Tag navegador web

Cómo los atacantes usan archivos infectados y extensiones de navegadores maliciosas para robar cuentas de Facebook Business.

Nuestros investigadores han descubierto una nueva versión de la familia del malware Ducktail que está especializada en el robo de cuentas de Facebook Business. Los cibercriminales la están utilizando para atacar a empleados de compañías que ocupan o puestos importantes en la compañía o trabajan en las áreas de Recursos Humanos, marketing digital o marketing en redes sociales. Y tiene sentido ya que su objetivo final es secuestrar las cuentas corporativas de Facebook, así que los atacantes están interesados en las personas que con más probabilidad pueden tener acceso a ellas. Vamos a explicar cómo los atacantes ejecutan estos ataques, por qué son inusuales y, por supuesto, cómo protegerse de ellos.

Cebo y carga maliciosa

Los cibercriminales detrás de Ducktail mandan archivos maliciosos a sus víctimas. Para bajar la vigilancia del destinatario, los archivos contienen cebos en forma de imágenes o archivos de vídeo sobre un tema común. Por ejemplo, en la campaña más reciente, de marzo a principios de octubre de 2023, la temática era la moda: enviaban correos electrónicos en nombre de grandes marcas de la industria con archivos que contenían fotos de modelos de ropa.

Sin embargo, dentro de estos archivos se encontraban otros ejecutables disfrazados de archivos PDF. Estos archivos tenían un icono de PDF y unos nombres muy largos para desviar la atención de la víctima de la extensión EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este.  En esta campaña temática sobre moda, los nombres hacían referencia a “guías y requisitos para candidatos”, pero otros cebos tipo eran listas de precios, ofertas comerciales y etc.

Los archivos maliciosos Ducktail parecen contener un fichero PDF cuando realmente se trata de una extensión EXE.

Al hacer clic en el archivo con la extensión EXE camuflada, se ejecuta un script malicioso en el dispositivo de destino. En primer lugar, muestra el contenido de un PDF, incrustado en el código de malware, para que la víctima no sea consciente de lo que está ocurriendo. Al mismo tiempo, el malware escanea todos los accesos directos del escritorio, el menú Inicio y la barra de Inicio rápido. El objetivo de la búsqueda son los accesos directos a navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave… Cuando encuentra uno de ellos, el malware lo altera añadiendo un comando para instalar una extensión en el navegador, que está incluido también en el archivo ejecutable. Cinco minutos después de ser ejecutado, el script malicioso termina el proceso del navegador, solicitando al usuario que reinicie utilizando el acceso directo ya modificado.

Extensión maliciosa en el navegador

Cuando el usuario hace clic en el acceso directo, la extensión maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexión, usando el mismo icono y la misma descripción. Aunque esto último solo en inglés, lo que puede desvelar el engaño.

La extensión maliciosa se disfraza de Documentos de Google sin Conexión (izquierda) y la verdadera extensión de Documentos de Google sin Conexión en el navegador de Google Chrome.

Una vez instalados y en ejecución, la extensión maliciosa empieza a monitorizar todas las pestañas que vaya abriendo el usuario en el navegador y a enviar información sobre ellas al servidor C2 de los atacantes. Si encuentra una dirección asociada a Facebook en una de las pestañas abiertas, la extensión maliciosa comprueba si se trata de una cuenta publicitaria o de un Business Manager para intentar secuestrarlas.

La extensión roba información de las cuentas de Facebook en las que se ha iniciado sesión en el dispositivo de la víctima, así como de las cookies de las sesiones activas en el navegador, que pueden usare para iniciar sesión en las cuentas sin autenticación.

El grupo detrás de este malware parece estar activo desde 2018. Diversos equipos de investigación creen que es de origen vietnamita. La distribución de Ducktail por parte de este grupo se remonta a 2021.

Cómo protegerse Ducktail

Para protegerse de Ducktail y de amenazas similares, los empleados deben tener buenos hábitos de ciberhigiene. En concreto:

• Nunca deben descargar archivos sospechosos en los ordenadores de trabajo cuando estos provengan de fuentes no fiables.
• Antes de abrir cualquier archivo, revisar con atención las extensiones de los que se hayan descargado de internet o de correos electrónicos.
• No hacer clic en archivos que parezcan inofensivos pero que tengan la extensión EXE. Y es que ésta es una clara señal de que se trata de un malware.
• Y siempre instalar protección fiable en todos los dispositivos de trabajo. Esto le avisará de amenazas potenciales y le protegerá de cualquier ataque. Nuestras soluciones detectan esta amenaza en el veredictoWin64.Ducktail.gen.

