Archives

.

Compartelo:
0

OSX/Crisis, un nuevo malware para Mac OS X

Jesus Bourne 28 de julio de 2012
Como siempre decimos, de la acción del malware y de los cibercriminales no se libra nadie… Tampoco los usuarios de Mac OS X. Hoy hablamos del último descubrimiento recogido en el blog Seguridad Apple: OSX/Crisis, que es a la vez un dropper y un backdoor y parece haber sido desarrollado con exploits de kit de explotación habituales.

El malware ha sido descubierto en el repositorio de Virus Total, por lo que, al no haberse visto de forma activa, no se sabe muy bien ni su procedencia ni el fin último. OSX/Crisis crea, una vez instalado, una serie de carpetas con nombres fijos o aleatorios, siempre dependiendo de si consigue ejecutarse con permisos de administrador en el sistema o no. Alguno de los nombres que utiliza son:

/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/



Este último nombre de carpeta se asigna solo si OSX/Crisis ha logrado ejecutarse con permisos de administración, asegurándose de esta manera su supervivencia tras el reinicio del sistema.





Parece que el malware utiliza sistemas de ofuscación para dificultar las tareas de los analistas, y se conecta a la dirección IP fija 176.58.100.37 cada cinco minutos, lo que pudiera indicar que se ha estado controlando desde esta dirección.

No se tiene constancia, sin embargo, de que este malware se haya estado distribuyendo o o que haya infectado a los usuarios, aunque seguiremos muy de cerca las novedades para manteneros al tanto de cualquier nueva información que podamos compartir.

Fuentes:Ontinet.com—Josep Albors/Jolanda Ruiz Hervas



1

Hackers adoptan trucos de generación de dominios para botnets

Jesus Bourne 26 de julio de 2012
Hackers han comenzado a adoptar técnicas de generación de dominio, normalmente utilizadas para malware de tipo botnets con el objetivo de prolongar los ataques basados en web, según investigadores de seguridad de la firma de antivirus Symantec.

Estas técnicas de generación de dominio fueron recientemente observadas en una serie de ataques que usan descargas sin consentimiento del usuario (descargas drive-by) que usaron el toolkit de exploits Black Hole para infectar a usuarios de Internet con malware al visitar sitios web comprometidos, dijo Nick Johnston, investigador de seguridad de Symantec, en su blog el martes.

Los ataques de descargas drive-by dependen de un código infectado en sitios web comprometidos para redirigir de forma silenciosa a los visitantes a dominios externos que alojan toolkits de exploits como Black Hole. Esto normalmente se hace a través de iframes ocultos en etiquetas HTML.

Estos toolkits verifican si el navegador de los usuarios contiene plug-ins vulnerables y si los encuentran, cargar los exploits correspondientes para instalar malware.

Los ataques web usualmente tienen una vida activa corta porque tanto investigadores de seguridad, proveedores de alojamiento de sitios y encargados del registro de dominios trabajan juntos para dar de baja los sitios web del ataque y suspender los nombres de dominio abusivos.

Debido a esfuerzos similares para dar de baja servidores de comando y control de botnets (C&C), algunos autores de malware han implementado mecanismos de respaldo para permitirles recuperar el control de las computadoras infectadas.

Uno de estos métodos involucra comunicarle al maware nuevos nombres de dominio generados diariamente de acuerdo a un algoritmo especial en caso de que los servidores C&C se vuelvan inaccesibles.

Esto permite a los atacantes saber con qué nombres de dominio intentarán comunicarse sus botnets en una fecha determinada, para que puedan registrarlas por adelantado y usarlas para liberar actualizaciones.

Una técnica similiar fue usada en recientes ataques de Black Hole. Los nombres de dominio en las URL cargadas por iframes ocultos cambiaban diariamente y fueron  generados por un algoritmo dependiente de la fecha.

Los atacantes registraron todos los dominios que este algoritmo generará hasta el 7 de agosto, para asegurarse de que sus ataques funcionarán hasta esa fecha sin requerir cambios al código insertado en los sitios web comprometidos.

“Hasta ahora hemos visto un pequeño pero considerable flujo de dominios comprometidos usando esta técnica”, señalaron los investigadores de Symantec. “Esto sugiere que este es problamente un tipo de prueba o estrategia que podría propagarse en el futuro”. 



Fuente: TechWorld
0

Actualización silenciosa en Firefox 14 mejora su distribución

Jesus Bourne 24 de julio de 2012

Firefox 14 alcanzó cerca de la mitad de todas las copias del navegador de uso libre que se encontraban en circulación a solo una semana de su lanzamiento, un signo de que el mecanismo de actualizaciones automáticas de Mozilla podría estar dando los frutos que se esperaban.

El navegador se convirtió en la edición más utilizada siendo mucho más rápida que sus predecesores, el Firefox 12 liberado el 24 de abril y Firefox 13 liberado el 5 de junio.

En los siete días desde su debut, la participacion de Firefox 14  en todos los navegadores de Mozilla  fue de un 3% el 17 de julio hasta el 46% el 23 de julio, de acuerdo con los datos de uso recogidos por la empresa irlandesa de análisis StatCounter.

Al final de su primera semana, la versión 12 acumuló una participación del 30% en todos los navegadores Firefox y la versión 13 represento el 31%.

Firefox 14 es la segunda versión que Mozilla ha enviado a los usuarios por medio del servicio de actualización silenciosa incluido en Firefox 12.

El servicio de actualización silenciosa de Mozilla deja de lado el Control de cuentas de usuario de Windows, o UAC, para impulsar cambios en el fondo, de modo que los usuarios reciban una actualización del navegador sin interrupción.

Los datos analizados por Computerworld hace cuatro semanas, mostraron que Firefox 13, la primera después de la introduccion de la actualización silenciosa habia de hecho sido adoptada en un ritmo más lento que firefox 12.

MSegún Mozilla y datos de StatCounter que dieron a entender más o menos lo mismo, una actualización de emergencia que se emitió a mitad del ciclo de actualización de Firefox 13 había obstaculizado su adopción.

En ese momento, Mozilla dijo que había visto problemas similares de adopción cuando se había lanzado un parche llamado "derrame químico" anteriormente.

Chitika, una red de publicidad en línea que regularmente mina la impresión de datos de anuncios de las tendencias en el sistema operativo y los patrones de uso del navegador, reportó resultados idénticos para Firefox 14.

De acuerdo con Chitika, Firefox 14 representó el 46% de todas las copias de Firefox para la noche del lunes y fue la versión más popular de la aplicación de Mozilla en la Web, con casi el doble de la participación de Firefox 13.

La tasa de adopción más rápida de Firefox 14, sin embargo, no fue suficiente para frenar la caída del navegador de Mozilla. Con tan sólo ocho días restantes del mes, Firefox tenía una participación de 23,9% de todos los navegadores, dijo StatCounter, una caída de siete décimas porcentuales del promedio de 24.6% de junio.

