Archivo mensual: Marzo 2019

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Fabricante mundial de aluminio afectado por ransomware

Numerosas fuentes de información indican que la mayor productora de aluminio del mundo, Norsk Hydro, fue víctima de un ciberataque a gran escala. La consecuencia de este ataque es que la multinacional tuvo que cambiar a operación manual “en lo posible”. Las operaciones en Noruega, Brasil y Qatar son algunas de las afectadas por este ataque.
Norsk Hydro es una de las mayores productoras de aluminio a nivel mundial, con operaciones en más de 50 países y presencia en los 5 continentes
El área TI de Norsk Hydro indica que este ataque comenzó en Estados Unidos presumiblemente mediante un ataque a los servidores de Active Directory, paralizando las operaciones al dejar los sistemas TI de la compañía inutilizables. Las medidas mitigatorias e investigación para obtener mayores detalles de este ataque siguen en curso, en una videoconferencia de prensa la empresa declaró que “La mayor prioridad es continuar operando asegurando la seguridad y resguardando el impacto financiero” además de que “El problema no ha conllevado ningún incidente de seguridad”. A los usuarios se les indicó que no conectaran ningún dispositivo a la red de Hydro.
También indicaron de que se encuentran afectados por una variante relativamente nueva del ransomware LockerGoga, el cual encripta todos los archivos en el sistema para luego solicitar un rescate, como cualquier ransomware.
Un punto a destacar acerca de Norsk Hydro, es que su DRP (Protocolo de recuperación ante desastres) funcionó muy bien, evitando una mayor catástrofe y mejorando la posibilidad de recuperación de los datos encriptados gracias a sus respaldos.
Se acuerdo a reportes de la prensa local NRK y Reuters, expertos indican que LockerGoga no es un malware muy extendido. Norsk Hydro está recibiendo también ayuda de la Autoridad de Seguridad Nacional Noruega (NNSA), la cual se encuentra en red con potras agencias para profundizar en la investigación de este ataque.
Aún es muy pronto para cuantificar el daño económico que este ataque ha causado a la compañía, sin embargo el valor de sus acciones cayó en 1% inmediatamente después de que este ataque fuera conocido por la prensa. Luego debido al eficiente manejo de la crisis estas acciones no han parado de subir su valor, demostrando que una buena postura de seguridad puede inclusive aumentar el valor de una compañía.
Este malware también se utilizó para un ataque a la consultora francesa de ingeniería Altran Technologies. Este malware no necesitaría conexión de red o un servidor de comando y control, y sólo es detectable por algunos productos anti-malware, por lo que se recomienda agregar manualmente las siguientes firmas:
MD5:
758dc3049ca9c341c467bf7584fea77d
e9cf132ec4ae53fd577acd75d0f2f2fd
7875cbf4a0d2bf8dcfc3e8050d9155d7
989c5454046d063763761caf32d530cc
baeab56fc43111e778df3bb41ed018c4
750f943fd8f57b6ebbbace17cb4ced03
e11502659f6b5c5bd9f78f534bc38fea
SHA1:
b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b
SHA256:
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
ec52b27743056ef6182bc58d639f477f9aab645722f8707300231fd13a4aa51f
Fuentes:

Apps con cryptojacking y adware en Google Play

Los ciberdelincientes especializados en criptomonedas han cambiado su foco hacia los dispositivos móviles para minar criptomonedas, esto mediante aplicaciones infectadas.
Sophos llevó una investigación en conjunto con Cyber Threat Alliance para revisar la existencia de código de criptominado en apps móviles.
En octubre de 2018 hallaron 25 aplicaciones educativas, de juegos y servicios en Google Play que contenían código de criptominado. Al ejecutarse relizaban este proceso en segundo plano para ocultar a los usuarios el verdadero fin de estas apps.
La mayor parte de éstas incluyeron el código del malware de minado Coinhive, escrito originalmente en JavaScript para minar la criptomoneda Monero. Coinhive se especializa en realizar el criptominado utilizando la CPU, a diferencia de la mayoría de las aplicaciones de criptominado que utilizan los procesadores gráficos para esta labor.
Las apps de criptominado fueron prohibidas en Google Play, sin embargo, muchas pasan por los filtros previos a la publicación. La inclusión de código para estos fines es relativamente sencilla, con unas cuantas líneas de código y llamando a un proceso del motor del navegador integrado WebView.

Sin perjuicio de lo anteriormente expuesto, en la segunda semana de marzo de 2019, Google Play eliminó más de 200 aplicaciones de juegos y simuladores que contenían adware (malware de publicidad). Los usuarios afectados tienen que eliminar estas aplicaciones de forma manual.
El malware utilizado en esta campaña es SimBad, el cual muestra publicidad no deseada, además de acceder a datos personales y compartirlos a terceros. Junto con esto, SimBad tiene características de acceso remoto, por lo que puede “actualizarse” bajo demanda de los atacantes a cargo o inclusive, instalar un proceso de criptominado en segundo plano.