Fuente: latam.kaspersky.com

En su actualización de febrero, Microsoft enterró Internet Explorer de una vez por todas. ¿O no lo hizo? Hemos investigado lo que sucedió realmente.

No hace mucho, los medios de comunicación dedicados a la seguridad TI se hacían eco de la noticia de que Microsoft por fin enterraba al viejo Internet Explorer (IE). En esta publicación, repasaremos la larga historia sobre cómo el que un día fue el navegador más popular del mundo se ha ido desconectando poco a poco de su sistema de soporte vital e investigaremos si ha llegado la hora realmente de asistir a su funeral (spoiler: no).

Internet Explorer: las crónicas de su larga vida y muerte

Para aquellos que no fueron testigos (o se han olvidado) de los 2000, por aquel entonces Internet Explorer era el rey de Internet, con un índice de uso de más del 90 %. Parece mentira, pero Explorer era incluso más dominante de lo que lo es ahora el actual campeón: Google Chrome.

No obstante, desde la llegada de Chrome en el 2008, la popularidad de Explorer ha ido cayendo en picada. De hecho, podemos considerar el 2012 como el final de la era de Explorer, cuando Chrome por fin lo adelantó. Dicho esto, Microsoft no fue capaz de reconocerlo oficialmente hasta el 2015.

Fue entonces cuando, junto con la revelación de Windows 10, la empresa anunció que cancelaba el desarrollo de Explorer y presentaba Edge como el nuevo navegador predeterminado de Windows, dando por iniciada la primera fase de la retirada del servicio de IE. La versión original de Edge estaba promovida por el propio motor de Microsoft EdgeHTML, una modificación del MSHTML (también conocido como Trident) en el que se basaba Internet Explorer.

Por supuesto, Edge incluía un modo de compatibilidad con IE, pero esto no dio lugar a la eliminación del viejo navegador, sino todo lo contrario: dio comienzo a un periodo en el que ambos navegadores estaban preinstalados en Windows. Esto (otro spoiler) sigue pasando a día de hoy; en su undécima y última versión, Explorer sigue integrado en el sistema operativo.

Tres años después, en diciembre del 2018, llegó la segunda fase: Microsoft abandonó sus intentos de desarrollar su propio motor y anunció una totalmente renovada versión de Edge, esta vez basada en Chromium.

En el 2021, Microsoft lanzó su nuevo Windows 11 con el que ya no se podía iniciar ni usar Explorer como un navegador independiente, al menos en teoría. No obstante, Edge aún conservaba su modo de compatibilidad con IE. Además, el propio Explorer seguía presente en el sistema, por lo que, con tan solo trastear un poco, aún se podía ejecutar.

Unos años después, en febrero del 2023, saltó la noticia de que Microsoft por fin había dado por finalizado Explorer en su última actualización. Un golpe de gracia que acababa con esta cruel agonía. Pero, tras una inspección detallada, resulta que nuestro viejo amigo sigue respirando…

Desactivado no significa eliminado

Lo primero que hay que tener en cuenta sobre la actualización de Windows es que no ha eliminado Explorer del sistema operativo, solo lo ha desactivado. En la práctica, esto significa que Explorer ya no se puede lanzar como un navegador independiente (esta vez de verdad). No obstante, Edge, oficialmente el único navegador de Windows, sigue incluyendo un modo de compatibilidad con IE. Esto significa que Explorer sigue vivo, aunque no del todo: está ahí solo para garantizar el funcionamiento de este modo.

Ahora, si intentas abrir Explorer, se ejecutará Edge en su lugar y, en él, si así lo deseas, puedes seleccionar el modo de compatibilidad con IE. Por tanto, Explorer seguirá habitando Windows hasta que Microsoft decida poner fin al modo de compatibilidad con IE.

El parche para desactivar IE no funciona en todos los sistemas

Por si fuera poco, ni siquiera se ha completado la desactivación de Explorer. Hay un montón de sistemas operativos que no han recibido la actualización que desactiva IE. Microsoft ha publicado una lista con las exclusiones:

• Windows 8.1
• Las actualizaciones de seguridad extendidas (ESU) de Windows 7
• El canal semianual (SAC) de Windows Server, todas las versiones
• El canal de mantenimiento a largo plazo (LTSC) de Windows 10 IoT, todas las versiones
• El LTSC de Windows Server, todas las versiones
• El cliente LTSC de Windows 10, todas las versiones
• Windows 10 China Government Edition

Es decir, los usuarios de estos sistemas operativos no han recibido los cambios que acabamos de mencionar, por lo que todavía podrán seguir ejecutando Internet Explorer como un navegador independiente.

Pero ¿cuál es el problema?

El problema es que, además de este navegador obsoleto, también permanecerán con él en el sistema operativo todas sus vulnerabilidades (y las que están sin descubrir). La única diferencia real entre el “antes” y el “después” de la desactivación de IE es que puede haberse complicado su explotación en ciertos tipos de ataques.

Como ejemplo real de lo que podría pasar, podemos recordar la vulnerabilidad CVE-2021-40444, descubierta en el motor MSHTML de Internet Explorer en el 2021. Además, en el momento del descubrimiento, la vulnerabilidad ya se estaba explotando en activo en ataques contra usuarios de Microsoft Office. Los atacantes complementaban los documentos de Office con un elemento ActiveX malicioso, que permitía la ejecución de código remoto después de que el usuario abriera el archivo con el troyano.

Pero ¿por qué no entierra Microsoft a Internet Explorer de una vez por todas? El problema es que este navegador ha sido durante mucho tiempo la única opción viable para muchas empresas, tras haber hecho raíces en su infraestructura. Algunas de estas compañías aún siguen sin poder desprenderse del legado de este oscuro pasado. Por tanto, por el bien de la compatibilidad (todo un mantra para Microsoft), este navegador moribundo ha ido pasando de un sistema operativo a otro durante toda una década.

Cómo mantenerte protegido

Por lo que parece, seguramente tengamos que esperar al menos unos cuantos años más antes de que Internet Explorer se vaya por completo. Por tanto, a menos que quieras esperar a que MS se decida a decir adiós definitivamente a IE, es mejor que gestiones tú mismo sus últimos días:

• Si tu empresa sigue usando tecnologías ligadas a Internet Explorer, intenta retirarlas gradualmente y remplázalas por unas más actuales. No lo dejes, esto debería haber pasado hace 10 años.
• Entonces, cuando ya no necesites la compatibilidad con IE, sería aconsejable que desactives el navegador de todos los sistemas operativos que uses. En el caso de los sistemas operativos anteriormente mencionados, esta actividad tendrá que hacerse manualmente: en el sitio de Microsoft encontrarás unas instrucciones detalladas sobre cómo hacerlo. Con el resto de los sistemas solo tendrás que asegurarte de que el parche de Microsoft esté correctamente instalado.
• De acuerdo con Microsoft, deberías continuar instalando las actualizaciones de seguridad que estén relacionadas con Internet Explorer incluso aunque lo hayas desactivado, dado que ciertos componentes del navegador siguen en el sistema.
• Y, por supuesto, no te olvides de usar una protección de confianza en todos los dispositivos de tu empresa.

Fuente: www.latam.kaspersky.com

Se recomienda a los usuarios de Google Chrome actualizar el navegador a la versión 77.0.3865.90, ya que la compañía reparó cuatro fallos de seguridad importantes; uno de ellos catalogado como crítico

La semana pasada el equipo de Google Chrome anunció en su blog oficial el lanzamiento de una actualización para el navegador Chrome tanto para Windows, Mac como Linux.

Esta última versión de Chrome (77.0.3865.90) cuenta con parches de seguridad para cuatro vulnerabilidades reportadas entre agosto y septiembre de este año, de las cuales una fue catalogada como crítica, mientras que las otras tres son consideradas de alto riesgo.

En el caso de la vulnerabilidad crítica (CVE-2019-13685), la misma fue reportada el 5 de septiembre por Khalil Zhani y permitiría a un atacante tomar el control de un equipo infectado de manera remota.Las otras tres son la CVE-2019-13688, CVE-2019-13687 y CVE-2019-13686. Las dos primeras reportadas por Man Yue Mo, mientras que Brendon Tiszka hizo lo propio con la tercera.

Según explicó la compañía a través de su blog, el acceso a los detalles de cada una de las vulnerabilidades reportadas y reparadas en Chrome se mantendrá reservado hasta que la mayoría de los usuarios hayan actualizado a la última versión del navegador.

La explotación de estas vulnerabilidades permitiría a un atacante ejecutar código de manera arbitraria en el contexto del navegador. Lo único que necesitaría el atacante es lograr que la víctima abra un sitio web especialmente diseñado en el navegador, sin necesidad de que interactúe de manera adicional con el sitio, explica TheHackerNews.

Como parte de su programa de bug bounty, Google le pagó a Man Yue Mo un total de 20.000 dólares por las dos vulnerabilidades reportadas, mientras que el monto que cobrará Khalil Zhani y Brendon Tiszka aún se definió, publicó el medio.

Para más información, visitar el sitio oficial del programa de bug bounty de Google Chrome, donde encontrarán información detallada sobre los montos y recompensas.

Fuente: www.welivesecurity.com

Google acaba de liberar Chrome 59 para PC y entre otras novedades hay un par que incidirían directamente en una mejor integración con el escritorio Linux, según recogen en Phoronix. Pero no utilizo el condicional porque sí, y es que después de haberlo probado no he encontrado todo lo que se adelanta.

Para empezar esta versión de Chrome mejora su integración con GTK3 y eso sí que se nota, aunque solo se trate de detalles, por ejemplo, en el menú de la aplicación. De esto hablaban ayer en OMG! Ubuntu! en relación a Chromium, cuya actualización debería estar al caer. No es un cambio revolucionario, pero a nadie le amarga un dulce.

Algo más interesante es el soporte de notificaciones nativas, del que se beneficiará cualquier escritorio ya que la implementación se basa en el estándar D-BUS. Es interesante especialmente en escritorios con pila de notificaciones como GNOME Shell o Plasma (no confundir con las notificaciones web corrientes, responsabilidad de cada navegador y soportadas desde hace mucho en Linux). Sin embargo, no he podido hacerlo funcionar (a ver si alguien lo confirma).

Para terminar, Chrome 59 trae también soporte para PNG animados (APNG) y una novedad destacada para ambientes de servidor o desarrollo como es un modo headless, o lo que es lo mismo, la posibilidad de ejecutar Chrome (o funciones específicas de Chrome) sin cargar la interfaz de usuario.

Recordad que las novedades son las mismas para Chrome y Chromium, por lo que solo hace falta esperar a que se lance la actualización de este último para estar a la par.

Más información en el blog de Chrome.

Fuente: www.muylinux.com

Hay novedades en torno al futuro de Thunderbird, pero no son las que cabría esperar. El cliente de correo electrónico seguirá bajo la sombra de Mozilla durante un tiempo más, con condiciones.

Si desconoces los antecedentes de esta historia, dos titulares bastarán para ponerte al día:

• Mozilla quiere deshacerse de Thunderbird para centrarse mejor en Firefox
• Thunderbird busca casa, ¿dónde la encontrará?

El primero viene de finales de 2015 y el segundo de mediados de 2016, por lo que como ves el asunto lleva abierto desde hace bastante. En resumen, en Mozilla consideran a Thunderbird una aplicación sin “impacto en la industria” cuyo mantenimiento “no tiene sentido para Mozilla”, que prefiere centrar todos sus recursos en Firefox.

“He visto a gente tildando esto como si Mozilla estuviese dejando caer a Thunderbird. Esto no es exacto“, dijo entonces Mitchell Baker, presidenta de la Fundación Mozilla, aduciendo a que ayudarían a la comunidad de Thunderbird a encontrar un nuevo hogar. “Esto incluye trabajar con organizaciones que quieran invertir en Thunderbird, varias de las cuales ya han dado un paso adelante. Mozilla Foundation servirá como patrocinador fiscal para las donaciones de Thunderbird durante este tiempo“.

Así las cosas, la intención desde un primer momento fue que Thunderbird se independizase de Mozilla y, de hecho, se llegó a realizar un informe con posibles candidatos a hacerse cargo del proyecto entre los que estaban The Document Foundation, Software Freedom Conservancy, Apache Foundation e incluso GNOME Foundation. Sin embargo, más de un año después poco o nada ha cambiado.

La última actualización del estado de esta situación se publicaba hace un par de días en el blog de Mozilla y, en efecto, acaba con el status quo y pone condiciones sobre la mesa. Rescatamos el extracto del artículo donde se explica lo importante:

«Mozilla Foundation ha acordado continuar como hogar legal, fiscal y cultural de Thunderbird, con las siguientes condiciones:

A. El Consejo de Thunderbird y Mozilla Foundation mantengan una buena relación laboral y tomen decisiones de manera oportuna.

B. El Consejo de Thunderbird y el equipo realicen avances significativos en poco tiempo sobre la independencia operativa y técnica de Mozilla Corporation.

C. Cualquier parte puede dar a la otra seis meses de antelación si desea descontinuar el papel de Mozilla Foundation como anfitrión legal y fiscal del proyecto Thunderbird.

Mozilla invocaría C si A y B no suceden. Si C ocurriera, se esperaría que Thunderbird se trasladase a otra organización en el transcurso de seis meses.»

Pero en Thunderbird dicen ser optimistas y esperan que todo se resuelva rápidamente, para lo cual es sería muy positivo que la comunidad (unos 25 millones de usuarios, revelan) haga donaciones. Por otro lado, seguirán basándose en las tecnologías de Mozilla, si bien la idea es migrar a tecnologías web.»

Fuente: www.muylinux.com