Los rivales Chrome e Internet Explorer (IE), por su parte, contaban con una participación del 34% y el 31.6%, respectivamente, hasta el lunes. La tentativa de Chrome fue de 1.2 puntos más que en junio, mientras que IE se redujo siete décimas de un punto.



Fuentes: PC World

0

Vulnerabilidad en Kindle Touch permite ejecutar codigo solamente visitando una web

Jesus Bourne 22 de julio de 2012
Leemos en el servicio de noticias Una al día de Hispasec la noticia de que se ha descubierto una grave vulnerabilidad en uno de los modelos del popular lector de libros electrónicos de Amazon, el Kindle Touch. 

Esta vulnerabilidad permitiría la ejecución de código arbitrario con los máximos privilegios posibles en el dispositivo y, aunque está siendo utilizada de forma masiva para liberar el dispositivo, también podría utilizarse para tomar el control del sistema y robar las credenciales del usuario.


Diseñado originalmente como lector de libros electrónicos, este dispositivo también permite realizar otras tareas como navegar por Internet, gracias a que cuenta con conexión WiFi.

Es precisamente esta funcionalidad la que podría aprovecharse para, según un usuario de los foros mobileread.com, ejecutar comandos con permisos de root remotamente desde una web maliciosa, lo que ocasionaría que se pudiera tomar el control del dispositivo desde ese momento.

Igual que pasó anteriormente con otros dispositivos como el iPhone/iPad y la vulnerabilidad que permitía liberarlos con tan solo visitar una web, el descubrimiento de vulnerabilidades en los sistemas que gobiernan estos dispositivos abre todo un nuevo mundo de posibilidades a sus usuarios. 

Pero muchas veces nos quedamos solamente con la parte positiva (posibilidad de realizar acciones con el dispositivo que antes no podíamos hacer) y nos olvidamos de la parte negativa, que en este caso podría suponer el robo de credenciales de nuestra cuenta asociada con Amazon, la compra de contenido utilizando otras cuentas y, por qué no, añadir nuestro dispositivo a una botnet controlada por un atacante.

Tanto el descubridor de esta vulnerabilidad como el equipo de Hispasec nos recomiendan desactivar la librería afectada, libkindleplugin.so, ejecutando el siguiente comando por SSH:

mntroot rw && mv /usr/lib/browser/plugins/libkindleplugin.so /usr/lib/browser/plugins/libkindleplugin.so.disabled && mntroot ro && killall wafapp

De momento, no se ha podido comprobar que otros dispositivos de la familia Kindle se encuentren afectados por este fallo de seguridad. Asimismo, se ha puesto a disposición de los usuarios una nueva versión del firmware 5.1.1 del dispositivo que corrige la vulnerabilidad, se  recomienda actualizar el dispositivo lo antes posible.

Fuentes:Omtinet.com-Josep Albors

0

Cae Grum, la tercera mayor botnet del mundo

Jesus Bourne

La botnet Grum formada por miles de ordenadores infectados y dedicada especialmente al spam de productos farmacéuticos fue desmantelada el pasado 18 de Julio. 

La colaboración entre diferentes empresas especializadas en seguridad ubicadas en varios países ha permitido desactivar esta red que llegó a enviar hasta 18.000 millones de mensajes spam por día y era responsable de un tercio del correo no deseado a nivel mundial.

Esta red de ordenadores zombies contaba con centros de mando y control (C&C) en varios países y pudo ser desactivada gracias al trabajo conjunto de empresas como la californiana FireEye, la británica Spamhaus Project y el equipo de respuesta ante incidentes informáticos (CERT) Ruso.

Asimismo, también se conto con la ayuda de algún proveedor de servicios ISP para desconectar los servidores localizados en Holanda, Panamá y Rusia.

Tras la desactivación de los centros de mando y control se calcula que cerca de 120.000 equipos infectos se han quedado huérfanos y ya no reciben las ordenes de seguir enviando spam. Esto hace que el número de correos no deseados que circulan por la red disminuya, al menos temporalmente.


Imagen de Symantec Message Labs

Esta operación ha demostrado que la colaboración entre distintas empresas de seguridad informática puede ser igual de efectiva que las realizadas por las fuerzas de seguridad, aunque la colaboración siempre ayuda a detener las actividades delictivas de esta clase.

A pesar de que el tamaño de la botnet es pequeño si lo comparamos con las redes de ordenadores zombies de hace unos años, esto no significa que los ciberdelincuentes las estén dejando de lado. Mas bien han reestructurado su estrategia y prefieren tener botnets mas pequeñas pero efectivas y difíciles de desactivar que grandes botnets que llamen mucho la atención.

Debido a que estas redes reclutan a los sistemas infectados que forman parte de ellas usando técnicas no muy elaboradas, como el adjuntar archivos infectados en adjuntos o descargando malware desde enlaces, es nuestra misión como usuarios adoptar buenas prácticas de seguridad para evitar que nuestro sistema se vea afectado y empiece a enviar spam o a propagar malware siguiendo las ordenes del controlador de una botnet.

Fuentes: Ontinet.com - Josep Albors


0

Google paga miles de dólares por descubrir bugs en Chrome

Jesus Bourne 18 de julio de 2012

La compañía anunció en el blog Chrome Releases del día de ayer que ha pagado alrededor de 11 mil USD a quienes han descubierto vulnerabilidades de seguridad en su navegador Chrome.

Google ha brindado remuneraciones a varias personas que han encontrado huecos de seguridad en su navegador Chrome.

Un investigador identificado como “miaubiz” ganó el premio principal repartido por Google, obtuvo 7 mil USD por haber encontrado una gran cantidad de fallas de seguridad de alta prioridad. Otros 4, 500 USD fueron repartidos a otros usuarios. La mayoría de las fallas reportadas dio a los usuarios mil dólares cada una.

“Nos gustaría dar las gracias a Arthur Gerkis, Atte Kettunen de OUSPG y a miaubiz por colaborar con nosotros durante el ciclo de desarrollo y por prevenir retrocesos de seguridad” escribió Gloogle en un blog anunciando los premios. “Hubo algunos premios adicionales por la genialidad de los descubrimientos”.

Google se ha apoyado en gran medida en la comunidad de expertos para encontrar errores de su navegador. 

En marzo, la compañía anunció que un contribuidor de Chromium llamado Sergey Glazunov obtuvo una recompensa de  60,000 USD  por encontrar un "exploit completo para Chrome" que podía evadir la seguridad del sandboxing del navegador. Poco después, se corrigió el problema para que no se hiciera mal uso de él.


Fuente: CNet 

0

Comienza caza de bugs de PayPal

Jesus Bourne

PayPal ha anunciado un programa de "caza de bugs" para investigadores de seguridad, siguiendo los pasos de Mozilla, Google y Facebook, que están ofreciendo recompensas por la revelación de sus fallas. 

Michael Barrett, Jefe de Seguridad de Información de PayPal dijo que las experiencias de otras compañías han sido positivas y han disipado las dudas que él tenía con relación a pagar a investigadores por reportes de fallas. “Es una forma clara y efectiva de incrementar la atención de los investigadores de servicios de Internet y por lo tanto, encontrar más fallas potenciales”.

El nuevo programa se basa en el anterior programa de notificación de errores no remunerado de PayPal. De acuerdo con la página For security researches (Para investigadores de seguridad), PayPal aceptará los informes de errores, los examinará y clasificará.

Las vulnerabilidades que se incluyen son: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection (SQLi) y los saltos de autenticación.

Específicamente se excluyen del programa de recompensas las vulnerabilidades de CSRF que obligan a autenticar al usuario en los sitios de PayPal. PayPal pide que los investigadores no se involucren en el trabajo de la negación de servicio de los sistemas de PayPal o el uso de cualquier exploit para ver los datos de otro usuario sin su autorización.

La compañía mencionó que cuando el error reportado haya sido corregido, se hará un pago a través de PayPal para el investigador. La documentación en línea no revela el alcance de los pagos, pero se cree que es, en función de la gravedad y de las excepciones particulares, entre $500 y $5, 000 USD.

PayPal probablemente espera asegurarse con este programa, de que incidentes embarazosos, como el descubrimiento de un defecto de XSS en la versión alemana de PayPal, sea informarado directamente a ellos.



Fuente: The H Security 

0

Ciberataques a niveles asombrosos, describe MI5

Jesus Bourne 17 de julio de 2012

MI5 admitió que trabaja en contrarrestar los asombrosos niveles de ciberataques en industrias del Reino Unido. El presidente de MI5, Jonathan Evans, menciona que las vulnerabilidades en Internet son “agresivamente explotadas no solo por criminales, sino también por gobiernos”.

También reveló que MI5 está investigando instancias de ataques cibernéticos en más de una docena de compañías y que una gran compañía de negocios en Londres ha sufrido pérdidas por 800 millones de libras después de un ataque, algo que los terroristas podrían explotar en un futuro cercano.

Los datos salen a la luz después de un informe de la Universidad de Cambridge que afirma que el crimen cibernético le cuesta actualmente a Gran Bretaña 11 billones de libras.

Ross Brewer, Director Administrativo y vicepresidente de mercados internacionales LogRhythm, hizo los siguientes comentarios:

La amenaza del terrorismo está cambiando de actos físicos de violencia a unos más sutiles, la guerra silenciosa que es peleada detrás de un monitor de computadora.

La guerra cibernética ya no es un producto de la ciencia ficción, y tal parece que MI5 está poniendo este problema bajo el microscopio.

Considerando el descubrimiento del malware Flame, la alerta de Google hacia los usuarios vulnerables acerca de los ataques patrocinados por naciones y los recientes titulares noticiosos acerca del virus ACAD/Medre.A (Virus que roba planos de AutoCAD), está quedando muy claro que los gobiernos y los negocios deben tomar acciones urgentes para impulsar su seguridad y cerciorarse de que se ha hecho frente a todas las vulnerabilidades.

Hay claros ejemplos de cómo un ataque cibernético puede conducir a la perdida de información y a repercusiones financieras para los grandes negocios, pero mientras esta amenaza se desarrolla y se vuelve más sofisticada, el potencial para comprometer activos críticos y causar daños en el mundo real crece exponencialmente.

Lo que es más, mientras nuestro mundo se vuelva progresivamente más conectado con Internet,  que cada día controla más aspectos de la vida diaria como autos, sistemas para el control de tráfico vehicular, incluso cajeros automáticos y otras infraestructuras, el problema se vuelve más complejo, las vulnerabilidades se incrementan y se deben tomar medidas urgentes para asegurar que los procedimientos de seguridad están alineados.

“Algunos académicos, como los autores del reporte liberado recientemente sobre crimen cibernético de la Universidad de Cambridge, dicen que más recursos deben ser enfocados en atrapar y castigar a los criminales cibernéticos en oposición a prevenir el crimen computacional, desafortunadamente esto es tan lógico como esperar hasta que alguien te robe antes de poner candados a las puertas.

La escala y la naturaleza de la amenaza cibernética de hoy en día llama a un monitoreo continuo, de protección de redes para asegurar que la intrusión más mínima o cualquier anomalía pueda ser detectada antes de que se vuelva más grande el problema para todos. 

Mientras las herramientas tradicionales de seguridad continúan probando sus limitaciones, se necesitan adoptar estrategias integrales, el registro de datos se está volviendo un recurso de inteligencia invaluable para cualquiera que busca mantener un ojo cerca de toda la actividad en la red.

Este nivel de visibilidad también es determinante para facilitar la ejecución de análisis forenses profundos en los sofisticados ataques cibernéticos de hoy en día, para que sean atribuidos a los perpetradores adecuados en una forma más acertada.



Fuente: Help Net Security 



0

Lost+Found: Revelaciones sobre estafadores y malware

Jesus Bourne 14 de julio de 2012

Demasiado corto para ser noticia, demasiado largo para dejarse ir. Lost and found (Objetos perdidos) es una mirada a noticias útiles de seguridad. Hoy, Microsoft responde a las preguntas sobre porqué los estafadores nigerianos siguen siendo de Nigeria, autores que alardean de su malware y la página de cazadores de bugs de Google para cross-site scripting.

Microsoft ha publicado un reporte que tiene como propósito explicar por qué los estafadores nigerianos todavía afirman ser de Nigeria. Resulta que, su razón es que alguien sin el interés suficiente para reaccionar a tan obvia táctica como un 419 scam, es probablemente alguien que les envíará el dinero tras el cual ellos van.

Investigadores de seguridad de AVG que investigaban lo que ellos presumen era un troyano keylogging Diablo III, se encontraron de repente chateando con el creador del malware. El hacker buscaba saber quién estaba mirando en su código: “¿Qué están haciendo? ¿Por qué están investigando mi troyano? ¿Qué quieren de él?” 

Los especialistas en virus informáticos descubrieron que el malware no estaba buscando información de cuentas para videojuegos, sino que estaba buscando robar credenciales de acceso telefónico. Hasta este momento, el troyano no solo incluía la funcionalidad de mensajería, si no que también podía capturar la pantalla de la víctima y ver a través de su cámara web.

Otro investigador de seguridad detalló el uso de cross-site scripting (XSS) para explotar el programa de caza de recompensas de seguridad de Google y así recibir 3,133.70 USD sin haber realizado algún trabajo legítimo. Apesar de que el truco solo funcionó temporalmente, todavía puede resultar una lectura interesante.



Fuente: The H Security 

0

El día que Stuxnet murió

Jesus Bourne
Muy dentro de los módulos de configuración de Stuxnet, cierta variable de 8 bytes contiene un número que, si se lee como una fecha, señala el 24 de junio de 2012. Esta es la fecha en que las subrutinas de replicación LNK de Stuxnet dejaron de funcionar, y cuando el gusano dejó de infectar memorias USB.



La variable específica que guarda el "momento de la muerte" se puede ver en la imagen de arriba - "00 c0 45 4c 9c 51 CD 01" que se traduce como 24 de junio de 2012 en el formato estándar de hora de Windows de 64 bits.

Actualmente, existen tres variantes conocidas de Stuxnet que fueron todas sembradas en oleadas en diferentes fechas. La primera variante conocida se sembró el 23 de junio de 2009 a las 4:40 am GMT. La próxima ola se llevó a cabo el 28 de junio y luego el 7 de julio.

Así, el 24 de junio de 2012, suman tres años después de la implementación inicial del gusano que se reproducía en organizaciones iraníes seleccionadas cuidadosamente.

Curiosamente, el 24 de junio tiene al menos otro significado importante en la historia Stuxnet / Duqu.

En la actualidad, hay tres generaciones de controladores conocidos de Duqu. Son del 3 de noviembre de 2011, 17 de octubre de 2011 y el más reciente del 23 de febrero de 2012. El conductor Duqu del 3 de noviembre de 2011 es interesante para nuestra historia. En la compensación 5190h (ver más abajo), hay un bloque de configuración cifrado.


El bloque de configuración se cifra con un cifrado de flujo simple. Así es como se ve el código de descifrado:


Una vez descifrado, se puede leer la configuración Duqu:


Uno debe tener en cuenta el valor 0xAE240682 (rectángulo rojo) en la imagen superior, junto con la clave de registro sosteniendo la ruta de acceso al cuerpo principal Duqu así como el nombre del controlador de dispositivo que se utiliza para las comunicaciones entre procesos.

El valor 0xAE240682 se puede dividir en 4 partes. 0xAE es una constante mágica utilizada en todo el cuerpo de Duqu y Stuxnet. Su significado es aún desconocido, pero parece ser una de las favoritas de los desarrolladores. El resto se puede leer como 24/06/82. Esto es, exactamente 30 años antes de la fecha de la “muerte” de  Stuxnet.

La fecha 24 de junio 1982 también es interesante. Es la historia del vuelo de British Airways 9, también conocido como el Speedbird 9 o el incidente de Yakarta. El 24 de junio de 1982, en la ciudad de Edimburgo, un avión Boeing 747-236B voló sobre una nube de cenizas volcánicas causada por la erupción del Monte Galunggung.

Alrededor de las 13:42 UTC, el motor número cuatro comezó a flamear. Pronto, el motor dos falló, entonces los motores uno y tres se incendiaron y apagaron dejando al avión "muerto en el aire".

Con el avión volando a 37,000 pies de altura, el equipo calculó que podían deslizarse unos 23 minutos, que no era suficiente para que pudiese regresar con seguridad y aterrizar en el aeropuerto. Ante la situación, el capitán Eric Moody hizo un anuncio histórico en forma rápida a los comandos internos:

"Damas y caballeros, les habla su capitán. Tenemos un pequeño problema. Los cuatro motores se han detenido. Estamos haciendo hasta lo imposible para conseguir que funcionen otra vez. Confío en que no caigan en demasiado estrés”.

Puede consultar la historia completa de BA009 aquí.

Por supuesto, nadie fuera del proyecto puede decir con certeza por qué Stuxnet ha dejado de propagarse exactamente 30 años a partir de este incidente, o por qué la fecha también está codificada en la subrutina de descifrado de Duqu. Adicional al 24 de junio, el exploit Stuxnet MS10-061 dejó de funcionar el 1 de junio de 2011.. Por otra parte, los controles del exploit MS08-067 caducan antes de enero de 2030.

Sin embargo, todos estos controles, probablemente indican que los atacantes estaban planeando tenerlo bastante actualizado para el 1 de junio de 2011 y retirarlo o reemplazarlo para el 24 de junio de 2012.

Con el descubrimiento y revelación de Flame en mayo de 2012, podemos esperar más ciberarmas que estarían en camino, o bien ya se han desplegado.

Fuente: SECURELIST 

0

Malware en archivos AutoCad podría ser inicio de ciberespionaje industrial

Jesus Bourne 12 de julio de 2012
Malware creado con el propósito de robar archivos de diseño hechos por arquitectos e ingenieros indica que hay probabilidad de intentos ciberespionaje industrial en proceso, dijo ESET, quienes descubrieron en este año malware que roba archivos de AutoCad.



El investigador de malware de ESET Pierre-Marc Bureau dice que la compañía capturó muestras de malware escrito en lenguaje de programación LISP, está “diseñado para robar información sensible, tal como planos” que son fabricados mediante AutoCAD, software de AutoDesk.

Aunque fue Perú donde ESET vio inicialmente estas muestras de malware, Bureau advierte que es un fenómeno global. Los análisis indican que los archivos robados son enviados a china.

Aunque ESET capturó muestras del malware de las computadoras atacadas  en febrero pasado, un pequeño registro en la en actividad observada alrededor del malware determinó a la firma a volver a realizar un análisis sobre la muestra. 

Se obtuvo conocimiento de que el malware estaba robando archivos y que eran enviados por correo a lo que parecía ser un proveedor de servicios en China. Boreau dice que ESET contactó al proveedor de servicios chino, Tencent, para cerrar el punto de entrega de los archivos robados y compartir información recopilada al respecto con AutoDesk. 

Los productos de antivirus que identifican el malware podrían también proteger en contra de las infecciones.

Las infecciones están ocurriendo a través de archivos comprometidos de AutoCAD, dice Bureau. “Si estás intercambiando documentos con otra compañía, te podrías infectar.”

 Además, argumenta que esto podría ser un caso de espionaje dirigido, tal vez un caso donde alguien quiere saber lo que un competidor está haciendo en una situación de licitación, sin embargo el malware no parece estar siendo esparcido.

Fuente: PCWorld 

0

Smart TVs vulnerables a ataques

El entretenimiento en el hogar se ha expandido más allá de la televisión tradicional. Los televisores modernos son similares a una computadora de escritorio; tienen procesador, memoria, disco duro y algún tipo de sistema operativo corriendo.


La mayoría de ellos ejecuta una versión simplificada de Linux, UNIX o Windows. El sistema operativo proporciona acceso a una red y otros servicios como los de decodificación de imagen/ vídeo/ audio. Algunos de los modelos más caros tienen implementaciones de navegadores web completos. 

Estos aparatos se encuentran ahora constantemente conectados a Internet y ofrecen una amplia gama de servicios en línea tales como videos, música, compras en línea, entre otros servicios. Todas estas conexiones utilizan protocolos de comunicación, que deben ser probados y revisados ??con el fin de que sean seguros. 

Codenomicon puso a prueba la fortaleza de seis conocidos fabricantes de Smart TVs. La mala noticia es que ninguno de ellos paso todas las pruebas en las que los protocolos de comunicación críticos fueron examinados.


"Fue decepcionante descubrir que muchos de los televisores de marcas de renombre fallaron con los protocolos de vídeo y DVB, siendo que  esas son las funcionalidades básicas de los televisores.

El potencial de las vulnerabilidades de estos dispositivos es relativamente alta, y los escenarios de amenaza aumentarán a medida que las televisiones inteligentes se vuelvan cada vez más populares en la mayoría de los hogares", comentó el especialista en seguridad Rikke Kuipers.

Codenomicon no revelará ningún detalle de las vulnerabilidades a fin de proteger a los usuarios de dichos dispositivos. El documento completo que incluye detalles está disponible aquí . 

Fuente: NetSecurity 

0

Instalaciones nucleares de Irán blanco de ciberataque masivo

Jesus Bourne 10 de julio de 2012

El ministerio de inteligencia de Irán acusó a EUA, Reino Unido e Israel de planear un “ciberataque masivo” contra su región después de hablar esta semana sobre la falta de acuerdos en relación a su programa nuclear, informó la televisión estatal iraní el jueves.

Heydar Moslehi, Ministro de Inteligencia, dijo que el ataque contra las instalaciones nucleares de Irán fue planeado después de que se rompieran las pláticas en Moscú destinadas a frenar el programa nuclear iraní.
No indicó cómo Irán había detectado el ataque o el origen de la información, pero dijo que el ataque fue planeado por  EUA y “el regimen Sionista”, así como el servicio de inteligencia británica MI6, de acuerdo con la Press TV estatal de Irán.

“Ellos aún buscan llevar a cabo el plan, pero ya hemos tomado las medidas necesarias”, dijo Moslehi, de acuerdo con el reporte.

El New York Times reportó con anterioridad que el presidente Barack Obama ordenó los ataques contra las computadoras de las instalaciones nucleares de Irán, acelerando el plan que comenzó antes de llegar a las oficinas. Lo que llevó al desarrollo del mal afamado virus Stuxnet, el cual tuviera como objetivo la planta iraní de Natanz, de acuerdo con el Times.

Press TV también citó el reporte del Washington Post que indica que EUA e Israel cooperaron en un nuevo virus, el llamado Flame, para atacar el programa nuclear de Irán.

Reuters, que fue de los primeros en recabar el informe de Press TV, dijo que no estaba claro si las observaciones de Moslehi se referían a Flame o a un nuevo ataque.



Fuente: TechWorld 

0

Cisco cierra huecos de seguridad en cliente VPN y dispositivos de seguridad

Jesus Bourne 8 de julio de 2012

El fabricante de equipos de redes, Cisco, advierte a los consumidores de varias vulnerabilidades en la próxima generación de su cliente VPN que puede ser explotado por algún atacante para inyectar y ejecutar código malicioso.

Los productos afectados incluyen el AnyConnect Secure Mobility Client así como Cisco Secure Desktop HostScan para Windows, Mac OS X y Linux. Los detalles sobre esto, incluyendo las versiones vulnerables, soluciones e información sobre parches está disponible con diversas consultorías de seguridad.

En un comunicado independiente, Cisco afirma que tiene detectada una vulnerabilidad de negación de servicio (DoS) en su ASA 5500 Series Adaptive Security Appliances (ASA) y Catalyst 6500 Series ASA Services Module (ASASM) que pudo haber permitido a un atacante remoto no autenticado lanzar un reinicio en un dispositivo afectado.

Además la compañía ha cerrado un hueco de seguridad en su software Cisco Application Control Engine (ACE): cuando funciona en modo multicontext, los usuarios podrían haber pasado inadvertidos autenticados dentro de una sesión como administrador, permitiéndoles ver y cambiar las configuraciones.


Fuente: H Security 


0

Aumenta el riesgo de ataques en falla de XML Core Services de Microsoft sin parchar

Jesus Bourne

Una vulnerabilidad sin parchar en el XML Core Services de Microsoft (MSXML) está siendo explotada en ataques que se propagan desde sitios comprometidos para infectar computadoras con malware, según investigadores de seguridad del distribuidor Sophos.

Uno de estos ataques fue encontrado el miércoles en el sitio web de un proveedor europeo de partes aeronáuticas que había sido comprometido, mencionó en un blog Graham Cluley, consultor de tecnología en Sophos. Un ataque similar fue detectado el fin de semana en un sitio comprometido de una compañía médica europea, mencionó.

Ambos sitios tienen un robusto código malicioso inyectado, que permite la carga de un exploit para la vulnerabilidad CVE-2012-1889 MSXML, cuando se accede a Internet Explorer.

“Un hacker que se las arregla para plantar código malicioso en un sitio web, por ejemplo, de una compañía proveedora de partes aeronáuticas, puede razonablemente predecir que personal de organizaciones importantes, como una manufacturera de armas o el ministerio de defensa, tendrían razones para acceder al sitio”, dijo Cluley.

Se cree que la vulnerabilidad MSXML ha estado siendo explotada en ataques patrocinados por el gobierno en contra de usuarios de Gmail a principios de este mes. Microsoft publicó el 12 de junio un aviso de seguridad relacionado con la falla y aconsejó a los clientes aplicar una de las varias soluciones temporales propuestas hasta que un parche de seguridad definitivo sea publicado.

El código de explotación, que funciona en todas las versiones de Internet Explorer en Windows XP, Vista y 7, ha sido agregado al marco de pruebas de penetración Metasploit.

“Esperamos que esta vulnerabilidad no se convierta en algo más peligroso, ya que no existe un parche y es muy sencillo dispararlo”, dijeron los desarrolladores de Metasploit el lunes en un blog.

A pesar de que el parche no está disponible, Microsoft ha publicado una solución “fix it” que previene la explotación de esta vulnerabilidad en Internet Explorer. “Sugerimos que considere esta solución temporal por ahora”, publicó el martes en un blog Paul Baccas, investigador de amenazas de Sophos.



Fuentes: PC Advisor 

0

Virus DNSCHANGER: El proximo 9 de julio se apagaran los servidores que necesitan para navegar los ordenadores infectados

Jesus Bourne 7 de julio de 2012

El pasado mes de febrero os informábamos desde este blog acerca del virus DNSChanger, diseñado para redirigir ordenadores infectados a páginas maliciosas controladas por un atacante sin el conocimiento de los usuarios ni su consentimiento.

Para ello, este virus manipula la configuración DNS del equipo infectado, que si no se restablece antes del 9 de julio, no permitirá el acceso a Internet.

Y es que después de la investigación que el FBI ha llevado a cabo, han decidido -tras varios aplazamientos de fechas- apagar los servidores que necesitan los ordenadores afectados para navegar y acabar, de esta manera, con el riesgo que supone que se sigan visitando páginas maliciosas.Recordemos que este virus afecta por igual a ordenadores Windows,Mac y Linux.

Por eso es muy importante comprobar, antes de esa fecha, si nuestro equipo ha sido afectado, y en caso positivo, solucionarlo.

Comprobar si mi equipo está infectado

Comprobar si tu equipo ha sido infectado o no es sumamente sencillo y solo te llevará unos segundos, ya que la Asociación de la industria de Internet alemana en cooperación con la Oficina de Seguridad del Internauta (OSI) y el Centro de Respuesta a Incidentes de Seguridad TIC (INTECO-CERT), servicios prestados por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han puesto a disposición de todos los usuarios una herramienta gratuita y sencilla que ejecuta este análisis y dictamina si estás infectado o no: http://www.dns-changer.eu./



En el caso de que tu equipo esté infectado, es necesario que lo soluciones antes del próximo 9 de julio, ya que si no lo haces antes, llegada dicha fecha no podrás navegar. 

Lo primero es que instales un buen antivirus (si no lo tienes) o que hagas un análisis en profundidad de tu equipo. 

Y aunque analices tu ordenador con un antivirus, hay cosas adicionales que hacer. Las instrucciones nos las proporciona OSI y son las siguientes:
  • Desinfección para equipos con Windows
  • Desinfección para equipos con Mac
  • Desinfección para equipos con Linux
Si además el equipo se encuentra conectado a un router y este utiliza las credenciales por defecto, también deberías comprobar la configuración DNS de dicho dispositivo.

El servicio DNS es el encargado de traducir un nombre de dominio en una dirección IP, por lo que si esta traducción es manipulada, cuando el usuario introduce una página web en su navegador o accede a cualquier servicio a través de su nombre de dominio, en realidad puede acceder a cualquier página o servicio no legítimo proporcionado por el atacante.

Fuentes:Ontinet.com







0

El análisis virtualizado ignora a un tercio del malware

Jesus Bourne 6 de julio de 2012

En temas relacionados con la seguridad, se debe dejar de asumir que es posible evitar que el malware entre a una red, dicen los expertos.

Aproximadamente un tercio del malware analizado en ambientes virtuales es capaz de eludir su detección, dice un experto en seguridad.

Las compañías de seguridad venden equipos con ambientes virtualizados para ejecutar y analizar el comportamiento de aplicaciones sospechosas, con el objetivo de identificar malware, determinar cómo entra a una red, y luego corregir las vulnerabilidades encontradas.

Esta tecnología ha sido utilizada a lo largo de los últimos años, sin embargo, los cibercriminales han encontrado maneras de hacer que su malware parezca inofensivo en tales ambientes.

"En general, existen tantas maneras en que el malware puede ocultar que se encuentra dentro de un entorno virtual, que es prácticamente imposible esconder completamente este hecho", indicó el martes Gunter Ollmann, vicepresidente de investigación en la compañía de análisis de malware Damballa. 

Los clientes de Damballa incluyen empresas de telecomunicación, proveedores de servicio de internet y compañías multinacionales.

Por supuesto, la cara opuesta es que los sistemas de detección localizan actualmente dos tercios de las aplicaciones maliciosas que entran a una organización mediante archivos adjuntos en el correo electrónico, dispositivos USB o sitios web. 

Sin embargo, es importante enfatizar la sofisticación del malware desarrollado por los cibercriminales actualmente, que exige un esquema de capas de seguridad. Los sistemas antivirus pueden atrapar malware conocido sin ayuda externa, pero las nuevas aplicaciones se mantendrán sin detectar porque no contienen las secuencias de código que los antivirus conocen - las famosas "firmas".

Los intrusos tienen a su disposición múltiples técnicas de evasión contra tecnologías antivirus. Estas incluyen cifrar o comprimir el código malicioso, de manera que deba ser desempaquetado antes de poder verificarse, un paso adicional que normalmente no realiza el software antivirus.

En los círculos frecuentados por los intrusos informáticos, existen servicios que los cibercriminales utilizan para verificar miles de piezas de malware contra todo el software antivirus disponible en un mismo paso, para determinar qué malware es indetectable. Algunos servicios incluso ofrecen "corregir" el malware que sí fue detectado.

"Estas herramientas, utilizadas por 'los malos' para asegurarse de que su malware es indetectable y que se instalará exitosamente en cualquier ambiente, siempre han sido más avanzadas que las tecnologías antivirus," dijo Ollman.

El último ejemplo de los avances en el malware es la aplicación de ciberespionaje Flame, descubierta el mes pasado. Los creadores obtuvieron un certificado digital que les permitió firmar su código como si viniera de Microsoft, para evadir la detección de sus ataques a gobiernos del medio oriente.

Para combatir malware muy avanzado, en temas relacionados con la seguridad, se debe dejar de asumir que es posible evitar que el malware entre a una red. "Se está dando un cambio de paradigma," dijo Ollman. 

"Las organizaciones necesitan hacer todo lo posible para prevenir que el malware se infiltre en sus organizaciones; sin embargo, deben ahora trabajar bajo la suposición de que eventualmente entrará malware de manera exitosa, sin importar las defensas que hayan puesto."

Por lo tanto, la única respuesta hasta el momento, es actualizar las tecnologías de seguridad de manera regular, y tener sistemas que prevengan el ingreso de malware a la organización como también sistemas que alerten si alguna aplicación ha pasado los filtros. Los ejemplos de esta última incluyen aquellos que pueden detectar cuando el malware se comunica con sistemas de control remoto (command and control).

"Mientras menos tiempo tengan disponible los atacantes dentro de tu red, menos información perderás, y menos vergonzoso será el incidente para la organización," comentó Ollman.



Fuente: InfoWorld 

0

Google detecta 9,500 sitios maliciosos diariamente

Jesus Bourne

Cinco años después de que se introdujo, el programa de navegación segura Google Safe Browsing, continúa proporcionando un servicio invaluable a los 600 millones de usuarios de Chrome, Firefox y Safari, así como a todos aquellos que utilizan el motor de búsqueda de Google para encontrar contenido.

De acuerdo a Niels Provos, miembro del grupo de seguridad de Google, el producto detecta aproximadamente 9,500 sitios web maliciosos diariamente y da millones de advertencias al día sobre sitios con contenido maligno.

"Aproximadamente entre 12 y 14 millones de búsquedas diarias muestran nuestra advertencia a los usuarios antes de ser dirigidos a sitios comprometidos. Una vez que el sitio ha sido arreglado la advertencia es removida". Además indicó que se dan más de 300 mil advertencias de malware diarias gracias al servicio de protección implementado en Google Chrome.

Creadores de páginas web, Proveedores de Internet y los mismos CERTS (Equipos de Respuesta a Incidentes de Cómputo) son beneficiados con este programa y reciben advertencias si se suscriben al servicio de alertas.

"Al proteger a los usuarios de internet, creadores de páginas web, proveedores de Internet y a Google, hemos adquirido conocimiento sobre los ataques de malware y phishing que se basan en páginas web. Aunque estas amenazas están en constante evolución, nuestros productos y tecnologías también lo están", mencionó.

Las páginas de phishing se han convertido en ataques muy especializados que buscan afectar a un grupo de usuarios muy específico, permanecen en línea por menos tiempo del que antes solían estar y suelen ser sitios que también propagan malware. El número de sitios de éste tipo incrementa mes con mes.

Los sitios web que contienen malware son comunmente sitios legítimos que han sido comprometidos y que redirigen a los usuarios a otros sitios para atacarlos, sin embargo, los creados únicamente para distribuir malware han aumentado también. En general, el número total de sitios comprometidos presenta una tendencia a la baja.

"Ya que las compañías han diseñado navegadores y plugins más seguros con el paso del tiempo, los generadores de malware han hecho mano de ingeniería social, estrategia que permite que los usuarios instalen malware sin la necesidad de encontrar vulnerabilidades en el software", dijo Provos.

"Mientras veamos que los ataques de ingeniería social siguen atrás de ligas de descarga tan frecuentemente, sabremos que es una categoría de rápido crecimiento en la que debemos aumentar la seguridad."

El especialista concluyó mencionando que aunque Google está haciendo su mejor esfuerzo para proteger a sus usuarios y clientes, ellos mismos pueden protegerse si leen las advertencias que el navegador muestra acerca de los sitios sospechosos, también pueden etiquetar sitios web maliciosos que encuentren y con la opción de incluir sus sitios web en el programa Google Webmaster Tools para recibir avisos si sus sitios son comprometidos.


Fuente: NetSecurity 

0

Intercambio de archivos en línea supone grandes riesgos

Jesus Bourne

De acuerdo con Symantec, las PYMES se encuentran más en riesgo que nunca debido al aumento del intercambio de archivos en línea como una práctica común en los negocios.

Un nuevo estudio revela que los trabajadores de PYMES adoptan cada vez más servicios no administrados o para uso personal de soluciones de intercambio de archivos sin el permiso de TI, una amplia tendencia de los consumidores de TI en el que la adopción de servicios en línea para el uso de dispositivos móviles personales desvanece las líneas entre trabajar y jugar.

Estos nuevos comportamientos, como los que impulsa el uso de la tecnología en el intercambio de archivos, están haciendo vulnerable la seguridad de las organizaciones a la pérdida potencial de datos.

“El 71 porciento de las pequeñas empresas que sufrieron ataques cibernéticos nunca se recuperaron, fue fatal”, dijo Rowan Trollope, presidente del grupo PYMES y .cloud de Symantec.  “A medida que el tiempo avanza, se adoptan tecnologías de la nube, como el uso compartido de archivos, las PYMES necesitan el uso de mejores prácticas seguras, especialmente cuando se utiliza una solución que puede no haber sido construida para empresas.

Mientras empleados adopten cada vez más servicios de nube de nivel casero en el trabajo, el riesgo para las PYMES aumenta”.  

Las partes interesadas en cuanto a PYMES reconocen que el intercambio de archivos ayuda a impulsar la productividad entre los empleados. 74 por ciento de los encuestados mencionaron que adoptaron el intercambio de archivos en línea para reforzar su propia productividad.

Además, el 61 por ciento de los encuestados informaron a los empleados tienden a ser demasiado influyentes a la hora de adoptar soluciones de intercambio de archivos internos, a la par con el uso de dispositivos móviles (63 por ciento), PC / laptops / uso de tabletas (64 porciento) y el uso de medios sociales (53 por ciento).

Muchos de los encuestados reconocieron los riesgos potenciales que las malas prácticas de intercambio de archivos pueden traer a sus organizaciones.

Entre los encuestados, los riesgos citados como posibles problemas incluyen el intercambio de información confidencial usando soluciones aprobadas (44 por ciento), malware (44 por ciento), pérdida de información confidencial o personal (43 por ciento), violación a la información confidencial (41 por ciento), daño a la reputación (37 por ciento), y la violación de normas de regulación (34 por ciento).

Por otra parte, la falta de cumplimiento de las políticas también aumenta los riesgos para muchos de los encuestados en más de una quinta parte, 22 por ciento de los encuestados no han implementado políticas que restringan cómo los empleados pueden acceder y compartir archivos.

El comportamiento de los empleados en el intercambio de archivos indican un mayor potencial de riesgo para la seguridad.

Cuando se les preguntó lo que los empleados pueden hacer cuando tienen que compartir un archivo de gran tamaño, los encuestados indicaron que piden ayuda a profesionales de TI (51 por ciento), utilizar una solución sugerida por un cliente, contratista o colega (42 por ciento), utilizar algún sistema de TI (33 por ciento), o buscar en línea y descargar una solución gratuita (27 por ciento).

Por otra parte, el 41 por ciento indicó que el daño a la reputación de la marca era una preocupación cuando se trata de intercambio de archivos.

Muchos de los archivos que se comparten interna y externamente están aumentando significativamente en tamaño. Uno de cada siete (14 por ciento) de los encuestados informó que el tamaño en general de los archivos compartidos en la actualidad por su organización es de más de 1 GB, mientras que hace tres años, sólo el 6 por ciento reportó que el tamaño promedio de los archivos era de 1 GB.

Los encuestados indicaron que el número de empleados que trabajan de forma remota y/o desde casa ha aumentado gradualmente en los últimos tres años, y se prevé un aumento.

Los resultados de la encuensta predicen que dentro de un año un 37 por ciento de las organizaciones de PYMES podrían tener empleados trabajando de forma remota (hasta un 22 por ciento de hace tres años y 32 por ciento en la actualidad), y el 32 por ciento va a tener empleados que trabajen desde casa (hasta un 20 por ciento de hace tres años, y 28 por ciento en la actualidad).



Fuente: Help Net Security 

0

Se identifica a EUA e Israel como autores de Flame

Jesus Bourne 4 de julio de 2012

Estados Unidos e Israel han sido identificados como creadores del sofisticado malware Flame, que fue encontrado en la mayoría de los casos atacando sistemas computacionales Iraníes, según los reportes.

El Washington Post afirmó que fuentes con conocimiento de dicha obra dijeron que la Agencia Nacional de Seguridad (NSA), la CIA y la milicia israelí estuvieron involucrados en la creación del malware que fue descubierto por primara vez en mayo. 

El Post también informó que un oficial de alto rango de la inteligencia de EUA reveló que los esfuerzos en contra de los sistemas informáticos de Irán aún siguen en marcha.

"Se trata de preparar el campo de batalla para otro tipo de acción encubierta. La ciber recolección en contra del programa de Irán tiene mucho más alcance de lo que podemos ver" se citó al oficial mientras hablaba.

Como era de esperarse la CIA, la NSA y la Ofinica de la DNI (Director of National Intellingence), así como la embajada de Israel en Whashington, negaron los comentarios sobre las denuncias que publicó el diario Washington Post.

Sin embargo, existen revelaciones de reportes anteriores, en las que el presidente Obama había apoyado la creación y lanzamiento de Stuxnet en contra de Irán, en un intento de paralizar sus planes de desarrollo nuclear.

Los informes recientes mostraron que tanto Flame como Stuxnet tienen componentes de código similares, lo que hace suponer que hay cierta relación entre los dos proyectos, una vez más se sustenta la credibilidad de las fuentes.


Fuentes: v3-uk 
0

Detenidos todos los integrantes de la red Carberp

Jesus Bourne

El siguiente artículo es una traducción y adaptación de la publicación All Carberp botnet organizers arrested realizada echa por un investigador de nombre Aleksandr Matrosov.

Hemos estado vigilando la actividad del grupo de cibercriminales Carberp durante tres años. Este seguimiento empezó en 2009 con las primeras muestras del malware Carberp propagándose activamente. A principios de 2010, la segunda oleada de actividad de Carberp sobrepasó la de otras familias de malware (Win32/Spy.Shiz, Win32/Hodprot) en Rusia.

Resumimos la primera fase de nuestra investigación en la presentación “Cybercrime in Russia: Trends and issues” en el evento CARO 2011. Este año hemos resumido los resultados de las investigaciones realizadas a posteriori en la presentación “Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon” en el evento CARO 2012.

Durante este periodo tres grupos diferentes de cibercriminales trabajaron con Carberp. El primer grupo empezó en 2009 y el organizador de este grupo tuvo una relación directa con el desarrollador principal de Carberp.

Este grupo comenzó usando software legítimo de control remoto para poder robar dinero manualmente cuando una máquina se encontraba conectada (Sheldor-Shocked). En 2010 las fuentes de Carberp se vendieron al segundo grupo y trabajaron en paralelo.


A principios del verano de 2011, la mayor botnet Carberp de todos los tiempos fue iniciada por los organizadores de la botnet Hodprot (Hodprot: Hot to Bot). A finales de octubre de 2011 vimos las primeras detecciones de variantes del descargador de Carberp que incluía un bootkit (Evolution of Win32/Carberp: going deeper). Esta botnet tenía el nombre en clave “Origami” y su panel de administración lucía así:




Este grupo usó plugins específicos para atacar los sistemas bancarios más importantes de Rusia y realizó experimentos con phishing en redes sociales populares (Facebook Fakebook: New Trends in Carberp Activity).

A finales de 2011 empezó una campaña de infecciones masivas de sitios legítimos con redirecciones al kit de exploits BlackHole (Carberp + BlackHole = growing fraud incidents, Blackhole, CVE-2012-0507 and Carberp). En abril de 2012 se abandonó BlackHole por la versión más reciente del Nuclear Pack usando una inteligente técnica de redirección (Exploit Kit plays with smart redirection).

Durante todo el periodo el primer grupo usó Win32/Sheldor para robar dinero manualmente y en 2011 Sheldor evolucionó a Win32/RDPdoor (basado en el software legítimo ThinSoft BeTwin). 

La última versión de Win32/RDPdoor tiene una funcionalidad que detecta una smartcard y permite la explotación remota de estas de forma transparente para  instalar la aplicación FabulaTech USB para permitir el acceso por Escritorio Remoto (Smartcard vulnerabilities in modern banking malware). El panel de administración de la última versión de Win32/RDPdoor es así:



Ahora, los organizadores de los tres grupos ya han sido arrestados en Rusia. Las noticias del primer arresto fueron publicadas en marzo de 2012 (Members of the largest criminal group engaged in online banking fraud are detained). Uno de los organizadores del segundo grupo fue arrestado a principios de junio de 2012 (Group-IB aided Russian law enforcement agents in arresting yet another cybercriminal group).

A finales de junio, el organizador de la botnet “Origami/Hodprot” también fue arrestado (One of the largest banking botnets has been disabled).

Las estadísticas de las detecciones de Win32/RDPdoor son las siguientes:

Datos de la nube Live Grid

Las estadísticas de las detecciones de Carberp son las siguientes:

Datos de la nube Live Grid

Datos de la nube Live Grid

Todos los organizadores de la botnet Carberp han sido arrestados, pero nuestras estadísticas no están reflejando un descenso importante en las detecciones. La región de Rusia lidera las detecciones de Carberp y tras los arrestos mostró un ligero descenso.

En el gráfico por tiempo podemos ver una bajada en las infecciones tras cada arresto, como por ejemplo en la información del mes de junio. Pero a finales de junio, un organizador de la botnet Carberp más grande, “Origami/Hodprot” (con millones de bots activos al mismo tiempo) fue arrestado. 

Es un caso único, entre todos los delincuentes que organizaron botnets realmente grandes y obtuvieron grandes beneficios (millones de dólares), el que fuera arrestado.

Agradecimientos especiales a mis compañeros del Grupo-IB, Dmitry Volkov and Ilya Sachkov, quienes se encargaron de la mayor parte de la investigación en el caso Carberp.

Fuentes: Ontinet.com - Josep Albors













0

Falla crítica en Internet Explorer, código de ataque publicado

Jesus Bourne 2 de julio de 2012

Microsoft confirmó que la falla está siendo usada en “ataques limitados”, sin embargo la compañía no ha actualizado (aún) su boletín MS12-037 para dejar claro que el código público del exploit está ampliamente disponible.

La semana pasada, cuando Microsoft lanzó la actualización crítica de Internet Explorer, la empresa emitió una advertencia de que el código funcional podría ser liberado dentro de 30 días.

Menos de una semana después, un exploit de una de la falla "crítica" del navegador se ha instalado en la herramienta de ataque de distribución gratuita Metasploit, las muestras han sido liberadas a Contagio, un blog que da seguimiento en directo los ataques de malware.

La adición del exploit en Metasploit significa que los ciber-delincuentes tienen ahora acceso a copiar el código de ataque para su uso en el kit de explotación y otros ataques de malware de comunicación.

La vulnerabilidad (CVE-2012-1875) es un defecto de ejecución remota de código en la forma en que Internet Explorer obtiene acceso a un objeto que ha sido borrado.

La vulnerabilidad puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.

Microsoft ha confirmado que este error está siendo utilizado en "ataques limitados", pero la compañía no ha actualizado (todavía) su boletín MS12-037 para aclarar que el código público del exploit está ahora ampliamente disponible.

Según McAfee, los ataques comenzaron cerca del primero de junio 2012:

El exploit funciona en las principales plataformas de Windows, incluyendo Windows Vista y Windows 7. Aprovecha la programación orientada al retorno (ROP), la tecnología de la explotación de derivación con ejecución de datos (DEP) y las protecciones aleatorias del espacio de direcciones de diseño (ASLR), y el gancho de salto de las técnicas de evasión para evadir las detecciones basadas en host IPS. 

Se requiere del sistema de la víctima para ejecutar una vieja máquina virtual de Java que viene con una versión non-ASLR de msvcr71.dll. Si Java no está instalado o no existe una versión non-ASLR de msvcr71.dll en el sistema, el exploit no tendrá oportunidad, a pesar de que hará que Internet Explorer deje de funcionar.

En Windows XP, la vulnerabilidad puede ser explotada de forma fiable sin ningún componente de terceros. Encontramos que el exploit trató de descargar y ejecutar un binario desde un servidor remoto.

El servidor fue hospedado por Yahoo y fue retirado el mismo día que Microsoft informó acerca de este hecho.

Los investigadores de AlienVault Labs reportan el descubrimiento de "varios servidores de hosting de versiones similares del exploit." También dijo que el exploit es compatible con una amplia gama de idiomas y versiones de Windows (desde Windows XP hasta Windows 7) y parece ser muy confiable.

Es importante señalar que esta vulnerabilidad es completamente diferente de la vulnerabilidad de IE sin parchar ligada a la de "los atacantes de algún Estado" que participan en los ataques actuales contra GMail y usuarios de Windows.

La siguiente video muestra el exploit en acción de Metasploit:




Fuentes: ZDnet

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT