domingo, noviembre 17, 2019
Inicio Blog

Nodersok: el nuevo virus que amenaza a tu Computadora

0

Esta nueva “cepa” de virus ha infectado ya a miles de ordenadores en el mundo, y no ha sido detectado todavía por ningún antivirus. La clave radica en que es un tipo de malware que no utiliza archivos, además de que utiliza herramientas legítimas del sistema y otras herramientas de terceros para extender su funcionalidad en el sistema en lugar de usar código malicioso.

El malware, bautizado como Nodersok y Divergent, se distribuye a través de anuncios online e infecta ordenadores para convertirlos en proxies para esconder tráfico malicioso y usarlo para hacer clicks en anuncios para generar dinero sin que el usuario se dé cuenta.

El proceso de infección arranca cuando un anuncio malicioso descarga una aplicación HTML (HTA) en le ordenador, y una vez se hace click en él, ejecuta una serie de JavaScripts y scripts de PowerShell maliciosos para descargar a instalar el malware más potente (Nodersok en este caso).

A través de los scripts de PowerShell, el malware intenta desactivar Windows Defender y Windows Update, mientras que mediante shellcode binario intenta escalar privilegios. Para ejecutarse de manera segura con el “permiso” del sistema, se aprovecha de la implementación de Windows del framework Node.js, que es fiable para el sistema y tiene certificado de confianza. Gracias a ello, el malware puede ejecutarse en un entorno de confianza como si fuera un proceso seguro. Por último, otro de los elementos del malware es WinDivert, que captura paquetes de red para filtrar y modificar determinados paquetes que salgan del PC.

Una vez ha completado ese proceso, el malware suelta la carga JavaScript final para el framework Node.js que convierte el ordenador en un proxy, de tal manera que un atacante puede usar el ordenador como un punto de acceso a webs o servidores de control para realizar operaciones maliciosas de manera oculta. Básicamente, convierte tu ordenador en un VPN que va a ser usado con fines espurios.

Microsoft dice que Windows Defender puede detectarlo, pero el malware lo desactivaba

Según dice Microsoft, ahora mismo el malware está siendo usado para conectar un ordenador a un servidor de control y recibir solicitudes HTTP desde ese servidor. Cisco, por su parte, ha detectado que se está usando para navegar por páginas web arbitrarias para monetización, además de fraude haciendo clicks falsos de anuncios.

Todas las funciones importantes del malware se ejecutan a través de elementos cifrados, que sólo se descifran para ser ejecutados desde la memoria RAM, de manera que nunca llegan a tocar ni siquiera un disco duro o un SSD. Actualmente la mayoría de usuarios afectados se encuentran en Estados Unidos y Europa (España apenas se ha visto afectada), atacando sobre todo a ordenadores personales; aunque hay un 3% de dispositivos afectados dentro de empresas.

Microsoft, por su parte, afirma que Windows Defender es capaz de detectar la ejecución de scripts como las que usa este malware, aunque no explica cómo ha podido infectar entonces a miles de ordenadores sin ser visto. Una campaña parecida en el mes de julio bajo el nombre de Astaroth buscaba robar datos personales de usuarios.

Crean una bomba ZIP de 46 MB que se expande a 4,5 Petabytes, inutilizando cualquier Computadora

0

Existen muchos tipos de malware, y no es necesario infectar o robar datos para resultar peligroso. Es el caso de las bombas ZIP, ficheros comprimidos con sofisticadas técnicas que al descomprimirlos crecen millones de veces su tamaño. El investigador David Fifield ha creado la bomba ZIP más potente del mundo: un fichero de 46 MB se convierte en otro de 4,5 Petabytes.

Un Petabyte son 1000 Terabytes. Teniendo en cuenta que un disco duro estándar hoy en día ocupa unos 2 TB, estamos hablando de una bomba ZIP que solo pesa 46 MB, pero cuando se descomprime ocupa el equivalente a más de 2.200 discos duros, ocasionando todo tipo de problemas. Desde bloquear el ordenador por saturación a impedir que arranque, provocar errores por temperatura, etc.

Lo más interesante, a nivel técnico, es que esta bomba ZIP no utiliza la recursividad para expandirse miles de veces su tamaño, sino una técnica diferente que consiste en superponer ficheros unos encima de otros. Por eso es más difícil de detectar por los antivirus.

Nueva herramienta de espionaje puede monitorear sus actividades en Facebook, Google, Amazon, Apple Cloud, Twitter, etc

0

NSO Group está vendiendo un nuevo Pegasus, una versión actualizada del popular software espía con la capacidad de robar datos personales de los clientes de los servicios en nube de Apple, Google, Microsoft o Amazon, asegura Financial Times.

Si nos sigues habitualmente ya conoces a NSO Group. Valorada en 1.000 millones de dólares, es una empresa israelita especializada en el desarrollo de «soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia». La firma ha sido cuestionada durante años por grupos de derechos humanos como Amnistía Internacional al vender sus soluciones a dictaduras que las utilizan contra disidentes políticos y como medio de censura.

Otro gran problema viene de su alcance masivo más allá de su objetivo inicial. Aunque NSO asegura que «bajo ninguna circunstancia utiliza su tecnología para espiar a personas u organizaciones, ya que ésta solo es operada por agencias de inteligencia y de aplicación de la ley», no es infrecuente que estas soluciones (de las más avanzadas del planeta para espionaje informático), con su software estrella  Pegasus al frente, terminen causando estragos en Internet para millones de ciudadanos y empresas que nada tienen que ver con el terrorismo y la delincuencia.

El nuevo Pegasus referido por el Financial Times tiene el objetivo de acceder a los servidores en nube como el iCloud de Apple, Google Drive, AWS de Amazon o el OneDrive de Microsoft. El software espía copiaría las claves de autenticación de estos servicios desde un dispositivo específico y luego las utilizaría desde un servidor independiente para hacerse pasar por ellos y acceder a los datos. 

Este software espía incluso se ocupa de falsear la ubicación, porque algunos servicios le pedirán que vuelva a iniciar sesión cuando lo use desde una ubicación diferente. Con la ayuda de las claves de autenticación, este spyware puede acceder a cualquier dato que los clientes tengan almacenados en la nube. De acuerdo con la información, el nuevo Pegasus se puede instalar en centenares de millones de dispositivos, incluidos teléfonos inteligentes bajo Android e iOS.

No se conoce la vulnerabilidad explotada y la manera que el software es capaz de obtener las claves de autenticación. Google, Microsoft, Facebook y Apple han respondido al artículo de FT con respuestas estándar de relaciones públicas. Es de esperar que estén revisando la cuestión internamente y publiquen soluciones.

Cómo combatir el software espía en tus dispositivos y evitar que te espíen o roben información

0

Cuando navegamos por la red podemos toparnos con muchas amenazas que comprometan nuestra seguridad. Muchos tipos de malware que de formas muy diversas pueden llegar a nuestros dispositivos. En este artículo vamos a centrarnos en el Spyware. Es un tipo de amenazas que en los últimos tiempos ha estado muy presente especialmente en dispositivos móviles. Vamos a explicar en qué consiste y, especialmente, cómo podemos evitar ser víctimas y proteger así nuestros equipos.

Qué es el Spyware y cómo actúa

Básicamente el Spyware es un tipo de amenaza informática que tiene como objetivo robar datos de los usuarios y espiar el uso que dan a los dispositivos. Es un software diseñado de forma maliciosa con la capacidad de introducirse en nuestros dispositivos de muchas formas y a partir de ahí ejecutar código malicioso.

El Spyware puede llegar y actuar de diferentes formas. Un ejemplo es el adware. Como sabemos son anuncios publicitarios abusivos y que pueden representar una amenaza para nuestra seguridad y privacidad. A veces lo instalamos por error junto a algún programa. Otras veces llega al navegar y agrega automáticamente barras y complementos al navegador.

También puede llegar en forma de troyanos que se instalan cuando agregamos software. Generalmente llega al descargar programas de sitios no oficiales y que han podido ser modificados de forma maliciosa. Pueden ocultarse también como una falsa actualización o programa para solventar un determinado error.

Estos troyanos suelen estar configurados para robar datos de nuestras tarjetas bancarias, contraseñas e información sensible que pueda ser utilizada para malos fines.

Además hay que mencionar el tipo de Spyware que tiene como objetivo monitorizar nuestro uso. De esta forma podría saber qué correos electrónicos mandamos, qué páginas visitamos, productos que consultamos en Internet, programas de mensajería… Una forma más de espiar todo el uso que hacemos en nuestro móvil y ordenador.

Cómo evitar el Spyware en nuestros dispositivos

Lo mejor sin duda es el sentido común. Hemos visto que muchos tipos de Spyware pueden llegar al descargar software malicioso de sitios de terceros. Es importante tener esto presente y siempre que vayamos a descargar cualquier programa lo hagamos desde sitios y tiendas oficiales. No importa el tipo de dispositivo que estemos utilizando.

También es vital por supuesto contar con programas y herramientas de seguridad. Es una forma estupenda de prevenir la entrada de malware y problemas que comprometan nuestra privacidad. Sin embargo no hay que confiar todo a un antivirus. Es conveniente que sea simplemente un complemento más para nuestra seguridad.

De la misma manera es importante tener siempre las últimas versiones instaladas. Con esto nos referimos a contar con actualizaciones de sistema, así como también de las aplicaciones que tengamos instaladas. A veces surgen vulnerabilidades que son aprovechadas por los ciberdelincuentes para delinquir. Es importante que tengamos siempre las últimas versiones para corregir posibles fallos.

Por otra parte, el e-mail es un medio muy utilizado por los ciberdelincuentes para el envío de Spyware y otras amenazas. Hay que tener mucho ojo con los archivos adjuntos y links que abrimos a través de este medio.

Hay que evitar también navegar por páginas inseguras o que inspiren confianza. Además mucha atención a las redes sociales, otro medio por el cual podrían promover amenazas de este tipo.

Crecen en América Latina el robo de dinero usando la tarjeta SIM «Ataques de SIM swap»

0

Recientemente se han reportado en todo el mundo miles de testimonios similares al siguiente: La señal del smartphone de un usuario falla súbitamente y, al tratar de reiniciarlo, el dispositivo no presenta respuesta alguna.

La respuesta que recibe la mayoría de las personas por parte de la compañía de teléfonos es que el usuario ha solicitado una copia de su tarjeta SIM en otra ciudad. “Después de hablar con la compañía telefónica revisé mi cuenta bancaria sólo para descubrir que había sido bloqueada. Al hablar con el banco me confirmaron que la cuenta estaba congelada debido a la detección de actividad inusual; perdí mis ahorros y alguien solicitó un crédito de 50 mil dólares usando mi nombre”, relata una víctima de fraude que permanecerá anónima. 

“Se trata de una variante de fraude llamada ‘SIM swap’. “Aunque no existe una cifra exacta sobre el número de casos similares que se presentan cada año, podemos afirmar que la cifra ha aumentado considerablemente”.

Los expertos mencionan que los hackers tratan de acceder a los detalles de las cuentas bancarias de la víctima. Los criminales requieren de una copia de la tarjeta SIM  de la víctima para romper la autenticación de dos factores, empleada por múltiples servicios de banca móvil, para autorizar las transacciones fraudulentas.

“Los smartphones son la herramienta de autenticación multifactor más utilizada, además, las contraseñas pueden obtenerse a través de técnicas de phishing”, mencionan los especialistas. 

Los perpetradores de esta clase de ataques en ocasiones son estudiantes de informática, aunque también existen grupos criminales internacionales que recurren a esta variante de ataque para financiar sus actividades ilícitas. Además, para engañar a las compañías telefónicas y conseguir el duplicado del SIM los criminales no tienen que invertir grandes esfuerzos, pues basta con convencer a la compañía de que el chip original se ha extraviado para que sea habilitado uno nuevo. 

Hals Intelligence te recomienda a los usuarios tener cuidado con las páginas que visiten y el software que instalen en sus dispositivos. Evitar las redes WiFi públicas y el uso de administradores de contraseñas también son medidas de seguridad básicas para protegerse contra los ataques de intercambio de SIM.

Facebook almacenó por «error» más de 200 millones de contraseñas, te sugerimos cambiar tu contraseña

0

Facebook guardó millones de contraseñas en formato texto, sin ningún tipo de encriptación y a la vista de miles empleados de la red social. Así lo ha confirmado Facebook, que llevó a cabo una investigación de seguridad en enero de 2019 y encontró contraseñas almacenadas en sus sistemas en un formato fácilmente leíble.

Desde la propia red social informan que han corregido este problema y avisarán a todos los usuarios afectados, a los que su contraseña fue encontrada de esta manera. Paralelamente, también se ha abierto una investigación para asegurarse que los distintos empleados no han abusado de los datos a los que tuvieron acceso.

Hals Intelligence » Telegram se infecta con un malware que espía todos tus chats»

0

No mentiremos, Telegram es una de nuestras aplicaciones favoritas de comunicación. La versatilidad de la plataforma; y sus funciones enfocadas a la seguridad así como privacidad la hacen una de las mejores alternativas.

Sin embargo no todo es perfecto y resulta que una amenaza seria de Malware ha logrado colarse a la app. Así lo advierten los chicos de Forcepoint, una firma de seguridad digital, que revela este peligro.

Este malware podría intervenir todas las conversaciones en la app. De modo que podría espiar todos los mensajes enviados y recibidos.

Funciona de una manera bastante simple: una vez que se lanza el malware, se crea un nuevo usuario administrador y habilita el escritorio remoto; además de asegurarse de que no esté bloqueado por el firewall.

El nombre de usuario para el nuevo usuario administrador es estático, pero la contraseña se genera aleatoriamente.

Con ello los atacantes pueden tener acceso completo a historiales de mensajes enviados y recibidos. Sobre todo en chats donde se utilizó algún chat bot.

El programa malicioso se basa en la infraestructura de Comando y Control (C2); usado además por el Telegram Bot API.

Así que la plataforma ahora que ha sido notificada podría bloquearlo y restringir su propagación. En teoría.

La recomendación por lo pronto es evitar el uso de bots en Telegram.

Así puedes saber si tu celular o tablet ha sufrido algún ataque y está espiándote

0

La manera en la que navegamos por Internet hoy en día ha cambiado mucho respecto a hace solo unos años. No necesitamos estar delante de un ordenador para consultar noticias, enviar correos o buscar cualquier tipo de información. Tenemos a nuestra disposición dispositivos móviles que nos permiten navegar desde cualquier lugar. Sin embargo esto también hace que los riesgos de seguridad aumenten. Podemos sufrir muchos tipos de ataques. En este artículo vamos a explicar cómo saber si un móvil o Tablet ha sufrido algún tipo de ataque y está espiándonos.
Cómo saber si nuestro móvil o Tablet ha sufrido un ataque

Ya sabemos que una de las amenazas más presentes en los dispositivos móviles es lo que conocemos como spyware. Es el tipo de software malicioso que está configurado así para recopilar datos de los usuarios. Tienen como objetivo registrar el uso que damos a las aplicaciones, nuestra ubicación, dónde navegamos…
Notamos el dispositivo lento

Uno de los primeros síntomas de que algo va mal, de que nuestro móvil o Tablet ha sufrido algún tipo de ataque, es el mal funcionamiento. Podemos experimentar que el dispositivo va lento, que tarda en reaccionar. También que ciertas aplicaciones o funciones no van como antes.

Esto puede ser un indicativo de que tenemos un spyware o alguna otra amenaza en el sistema. Podría poner en riesgo nuestra privacidad y seguridad.

Vemos aplicaciones e iconos que no reconocemos

También es un indicativo la aparición de aplicaciones o iconos extraños en el móvil o Tablet. Esto puede ser debido a complementos adicionales que se instalan con un programa. A veces a causa de malware o spyware que puede estar recopilando datos de los usuarios.
Consumo de datos

Por otra parte, el consumo de datos de Internet es otro reflejo más de que nuestros dispositivos han podido sufrir algún ataque. Esto es especialmente delatador cuando se trata de spyware. Software que está recopilando datos de los usuarios constantemente y que afecta a nuestra tarifa.
Problemas al navegar

Por último, también podemos encontrarnos con ciertos problemas al navegar. Podemos encontrar una página que no se ve correctamente, muy cargada de publicidad, ventanas emergentes o incluso extensiones que se hayan instalado solas.

Cómo evitar que el móvil o Tablet se infecte

Son varios los consejos que podemos dar al respecto. Lo primero es contar con programas y herramientas de seguridad. Así podemos protegernos en caso de que nuestro equipo se infecte de algún tipo de malware.

También es muy importante que los sistemas, así como las diferentes aplicaciones que tengamos instaladas, estén actualizadas a la última versión. A veces surgen vulnerabilidades que son resueltas mediante parches de seguridad.

El lugar del que descarguemos las aplicaciones es vital. Es importante hacerlo de tiendas y páginas oficiales. De esta forma nos aseguramos de que estamos instalando el programa oficial y no una modificación.

Boletín Informativo en Ciberseguridad de Hals Intelligence #12 #Seguridad

0
Yucatan Seguridad
Boletín de ciberseguridad

Boletín de seguridad quincenal de HALS INTELLIGENCE, 26 de octubre de 2018. Publicado el 26/10/2018. Boletín de seguridad quincenal de HALS INTELLIGENCE, 26 de octubre de 2018. Ciberseguridad

¿Víctima de robo cibernético? Detecte intrusiones en su empresa. Servicio Ciberseguridad. Proteja su información. Anticipe ataques. Seguridad Empresarial. Asesoría especializada.

LINK DE DESCARGA

Boletin 12 Hals Intelligence

Anonimato y Seguridad, crean una tarjeta SIM que conecta con la red Tor

0

Vivimos una época en la que la privacidad y la protección de datos están en boca de todos; el escándalo de Facebook o el envío de datos a Google por parte de multitud de apps son solo algunos ejemplos. Hoy en día, evitar la vigilancia masiva y mantener el anonimato en Internet puede ser todo un desafío.

Una solución a este problema la encontramos en la red Tor, pero hasta ahora solo servía para la navegación web y no para usarlo con otras aplicaciones de nuestro smartphone, como por ejemplo Twitter. Y decimos «hasta ahora» porque la empresa británica Brass Horns Communications está probando actualmente una tarjeta SIM que enruta automáticamente todo el tráfico de datos móviles a través de la red Tor.

Antes de entrar en detalles conviene recordar que la red Tor, abreviatura de The Onion Project, es un proyecto que pretende crear una red de comunicaciones, privada y anónima, por encima de la capa de Internet de manera que nunca se revelen los datos de los usuarios que la utilizan.

Hace relativamente poco, conectarse a la red Tor resultaba complicado para usuarios sin demasiada experiencia, ya que había que instalar varias aplicaciones que hicieran de proxy y permitieran el acceso a esta red. Hoy en día, sin embargo, la conexión a la red de anonimato de Tor en un teléfono móvil es tan sencillo como instalar una aplicación (como Tor Browser for Android, por ejemplo).

El problema, como decíamos al principio, es que ese tipo de software generalmente está diseñado para la navegación web y no para usarlo con otras aplicaciones que aún podrían filtrar tu dirección IP. Lo que nos propone Brass Horn Communications, proveedor de servicios de Internet con sede en Reino Unido, es completamente diferente y simplificaría muchísmo el proceso de configuaración.

Se trata de una tarjeta SIM de solo datos, denominada Brass Horn Onion3G, que impide cualquier tráfico que no sea a través de la red Tor. Su funcionamiento es muy sencillo, pues toda la configuración está codificada en la propia tarjeta y el usuario solo tendría que crear un nuevo nombre de punto de acceso en su dispositivo para conectarse a la nueva red.

La tarjeta SIM de Brass Horn Onion3G tiene un precio de 2 libras al mes y cada megabyte de tráfico transferido cuesta 25 peniques

Como su nombre indica, la tarjeta SIM de Brass Horn Onion3G se conecta solo a través del servicio 3G y ni siquiera Bras Horn puede monitorear el tráfico que pasa a través de ella. Todavía se encuentra en fase de pruebas en Reino Unido, pero la compañía pretende ponerla a disposición del público en 2019.

La tarjeta Tor-SIM que nos propone es de prepago y tiene un precio de 2 libras al mes; además, cada megabyte de tráfico transferido cuesta 25 peniques. Los clientes podrán recargar la cuenta utilizando una tarjeta de crédito (Visa o Mastercard) o criptomonedas como Bitcoin, Monero o ZCash. Debido al anonimato del titular de la cuenta, todo debe pagarse por anticipado. Si no hay suficiente crédito prepago en la cuenta, se desactivará la tarjeta SIM.