Machete está operando con más fuerza que nunca, incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware. ESET ha estado siguiendo esta amenaza durante meses y ha observado varios cambios, a veces en semanas.

Al momento de esta publicación, el último cambio que se introdujo en el malware son seis componentes del backdoor, que ya no son ejecutables py2exe. En este caso se trata de scripts de Python ofuscados, un ejecutable original de Python 2.7 y todas las librerías utilizadas, que son empaquetadas en un archivo autoextraíble.

Varios artefactos que hemos visto en el código de Machete y la infraestructura subyacente nos llevan a pensar que se trata de un grupo de habla hispana. Asimismo, la presencia de código para exfiltrar datos a unidades extraíbles cuando hay acceso físico a una computadora comprometida podría indicar que los operadores de Machete están presentes en alguno de los países blanco de sus ataques, aunque no podemos estar seguros de esta afirmación.

Por otra parte, añadir que ESET detecta esta amenaza como una variante de Python/Machete.

Fuente: www.welivesecurity.com

 

El robo de credenciales por ‘malware’ en webs porno creció más del 100% en 2018

by morfil Noticias

Imagen ilustrativa de un la seguridad ante los ‘malwares’.

También se incrementaron los robos de credenciales para su posterior venta en la ‘dark’ web. El número de ataques relacionados con la pornografía subió casi el triple.

Si bien la pornografía suele considerarse como un buen cebo para atraer a las víctimas hacia un sitio web malicioso o involucrarlas en un esquema de fraude, el contenido para adultos en sí no se tenía muy en cuenta como pieza de ataque. Sin embargo, el nuevo informe de Kaspersky Lab sobre las amenazas a los usuarios de sitios web para adultos en 2018 muestra que la pornografía, en concreto las cuentas premium de los sitios web de pornografía con acceso a contenido exclusivo, están llamando cada vez más la atención a los ciberestafadores.

El número de usuarios atacados por malware para robar los datos de inicio de sesión a sitios web populares para adultos aumentó más del doble en apenas un año, pasando de unos 50.000 usuarios en 2017 a 110.000 usuarios en 2018. En total, se detectaron más de 850.000 ataques.

Para robar las credenciales de una cuenta premium en un sitio web de contenido para adultos, los ciberdelincuentes distribuyen malware a través de botnets (cadenas de bots o dispositivos infectados con malware capaz de descargar malware adicional dependiendo de los objetivos del dueño del botnet). En el caso del robo de credenciales, estas redes de bots suelen estar formadas por versiones de troyanos bancarios ya conocidos que se reutilizan para atacar a los usuarios de sitios web para adultos. Interceptan el tráfico de datos de sus víctimas y los redirigen a páginas web falsas que simulan el sitio auténtico que el usuario intenta visitar, capturando de este modo las credenciales cuando el usuario intenta iniciar sesión en su cuenta premium. Este procedimiento es cada vez más popular entre los ciberdelincuentes, y generalmente lleva a que posteriormente expongan y utilicen la información personal de las víctimas. Además, a veces, se impide a las víctimas usar esas cuentas por las cuales puede estar pagando una suscripción de unos 150 € anuales aproximadamente.

El triple de ataques en webs pornográficas

Según los analistas, el incremento en el número de usuarios que tienen que enfrentarse a este tipo de malware se justifica por su gran rentabilidad. El número de ataques relacionados con la pornografía aumentó casi el triple, pasando de 307.868 ataques en 2017 a 850.000 en 2018. Este aumento tiene también su origen en el incremento del número de familias de malware distribuidas por botnets y utilizadas para buscar credenciales de acceso a webs de adultos.

La investigación muestra que, en 2018, la cantidad de ofertas únicas de credenciales de acceso premium para sitios web pornográficos se duplicó para superar los 10.000, en comparación con los 5.000 que había en 2017. Sin embargo, el precio se mantuvo igual, alrededor de 5-10 dólares por cada cuenta. “Las credenciales de acceso premium a sitios web de pornografía pueden no parecer un objetivo evidente, pero el hecho de que el número de ofertas de venta en la web oscura esté en aumento, y el incremento en los esfuerzos de distribución del malware, muestra que estamos ante una actividad rentable y popular», afirma Oleg Kupreev, analista de seguridad en Kaspersky Lab.

El especialista añade que «los usuarios de sitios web de contenido para adultos deben tener en cuenta que este tipo de malware puede pasar desapercibido en el dispositivo de una víctima durante mucho tiempo, espiar sus acciones privadas y permitir que otros hagan lo mismo, y todo ello sin desconectar al usuario para no despertar sospechas. Incluso, aquellos que simplemente visitan el sitio pero no tienen una cuenta premium, podrían estar en peligro».

Más ‘phishing’ que nunca
Además de esta tendencia, los analistas vieron que el número de ataques lanzados usando páginas de phishing pretendiendo ser una de las principales webs pornográficas con contenido gratuito, creció más de 10 veces en los últimos meses de 2018, en comparación con el mismo periodo de 2017. El número de intentos de visitar páginas web de phishing, que simulaban ser algunas de las principales webs de porno, fue de 38.305. A la cabeza se situaron aquellas que simulaban ser páginas de Pornhub, con 37.144 intentos, y 1.161 simularon ser páginas de YouPorn, xhamster y xvideos. «Aunque el número de phishing puede parecer alto, es importante tener en cuenta que en relación con la cantidad de visitas que recibe el sitio (33.500 mil millones de visitas en 2018), el porcentaje de intentos de phishing es ínfimo (menos del 0.0001%)», declararon desde Pornhub.
 
Aún así, la popular web recomienda:
  • No hacer clic en enlaces de phishing maliciosos en sus correos electrónicos.
  • En caso de duda, ir directamente a Pornhub.com en lugar de hacer clic en un enlace, como el que puede aparecer en un correo electrónico.
  • Comprobar siempre que el nombre de dominio sea Pornhub.com.
  • Comprobar siempre que la conexión está utilizando HTTPS y que el certificado es válido.
  • Reportar cualquier actividad sospechosa a security@pornhub.com.
Fuente: www.20minutos.es

1.900 Aplicaciones corruptas salieron de Google Play todos los días en 2017

by morfil Noticias

Google reveló que lanzó “más de 700.000 aplicaciones” y hubieron más 100.000 desarrolladores fuera de su bazar Play digital durante 2017.

Google_PlayLas noticias no son del todo malas: Google dijo que el 99 por ciento de las aplicaciones malas fueron atacadas por herramientas que emplean el aprendizaje automático, por lo que nadie tuvo la oportunidad de descargarlas. También es bueno saber que la mayoría de las aplicaciones rechazadas fueron imitadores que esperaban sacar algún dinero imitando otras aplicaciones.

Pero también había muchas aplicaciones que ofrecían “pornografía, violencia extrema, odio y actividades ilegales” que intentaban colarse en Play Store, además de muchos intentos de introducir malware en la tienda.

Google dijo que planea refinar sus herramientas con AI para detectar aún más aplicaciones en el futuro. Los desarrolladores de Dodgy también están en su punto de mira: la compañía espera poder automatizar herramientas que eviten que los codificadores de juegos solo vuelvan a registrar las cuentas de Play con nuevas credenciales.

No dejes que los preciosos números grandes de Google te den una falsa sensación de seguridad sobre Play o la inteligencia artificial de Google, ya que aún permite una versión falsa de WhatsAppque generó un millón de usuarios afectados y 60 aplicaciones que mostraban carbón a los niños.

Google también ha tenido problemas con los videos maliciosos de YouTube disfrazados de diversión para los niños.

Fuente: www.theregister.co.uk


Deprecated: trim(): Passing null to parameter #1 ($string) of type string is deprecated in /home1/uiolibre/public_html/wp-content/plugins/simple-lightbox/includes/class.utilities.php on line 545