Las características de una infección por malware en móviles son:
Muestran anuncios fuera de las aplicaciones. Por ejemplo, cuando los usuarios desbloquean el teléfono o abren otras aplicacionesAbren constantemente tanto Google Play como 9Apps Store y redireccionan a otra aplicación con el objetivo de aumentar sus beneficios por la instalación de otras aplicacionesPara evitar ser desinstaladas, las aplicaciones esconden al launcher su icono de inicio de aplicaciónAbren un navegador con enlaces generados por el desarrollador de la aplicaciónDescargan archivos APK y piden al usuario que los instaleBúsqueda de palabras en Google Play propuestas por la aplicación
Para eliminar estas aplicaciones maliciosas instaladas en un dispositivo Android, es recomendado reiniciar el dispositivo en Modo Seguro, luego ejecutar un scan con antivirus como Sophos Mobile, y luego ingresar a Configuración para eliminar manualmente algún rastro de estas aplicaciones maliciosas, y finalmente reiniciar normalmente el dispositivo.
Las aplicaciones infectadas (recomendamos eliminarlas inmediatamente):
App – Package
Snow Heavy Excavator Simulator – com.heavy.excavator.simulator.driveandtransportHoverboard Racing – com.hoverboard.racing.speed.simulatorReal Tractor Farming Simulator – com.zg.real.tractor.farming.simulator.gameAmbulance Rescue Driving – com.ambulancerescue.driving.simulatorHeavy Mountain Bus Simulator 2018 – com.heavymountain.bus2018simulatorFire Truck Emergency Driver – com.firetruckemergency.driverFarming Tractor Real Harvest Simulator – com.farming.tractor.realharvest.simulatorCar Parking Challenge – com.carparking.challenge.parksimulatorSpeed Boat Jet Ski Racing – com.speedboat.jetski.racing.simulatorWater Surfing Car Stunt – com.watersurfing.carstunt.racing.simulatorOffroad Wood Transport Truck Driver 2018 – com.offroad.woodtransport.truckdriverVolumen booster & Equalizer – com.volumen.booster.equalizerPrado Parking Adventure – com.ks.prado.Car.parking.race.drive.appsOil Tanker Transport Truck Driver – com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulatorMonster Truck Demolition – com.monstertruck.demolitionHummer taxi limo simulator – com.hummerlimotaxi.simulator.drivingExcavator Wrecking Ball Demolition Simulator – com.excavator.wreckingball.demolition.simulatorOffroad Gold Transport Truck Driver 2018 – com.offroad.gold.transport.truckSea Animals Truck Transport Simulator – com.sea.animals.trucktransport.simulatorWater Surfing Motorbike Stunt – com.water.surfingrace.motorbike.stuntPolice Chase – com.policechase.thiefpersecutionPolice Plane Transporter – com.police.plane.transporter.gameAmbulance Driver Extreme Rescue – com.ambulance.driver.extreme.rescue.simulatorHovercraft Racer – com.hovercraftracer.speedracing.boatCars Transport Truck Driver 2018 – com.cars.transport.truckdriver.simulatorMotorbike Pizza Delivery – com.motorbike.pizza.delivery.drivesimulatorHeavy Excavator – Stone Cutter Simulator – com.heavy.excavator.stonecutter.simulatorBottle shoot archery – com.bottle.shoot.archery.gameOffroad buggy car racing – com.offroadbuggy.car.racingsimulatorGarbage Truck – City trash cleaning simulator – com.garbagetruck.city.trash.cleaningsimulatorTanks Attack – com.tanks.attack.simulator.war.attackDinosaur Park – Train Rescue – com.dinosaurpark.trainrescuePirate Ship Boat Racing 3D – com.pirateshipboat.racing3d.simulatorFlying taxi simulator – com.flyingtaxi.simulator.raceJetpack Water – com.jetpackinwater.racersimualtor.dangerVolumen Booster – com.boostervolumen.amplifiersoundandvolumenAnimal Farming Simulator – com.farmgames.animal.farming.simulatorMonster Truck – com.monstertruck.racing.competition.simulatorOffroad jeep car racing – com.simulator.offroadjeep.car.racingFlying Car Stunts On Extreme Tracks – com.simulator.flyingcar.stunt.extremetracks.racingTractor Farming 2018 – com.simulator.tractorfarming.drivingImpossible Farming Transport Simulator – com.impossible.farming.transport.simulatorVolumen Booster – com.volumenbooster.equalizerboostMustang Rally Championship – com.mustang.rally.championship.racingsimulatorDeleted Photo Recovery – com.deleted.photo.recoverySpeed Boat Racing – com.race.boat.speedySuper Cycle Jungle Rider – com.cycle.bike.racing.gameMy name on Live Wallpaper – com.write.name.live.wallpaper.hdMagical Unicorn Dash – com.maginal.unicorn.gameSuper Cycle Jungle Rider – com.grafton.cycle.jungle.rider.raceLove Caller Screen – com.lovecallingapps.lovecaller.ScreenRacing Car Stunts On Impossible Tracks – com.city.car.funny.racing.stunt.game.proRacing Car Stunts On Impossible Tracks 2 – com.citycar.funny.racinggame.stunt.simulatorUrban Limo Taxi Simulator – com.urban.Limo.taxi.simulation.gamesTractor Farming Simulator – com.cg.heavy.tractor.simulator.gameCamper Van Driving – com.campervan.drivingsimulator.caravanBottle Shoot Sniper 3D – com.bootleshoot.sniperFull Screen Incoming Call – com.globalcoporation.fullscreenincomingcaller.appBeard mustache hairstyle changer Editor – com.mustache.beard.editorVolumen Booster – com.volumenbooster.increaservolumengirlfriend photo editor – com.photoeditor.girlfriend.addgirlstophoto.picMobile Number Tracker & Locator – com.tracker.location.number.free.spyGarden Photo Editor – com.garden.editor.appFortune Wheel – com.fortunewheel.gameFarming Transport Simulator 2018 – com.farming.transport.tractor.simulatorOffRoad Tractor Transport – com.offroad.tractor.transport.drivingsimulatormy name on live wallpaper – com.customwallpaper.mynameonlivewallpaperFlying Ambulance Emergency Rescue – com.flying.ambulance.emergency.rescue.simulatorMustang Driving Car Race – com.mustang.driving.car.raceWaterpark Car Racing – com.waterpark.carracing.simulatorImpossible Tracks – Extreme Trucks – com.impossibletrucks.extremetrucks.simulatorFlying Motorbike Stunts – com.extreme.flying.motorbike.stuntsimulatorFire Truck Emergency Rescue – Driving Simulator – com.emergency.firetruck.rescue.drivingsimulatorHeavy Snow Excavator Snowplow Simulator – com.snowplow.simulator.heavysnow.excavatorWater Skiing – com.waterskiing.simulator.gamesWomen Make Up and Hairstyle Photo Maker – com.photomaker.editor.women.makeupandhairstyleMountain Bus Simulator – com.fortune.mountainVan Pizza – com.vanpizza.truckdelivery.simulatorTruck Transport and Parking Simulator – com.truck.simulator.transportandparkingHoverboard Racing Spider Attack – com.hoverboard.racing.spider.attacksimulatorMotorsport Race Championship – com.moto.sport.championship.racingsimulatorDemolition Derby – com.demolitionderby.simulatorLove Caller with love ringtones – com.lovecaller.free.loveringtonesHouse Transport Truck – Moving Van Simulator – com.house.transport.truck.movingvan.simulatorHeavy Excavator Stone Driller Simulator – com.heavy.excavator.simulator.stonedrillerSuper Cycle Downhill Rider – com.cycle.downhill.gameExtreme Rally Championship – com.extreme.rallychampionship.raceMissile Attack Army Truck – com.missileattack.army.truckCaller Location & Mobile Location Tracker – com.mobile.caller.location.tracker.freecallMobile number locator – com.mobilenumberlocator.trackerMy name on Live Wallpaper – com.mynameonlivewallpaper.animated.hdCity Metro Bus Pk Driver Simulator 2017 – com.spk.coach.offroad.School.bus.mountain.freeFull Screen Incoming Call – com.fullscreen.incomingcaller.appMan Casual Shirt Photo Suit – com.allsuit.man.casualshirt.photo.editorAmerican muscle car race – com.americanmuscle.car.raceOffroad Nuclear Waste Transport – Truck Driver – com.offroad.nuclearwastetransport.truckdriverMad Cars Fury Racing – com.madcars.fury.racing.driving.simulatorHigh Wheeler Speed Race – com.high.wheeler.speed.race.championshipNumber Coloring – com.colorbynumber.number.coloring.paint.gameCamper Van Race Driving Simulator 2018 – com.campervan.race.driving.simulator.gameUnicorn Float – Speed Race – com.unicornfloat.speedrace.simulatorDual Screen Browser – com.dualscreenbrowserHarvest Timber Simulator – com.harvest.timber.simulatorandtransportHot Micro Racers – com.racingsimulator.hot.micro.racersLara Unicorn Dash – com.lara.unicorn.dash.magical.raider.raceWingsuit Simulator – com.wingsuit.simulator.extremeFood Truck Driving Simulator – com.foodtruck.driving.simulatorDog Race Simulator – com.dograce.competitionSUV car – parking simulator – com.suvcar.parking.simulator.gamePhone Finder – com.clap.phonefinder.locatorPhone number locator – com.phonenumerlocator.findphonenumbersGallery Lock – com.whatsapplock.gallerylock.ninexsoftech.lockSecret screen recorder – com.secret.screenrecorder.screenshotrecordFace Beauty