Esta semana en ciberseguridad – Diciembre semana 1

Ojo con los servicios de Nginx que están siendo utilizado para el robo de datos de pago en los e-commerce.

Las plataformas de comercio electrónico en los EE. UU., Alemania y Francia han sido atacadas por una nueva forma de malware que apunta a los servidores Nginx en un intento de enmascarar su presencia y pasar la detección por soluciones de seguridad.

“Este nuevo código se inyecta en una aplicación Nginx host y es casi invisible”, “El parásito se usa para robar datos de servidores de comercio electrónico, también conocidos como ‘server-side Magecart ‘.”

dijo el equipo de Sansec Threat Research

Nginx es un servidor web libre de código abierto que también se puede usar como proxy inverso, balanceo de carga, proxy de correo y caché HTTP.
NginRAT, como se llama el malware avanzado, funciona secuestrando una aplicación Nginx de host para integrarse en el proceso del servidor web.

El troyano de acceso remoto se entrega a través de CronRAT, otra pieza de malware que la firma holandesa de ciberseguridad reveló la semana pasada. CronRAT se oculta en las cargas de trabajo que son ejecutados a través de tareas programadas y ser ejecutadas el 31 de febrero, un día calendario inexistente.

Tanto CronRAT como NginRAT están diseñados para proveer una forma remota de ser ejecutados en los servidores comprometidos, y el objetivo de las intrusiones es realizar modificaciones del lado del servidor a los sitios web de comercio electrónico comprometidos de manera de permitir la exfiltración de datos mediante skimming del formulario de pago en línea.

Los ataques, conocidos colectivamente como Magecart o web skimming, son el trabajo de un sindicato de delitos cibernéticos compuesto por docenas de subgrupos que están involucrados en el robo de tarjetas de crédito digitales mediante la explotación de vulnerabilidades de software para obtener acceso al código fuente de un portal en línea e insertar código JavaScript malicioso que extrae los compradores de datos en las páginas de pago.

“Los grupos Skimmer están creciendo rápidamente y apuntan a varias plataformas de comercio electrónico utilizando una variedad de formas de permanecer sin ser detectados”.
“Las últimas técnicas incluyen comprometer versiones vulnerables de plataformas de comercio electrónico, alojar scripts skimmer CDNs y servicios en la nube, y el uso de dominios recientemente registrados (NRD) léxicamente cercanos a cualquier servicio web legítimo o tienda de comercio electrónico específica para alojar scripts de skimmer maliciosos.”

según investigadores de Zscaler, en un análisis de las últimas tendencias de Magecart publicadas a principios de este año.

FUENTE: https://thehackernews.com/2021/12/new-payment-data-sealing-malware-hides.html

Aprovechan GCP (Google Cloud platform) para minar criptomonedas e infectar usuarios

Los actores de amenazas están explotando instancias de Google Cloud Platform (GCP) con seguridad inadecuada para descargar software de minería de criptomonedas en los sistemas comprometidos, además de abusar de su infraestructura para instalar ransomware, organizar campañas de phishing e incluso generar tráfico a videos de YouTube para manipular el recuento de vistas.

“Si bien los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, muchos ataques exitosos se deben a una falta de higiene y una falta de implementación de controles básicos”.

señaló el Equipo de Acción de Ciberseguridad (CAT) de Google como parte de su reciente informe Threat Horizons publicado la semana pasada.

De las 50 instancias de GCP comprometidas recientemente, el 86% de ellas se utilizaron para realizar minería de criptomonedas, mientras que el 10% de las instancias se explotaron para realizar escaneos de otros hosts de acceso público en Internet para identificar sistemas vulnerables, y el 8% de las instancias se utilizaron para atacar a otras entidades. Aproximadamente el 6% de las instancias de GCP se utilizaron para alojar software malicioso.

En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o nulas para cuentas de usuario o conexiones API (48%), vulnerabilidades en software de terceros instalado en las instancias en la nube (26%) y fuga de credenciales en proyectos de GitHub (4%).

Otro ataque notable fue una campaña de phishing de Gmail lanzada por APT28 (también conocido como Fancy Bear) hacia fines de septiembre de 2021 que implicó el envío de un correo electrónico masivo a más de 12.000 titulares de cuentas principalmente en los EE.UU., Reino Unido, India, Canadá, Rusia y Brasil con el objetivo de robar sus credenciales.

Además, Google CAT dijo que observó a los adversarios abusando de los créditos gratuitos de la nube mediante el uso de proyectos de prueba y haciéndose pasar por startups falsas para generar tráfico en YouTube.

En otro incidente, un grupo de atacantes respaldado por el gobierno de Corea del Norte se hizo pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de Corea del Sur que venden soluciones antimalware.

“Los correos electrónicos incluían un PDF que supuestamente afirmaba ser una descripción de trabajo para un puesto en Samsung; sin embargo, los PDF tenían un formato incorrecto y no se abrían en un lector de PDF estándar”, “Cuando los objetivos respondieron que no podían abrir la descripción del trabajo, los atacantes respondieron con un enlace malicioso a malware que pretendía ser un ‘lector de PDF seguro’ almacenado en Google Drive que ahora ha sido bloqueado”.

dijeron los investigadores.

Google conectó los ataques al mismo actor de amenazas que previamente puso su mirada en los profesionales de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades a principios de este año para robar exploits y organizar más ataques contra objetivos vulnerables de su elección.

Si bien los recursos alojados en la nube agilizan las operaciones de la fuerza laboral, los delincuentes pueden intentar aprovechar la naturaleza omnipresente de la nube para comprometer los recursos de la nube. A pesar de la creciente atención pública a la ciberseguridad, las tácticas de ingeniería social y el spear-phishing suelen tener éxito.

FUENTE: https://blog.segu-info.com.ar/2021/11/aprovechan-google-cloud-para-minar.html

Avanzando a la Identidad Digital

La semana pasada hicimos una pequeña introducción sobre identidad digital y algunas siglas que aparecen al referirnos a este tema, tales como IAM (identity and access management). Hoy trataremos de profundizar en algunos algunos conceptos basandonos en el Gartner Hyper Cycle para Identity and Access Management Technologies.

Cuando hablamos de acceso, normalmente hablamos de preguntar una de 3 opciones: algo que yo sé, algo que yo tengo o algo que yo soy. Estas 3 preguntas hacen referencias a usuario y password, que es algo que yo sé. un token o soft-token que es algo que yo tengo y finalmente la biometría que es algo que yo soy.

Con el paso del tiempo, nos hemos dado cuenta que un password no es tan útil y requiere de administración ya que al incluir un password simple, este es fácilmente descifrable, por lo que hoy hablamos de administradores de password (bóvedas de seguridad, donde guardo los password) o múltiples factores de autenticación (2FA/MFA).

Si vemos el esquema dado por Gartner en su hyper cycle, el cual nos presenta distintas tecnologias agrupadas por la expectativas que producen y el tiempo asociado a la asimilación de estas tecnologias por el mercado (*1 – les dejo un link donde se puede entender mas de este modelo de Gartner), podemos ver que en la meseta de productividad (al lado derecho de gráfico) encontramos las soluciones del tipo PAM (Privileged Access Management), soluciones orientadas al manejo de credenciales de plataformas criticas y de usuarios administradores. @Makros recomienda Thycotic/Centrify (*2) como solución de PAM. Los invito a conoce un poco mas de PAM en el link 2 de referencias.

Luego, ya dentro de los productos maduro podemos ver distintas tecnologias asociadas al uso de tokens por Hardware o autenticaciones biométricas. El uso de las autenticaciones por token o vía software (soft-token) es ampliamente difundido en la Banca donde para poder acceder a hacer transferencias debemos hacer uso de algo que tengo (tarjeta de coordenadas, distintos tipos de token, u hoy en día, nuestros propios dispositivos móviles. En general, @Makros no recomienda el uso de mensajes de texto como autenticador, ya que este no refleja ninguna de las 3 preguntas anteriores, el recibir un mensaje no asegura la fuente del mensaje, por lo que no hablamos de algo que yo tengo, sino algo que recibí.

Cuando comenzamos a hablar de la autenticación de nuestros clientes, se abre un mundo particular y se produce una diferencia en las tecnologias. Cuando hablamos de IAM, normalmente hablamos del acceso a nuestras plataformas (@Makros recomienda ver securenvoy *3), por parte de nuestros usuarios. Cuando hablamos de PAM, hablamos del acceso a plataformas pero por parte de nuestros usuarios administradores, pero cuando hablamos del acceso de nuestros clientes a nuestras plataformas (por ejemplo para hacer transacciones) empezamos a hablar de CIAM (customer identity and Access Managment). Acá, la seguridad del acceso empieza a mezclarse con la capacidad de permitirle a nuestros clientes el acceso en forma fácil y expedita a nuestro recursos y comenzamos a hablar de fricción y de experiencia del usuario.

A quien no le ha pasado, que necesita hacer una transferencia rápida o comprar algo que esta en oferta solo por 5 minutos y necesito crear una cuenta y para esto me pide una password que debe tener x caracteres, mas números, mas mayusculas, mas símbolos y que uno normalmente se equivoca al ingresar y luego por nuestro error, nos manda a la validación donde sale una imagen y nos dices cuales son los semáforos o bicicletas … lo que normalmente nunca podemos identificar claramente y luego de una proeza épica, nos logramos autenticar, pero ya han pasado los 5 minutos de la oferta y el producto que querías comprar esta a precio normal.. cuando hablamos de fricción hablamos justamente de eso.

En este sentido @Makros te recomienda ver tecnologías como @transmitsecurity (*4) enfocada en el acceso sin fricción. Para comenzar a hablar del concepto de Passwordless, es decir, poder acceder a plataformas sin la necesidad de ingresar un password. Este tipo de conceptos comienzan a suponer el uso de protocolos distintos como es el caso de FIDO que podemos ver en el hyper cycle mas al centro, llegando al pick de las expectativas. De esto hablaremos en el próximo “esta semana en ciberseguridad…”

Referencias:
(1) https://www.gartner.es/es/metodologias/hype-cycle
(2) https://thycotic.com/resources/privileged-access-management/
(3) https://securenvoy.com/identity-access-management/
(4) https://www.transmitsecurity.com/why-transmit