Makeup – com.facebeauty.makeupChristmas letters to santa and three wise man – com.write.your.christmas.letter.santa.threewisemenDeleted Files recovery – com.deletedfiles.photo.audio.video.recoveryDual Screen Browser – com.screndualbrowserdouble.app.androidBroken Screen – Cracked Screen – com.crack.mobile.screen.prankGarden Photo Editor – photoeditor.Garden.photoframeModi Photo Frame 2 – com.modiphotoframe.editorLove Caller Screen – com.callerscreen.lovecallerAnti Theft & Full Battery Alarm – com.antitheftalarm.fullbatteryalarm.soundLove Caller Screen 2 – com.lovecaller.screen.customVoice reading for SMS. Whatsapp & text sms – com.sms.message.voice.readingName on Pic-Name art – com.photo.text.editor.nameonpicSpeed Boat Racing – com.mtsfreegames.SpeedboatracingTrain Driving Simulator – com.simulator.traindrivingSuper Cycle Rider – com.grafton.Cycle.jungle.riderRacing Horse Championship 3D – com.gl.racinghorse.competitionMove App To SD Card 2016 – moveapptosd.tosdcard.freeappPop Toy Creator – com.avatarmaker.poptoy.creatorPhoto Live Wallpaper – com.myphoto.live.wallpaper.editorMagical Unicorn Dash – com.messenger2.play.game.UnicorndashkTruck Wheel of Death – com.truck.wheelofdeathLive Translator – com.livetranslator.translateinliveVolume Control Widget – com.volumecontrol.widget.volumeboosterWorld cup 2018 football shirt maker – com.worldcup2018football.shirt.maker.photoeditorGirlfriend Photo Editor 2 – com.girlfriendphotoeditor.girlsinyourphotoMy Photo on Music Player – com.myphoto.on.musicplayer.freetaxi – com.taxidriving.simulatorgame.raceGarden Photo Editor – com.garden.photoeditor.photoframeFortune Wheel Deluxe – com.fortunewheel.deluxeExtreme Motorcycle Racer – com.motorcycle.extremeracing.simulatorOffroad Snow Bike – Christmas Racing – com.offroad.snow.bike.christmas.racingBottle Shoot – com.Droidhermes.bottleninjaPhoto Background Changer 2017 – com.Hadiikhiya.photochangebackgroundOffroad Christmas Tree Transport – com.offroad.christmas.treetransport.truck.driversimulatorTank Transport Army Truck – com.tank.transport.armytruck.simulatorFlag face paint: World Cup 2018 – com.flagteams.facepaint.editor.world2018cupWorld Cup 2018 Teams Flags Live Wallpaper – com.russianworld2018cup.livewallpaper.flagsteamSelfie Camera – com.editor.selfie.camera.photoMissile Attack Army Truck – com.desirepk.Offroad.transport.simulator.appsMax Player – massimo.Vidlan.maxplayerFlash Alert – Flash on Call – com.flashalerts.callandsmsPhoto Video Maker with Music – com.photovideo.maker.withmusicBrain Games & IQ Test – com.braingames.iqtest.skillsAudio Video Mixer – com.mix.audio.and.videoPop Toy Creator 2 – com.poptoy.creator.edityourpoptoyFlash on Call and SMS – com.flashalert.callandsmsHeart Photo Frames – com.photoframe.of.heartShayari 2017 – com.shayari.hindi.status.photo.textPhoto on Birthday Cake – com.happy.photo.birthday.cakeNature Photo Frames – com.photoeditor.nature.photoframesCalendar 2018 Photo Frame – com.photoframe.calendar2018editorChristmas Truck Transport Simulator – com.christmas.truck.transportsimulator.gameModern Santa – Christmas van drive – com.christmas.vandrive.modern.santaChange your voice – com.anbrothers.voicechanger.appMoster vs Water – com.monsters.vs.water.duelEDIT Flowers Photo Frames – com.flowers.editor.photo.framePhoto Video Maker with Music – videoeditor.musicvideo.Phototovideomaker.videoeditorToilet Paper Race – com.racing.games.toiletpaper.raceDog Crazy Race Simulator – com.Zv.puppiesdog.racegameLuxury Photo Frame – com.luxury.photo.frame.photo.editorBike Wheel of Death – com.bike.wheelofdeathWorld Famous Photo Frames – com.qbesoft.worldfamousphotoframes.appHeavy Snow Excavator Christmas Rescue – com.heavysnowexcavator.christmas.rescueDeleted Files Recovery – com.syor.deleted.photo.recovery.video.restoreFootball Results & Stats Analyzer – com.footballanalyzer.resultsandstats3D Photo Frame Cube Live Wallpaper – com.photoframe.cube3d.live.wallpaper.hdGreen Hill PhotoFrame – com.photoframe.geenhillChristmas Magic Board – com.christmas.magnetic.magicboard.drawandwriteAnimal Parts Photo Editor – com.animalspart.photo.editorDSLR Camera Blur – com.camera.blur.photoeffectsCar Photo Frame – com.quick.photo.frame.carphotoframeHands Slap Game – com.game.handsslap.manitascalientes.redhands4D Maa Durga Live Wallpaper – com.maa.durga.live.wallpaperMen Sweatshirt Photo Editor – com.photomontage.men.sweatshirt.editorConnect Letters. Words Game – com.wordsgame.connectlettersRecover Deleted Pictures – lanas.recover.deleted.pictures.photosCustom Radio Alarm Clock – com.customized.radio.alarm.clockAnti-spam Calls – com.antispamcalls.blockspamcallerCompatibility Test – com.compatibilitytest.friends.couplesDual Screen Browser – com.dualscreen.android.app.doubleMagic Glow Live Wallpaper – com.magic.glow.livewallpaper.animatedwallpaperPorgy Virtual Pet – com.game.virtualpet.porgyTap the Ball – com.explosiongame.taptheballClock Live Wallpaper – com.analog.digital.clock.live.wallpaperRoyale Stats – com.royalestas.informationFire text photo frame – com.editor.firetext.photo.frameChristmas greetings card – editor.card.greetings.christmas.com.christmasgreetingscardBest App Lock – com.bestappsco.bestapplock.freeDJ Photo Frames – com.DJ.photoframe.editorAuto Call redial – com.autocall.redial.automatic.recallGuess the picture – com.picquiz.guess.picture.gameProfesionalRecorder – com.professionalrecorder.audio.call.record
Fuentes:

Formjacking: Un lucrativo ataque en aumento

En el último informe sobre ciberamenazas publicado por Symantec (ISTR), existe una amenaza en crecimiento llamada “Formjacking”, la cual actualmente es una de las formas de ataque más lucrativas para los ciberdelincuentes debido al relativo bajo esfuerzo que conlleva realizar junto con el alto valor y demanda en el mercado negro del activo robado: tarjetas de crédito. Su nivel de expansión en amenazas ha reemplazado al ransomware como WannaCry o Petya/NotPetya (gracias en parte a la baja en la cotización de las criptomonedas, sobretodo el BitCoin), por lo que es necesario aumentar el foco en la prevensión y detección de este tipo de ataques.
Formjacking consiste en una analogía a lo que hoy conocemos como skimming, o robo de tarjetas bancarias en cajeros automáticos, sólo que es mucho más simple, directo, y seguro para los criminales. Aunque este tipo de ataques no es nuevo, su rápido crecimiento en el ultimo semestre motivo de alerta para las organizaciones que ofrecen pagos en sus sitios, o sea todo el e-commerce.
Opera de la siguiente manera: El atacante logra inyectar código JavaScript en la lógica del formulario de pago objetivo, una vez de que el cliente envíe la información de pago, este código malicioso recoge toda la información entregada para el pago, luego la envía al repositorio del atacante y a la vez al flujo original de pago. Con esto el pago se realiza pero los datos a la vez son recogidos por el atacante, para su posterior venta en el mercado negro y utilización en estafas. Los datos recogidos pueden contener: Nombre completo, dirección, teléfono, correo, banco, número de tarjeta, fecha de caducidad, código de seguridad, etc.
Aumento de campañas
La actividad de campañas de formjacking presenta un aumento exponencial desde finales de agosto de 2018, registrando un aumento de hasta 4 veces más bloqueos en comparación a la media de meses anteriores. En números esto es sobre 6.000 bloqueos diarios en promedio para sólo 1 proveedor de IPS.

Objetivos
Este ataque ya es conocido por grandes e-commerce como Ticketmaster, British Airways y Newegg (retailer de tecnología).
Una muestra de 1.000 instancias de bloqueo de este ataque, recogidas en una ventana de 3 dias, muestra como objetivos a 57 sitios web distintos, desde pequeños e-commerce hasta grandes negocios. Geográficamente abarca desde Japón hasta Latinoamérica, pasando por Australia y Europa.
Magecart
Es el grupo de cibercriminales que se encuentra detrás de los recientes ataques de formjacking hacia British Airways, Ticketmaster, Feedify y Newegg. Magecart se encuentra activo desde al menos el año 2015. Su operación implica la inyección de skimmers web en sitios para robar datos de pago junto con otra información sensible relacionada a los pagos via web.
Método de compromiso de sitios web
Aunque existen diversas formas de ejecución de este ataque, llama la atención el caso de Ticketmaster, en el cual los atacantes de Magecart utilizaron un ataque a la cadena de suministro para obtener acceso al sitio web y de esta forma manipular el código de su página de pagos.
Los ataques de cadena de suministro son aquellos en los que se obtiene acceso a grandes organizaciones al explotar debilidades en sus proveedores de menor tamaño.
El aumento en la cantidad de ataques de formjacking fue evidenciado luego del ataque a Ticketmaster, reportado en junio de 2018. Los atacantes de Magecart en un comienzo comprometieron un chatbot de Inbenta que estaba siendo utilizado para asistencia al cliente en los sitios de Ticketmaster. Luego Magecart pudo alterar el código JavaScript en el sitio de Ticketmaster para de esta forma capturar los datos de pago con tarjeta de sus clientes y posteriormente enviarlos a sus propios servidores. Este código malicioso pudo estar en el sitio web de Ticketmaster por casi un año, los afectados serían los clientes internacionales de Ticketmaster que realizaron compras entre septiembre de 2017 y septiembre de 2018. Inbenta indicó que Magecart explotó varias vulnerabilidades para apuntar a sus servidores de front-end y alterar el código del chatbot.
Siguiendo el caso de Ticketmaster se descubrió que Magecart ha estado atacando proveedores de sitios e-commerce, los que proveen analítica, soporte, plugins, entre otros. El reporte indica que al menos 800 sitios de e-commerce fueron atacados en esta campaña. El mayor peligro es que si Magecart puede comprometer un proveedor ampliamente usado, entonces podrían infectar potencialmente miles de sitios rápidamente.
Protección
A nivel de red, existen firmas de IPS para distintos fabricantes.
A nivel de archivos, existen firmas para el código “Infostealer”.
A nivel de aplicación, realizar pruebas controladas cuando un proveedor actualice un plugin que se utilice en e-commerce.
Monitorear la actividad del sistema por exfiltración de datos hacia destinos inusuales.
Monitorear cambios en el código del aplicativo.
Fuentes:

Bancos bajo ataque: Técnicas y tácticas utilizadas para apuntar a organizaciones financieras

Las pérdidas por costo de ciberataques se estima entre unos USD$100 a USD$300 millones, con estimación al ascenso. En los últimos años la banca ha perdido USD$87 millones sólo por concepto de ataques a la infraestructura SWIFT (Society for Worldwide Interbank Financial Telecommunication). Sin embargo, esto es sólo la punta del iceberg: un sólo grupo cibercriminal embolsó USD$1.200.000.000 desde más de 100 instituciones financieras de 40 países antes de que su líder fuese arrestado en 2018.
Los ciberataques menoscaban la integridad de la infraestructura tecnológica en una organización financiera, tal como los sistemas que controlan y ejecutan sus operaciones. Esto queda demostrado con los ataques realizados los últimos años, con mayor elaboración, sofisticación y alcances.
Cambios de técnicas y tácticas
Tradicionalmente los atacantes apuntan financieramente a los clientes de bancos, sin embargo, algunos como el grupo cibercriminal “Lurk”, mudaron su foco a los colaboradores de grandes empresas. Estos ataques comúnmente son dirigidos a empleados de los departamentos de contabilidad y finanzas. Los cibercriminales se han percatado de que ellos pueden robar fondos no solo al comprometer cuentas bancarias, sino también al apuntar a la infraestructura del banco o manipulando documentos y sistemas. Las redes de comunicaciones e infraestructura bancaria son vistas como objetivos pues es ahí donde esencialmente se encuentra el dinero. Atacarlos implica apuntar a cajeros automáticos, redes SWIFT y portales de pago, sistemas de procesamiento de pago con tarjetas y similares.
Investigaciones realizadas también descubrieron instancias en las que grupos criminales intentaron sobornar individualmente empleados bancarios en crear un esquema de extracción y lavado de dinero. En una instancia en concreto, se detectó un intento de crear una organización de caridad legítimamente, con sus cuentas bancarias y un muy bien elaborado sitio web. Los atacantes utilizaron las cuentas bancarias de esta organización para guardar el dinero extraído desde cuentas comprometidas; la fachada de la organización de caridad les dio suficiente tiempo para mover y retirar los fondos robados.
Las compañías de telecomunicaciones juegan un papel muy importante en la industria financiera, lo que también los convierte en objetivos apetecibles. Comprometer la infraestructura de telecomunicaciones presenta otra oportunidad de ganar dinero con el secuestro y redirección de SMS en teléfonos VIP. Los bancos frecuentemente ofrecen el uso de dispositivos móviles como un segundo factor de autenticación o para enviar una clave temporal (OTP: One Time Password) a sus clientes.
Ataques de ingeniería social también conocidos como “SIM Jacking” (secuestro de SIM) se han esparcido ampliamente. En estos ataques, el atacante identifica los números de teléfono de los clientes del banco cuyas cuentas han sido comprometidas. Entonces actúan como el suscriptor de la compañía de telecomunicaciones, reportan que extraviaron su tarjeta SIM para el número objetivo, luego engañan al proveedor para que les emitan otra tarjeta SIM. Esta luego será utilizada para transacciones en las cuales le será robado el dinero a la víctima.
Ataques a los clientes de bancos
Apuntar a los usuarios y/o clientes involucra distintas técnicas. Los atacantes combinan distintas técnicas desde la vieja y conocida (aunque aún efectiva) phishing, hasta el troyano bancario para Android “FakeSpy”. Algunas son constantemente actualizadas, agregando características que pueden automatizar la extracción de datos y fondos robados. Un malware bancario puede realizar esto al utilizar un motor de sistema automático de transferencia (ATS: Automatic Transfer System), el cual permite el uso de inyección de un script web para iniciar automáticamente transferencias de fondos y evitar mecanismos de autenticación.
Estas inyecciones de browser son versátiles. Los atacantes los pueden usar para evitar controle de seguridad de un banco, fuerzan a usuarios a instalar componentes maliciosos en sus dispositivos móviles, sortear mecanismos de autenticación, o extraer datos de pago tales como información de tarjeta de crédito. También pueden ejecutar ataques de ingeniería social para robar información personal identificable (fecha de nacimiento, apellido materno, nombre de mascota, entre otros) o auto transferirse fondos a otras cuentas bancarias controladas por los atacantes (también conocidas como cuentas “mula”).
Las inyecciones de código son insertadas en el sitio de un banco o sus componentes (como librerias JavaScript o iframes oculstos). Desafortunadamente, un usuario normal podría confiar abiertamente en la pagina web que ha sido intervenida.
Ataques a la infraestructura
La infraestructura también es objetivo de los atacantes. Muchos componentes de los sistemas bancarios, tales como los sistemas internos o interfaces PoS son usualmente dejadas expuestas a internet, haciéndolas más propicias a un ataque de ciberdelincuentes oportunistas.
Aunque no sean objetivos clave, existen múltiples campañas de distribución de malware con la capacidad de cambiar las capacidades de los DNS y usarlas como trampolín para llegar a sus reales objetivos. El equipo de red del usuario es intervenido a gran escala, lo que redirecciona a los atacantes a servidores DNS controlados por los atacantes. Esto expone a los usuarios a ataques de phishing y man-in-the-middle (MitM).
Ataques a proveedores de bancos
Para apuntar a la organización bancaria, los atacantes necesitan llegar a sus cimientos. A menudo lo realizan al atacar al eslabón más débil. Los ataques de ingeniería social son pan de cada día: Los hackers, por ejemplo, necesitan conocer acerca de los empleados actuales de la organización, posiblemente incluyendo sus cargos e intereses. Aduciendo ser una ayuda legítima o inclusive una urgencia, los documentos que les envían a estos empleados son abiertos sin mayor sospecha.
Una manera de colectar información es comprometer a las compañías que prestan servicios a estas organizaciones, tales como proveedores de terceras partes que realizan manutención a los ATM, o hackear en los foros con temática ad-hoc. El grupo Lurk, por ejemplo, invadió un foro en linea para contadores con tal de hallar a sus objetivos. Los atacantes pudieron a la vez obtener información de blancos potenciales al analizar los datos de las máquinas ya invadidas. Grupos como Cobalt y Silence también son conocidos por emplear esta técnica.
De hecho, según datos recopilados por SPN de Trend Micro, Silence apuntó a organizaciones financieras en Rusia, Bielorusia y Vietnam. Cobalt, por su parte, sigue activo, especialmente en la ex Unión Soviética y en el Este Europeo.
Cobalt también es conocido por comprometer las cadenas de suministro de organizaciones financieras para acceder al perímetro TI. Fueron identificados ataques de Cobalt a integradores de software, firmas de servicios financieros, y otros bancos para obtener acceso al banco de su interés. En 2018 se observó una campaña de spearphishing (phishing objetivizado a un objetivo de alto nivel) en contra de un integrador de sistemas de alto perfil en Rusia, lo cual fue utilizado como trampolín para ataques a organizaciones bancarias rusas.
Ataques a la infraestructura bancaria
Los ataques directos al perímetro de un banco es poco común, ya que los atacantes usualmente utilizan el phishing como primer movimiento para ganar un punto de entrada a su objetivo. Un ataque de phishing conlleva una larga preparación. Por ejemplo, en cada campaña, deben registrar un nombre de dominio que se asemeje al objetivo a suplantar (uno que tenga algún tipo de relación con la organización objetivo, y por ende, sea de frecuente acceso). El asunto y contenido del correo phishing también debe ser relacionado. Una de las técnicas utilizadas por los investigadores de seguridad para detectar estas estafas es validar la fecha de creación del dominio desde el cual se envían estos correos (si es demasiado reciente es posible que sea una suplantación de identidad).
Watering hole es una técnica también muy utilizada. El código de exploit es plantado en sitios comprometidos que los empleados de la organización objetivo visitan frecuentemente. Interesantemente estas actividades incrementan en ciertos horarios, como a la hora de almuerzo, cuando los usuarios generalmente tienen tiempo de navegar en internet, o al final de la tarde, cuando los usuarios tienden a estar menos atentos a correos sospechosos.
Mientras el objetivo principal es robar dinero (ya sea en forma electrónica o en papel moneda), también se han observado ataques motivados por el robo de datos sensibles o confidenciales, soborno, y manipulación de transacciones en línea, entre otros. Los atacantes también explotan otras vulnerabilidades en la infraestructura ATM y PoS para lavar dinero, tales como recoger pagos ilegales desde tarjetas de crédito robadas al cargar montos en terminales PoS.
Diferentes grupos utilizan distintas técnicas. El grupo Lazarus, por ejemplo, es conocido por intervenir switches ATM para robar fondos desde bancos, mientras otros prefieren métodos más tradicionales. Recientemente Lazarus robó USD$13.5 millones al hackear la infraestructura ATM y SWIFT de un banco.
Este ataque demostró un buen entendimiento de la plataforma SWIFT al intentar una transferencia fraudulenta. También mostró el conocimiento de los atacantes en sistemas bancarios al intervenir el protocolo de comunicación ISO 8583, el cual es un estándar internacional para la definición de transacciones financieras. Los atacantes hackeron en los procesadores de la interfaz ATM, el cual maneja el procesamiento inicial y las comunicaciones entre las entradas del dispositivos y el computador del host, también intervinieron el software ISO 8583 al inyectar código que produce respuestas fraudulentas a los requerimientos de las máquinas de ATM. Este ataque fue nombrado por el US-CERT como FASTCash.
Movimiento lateral y monetización
Una vez que los atacantes establecen un punto de entrada, a menudo intentan robar credenciales desde las maquinas comprometidas y empezar a expandirse lateralmente, como acceder a los controladores de dominio y segmentos de procesamiento de tarjetas.
Como ellos monetizan el ataque está influenciado en cuanto lograron comprometer los recursos de su objetivo. Un ejemplo es manipular balances de cuentas y límites de giro por ATM cuando envían sus “mulas” a tomar el dinero robado. Esta táctica es tan común que los actores de esta amenaza buscan sus cómplices en los foros del cibercrimen.
La monetización mediante giros de ATM es muy común una vez que el objetivo es comprometido. De hecho, existen foros en el cibercrimen y avisos buscando “operadores” de NCR 6625 (un modelo específico de ATM). También se ha observado una instancia en la cual una cuenta de una organización de caridad falsa se creó en un banco. Las transacciones no autorizadas fueron realizadas desde cuentas bancarias con balances que excedían el límite, lo cual les otorgó a los atacantes un botín de USD$50.000.
Estos ataques no están limitados a Rusia o países eslavo-parlantes. Por ejemplo, hay muchos foros ocultos en los cuales se buscan mulas para dinero que sería comisionado desde transacciones SWIFT en China.
Mantenerse adelante de las amenazas
Las organizaciones financieras no solo contienen el impacto de los ataques hasta su fin. También tienen que lidiar con su manchada reputación, reducción en la confianza del cliente, e indemnizaciones que les sigue el evento. Con la abundancia de técnicas que son observadas en distintos niveles, las cuales apuntan a organizaciones financieras, ya no son solo objetivos de amenazas complejas. Con un modo de operación tan directo como lo es el envío de un correo phishing, también son víctimas de cibercriminales oportunistas.
La diversidad de estos ataques significa que la organización debe ser multifacética, ver, monitorear, y filtrar que está sucediendo (y transitando) en los sistemas conectados a su red. Esto aplica especialmente para la industria financiera, que tiene unos requerimientos estrictos en protección de datos y parchado, además de las altas multas que pueden incurrir por infringirlas.
Los controles de seguridad de cada capa de la organización mitigan el riesgo en los servidores físicos y virtuales, segmentos de red, puertos, y protocolos para los endpoints que procesan transacciones. Defensa profunda (Defense in-depth) también provee visibilidad de cuál infraestructura necesita responder proactivamente a los ataques. Un ambiente donde las amenazas son aisladas ayuda a monitorear y filtrar el tráfico de correos y extirpar los correos anómalos. La segmentación de red y clasificación de datos mitigan el riesgo de movimiento lateral y penetración más profunda. Mecanismos de seguridad como el parchado virtual y los IPS unen las brechas de seguridad proactivamente sin causar disrupciones ni sobrecarga a las operaciones ni procesos de negocio. Los usuarios, particularmente clientes y empleados, también deben ser igualmente proactivos.
Fuentes: