Archivos del autor: Felipe Carmona

Vulnerabilidad SIMjacker ha rastreado y espiado a usuarios de teléfonos móviles por años

Investigadores de seguridad descubre un ataque basado en método SMS para rastrear y espiar a los usuarios de teléfonos móviles.

“Estamos seguros de que el desarrollo del ataque fue realizado por una compañía privada que trabaja directamente con gobiernos para monitorear personas.” Aseguran los investigadores de AdaptiveMobile Security.

“Creemos que esta vulnerabilidad ha sido explotada por al menos 2 años por un altamente sofisticado sistema de ataque en varios países, principalmente con fines de vigilancia”.

Los investigadores describen el ataque como “Un gran salto en complejidad y sofisticación”, comparado con los ataques realizados a redes móviles anteriormente y es considerable el escalamiento en las habilidades de los atacantes.

Como funciona SIMjacker

Todo comienza con un atacante utilizando un Smartphone con un modem GSM o cualquier servicio A2P para enviar mensajes de texto a sus víctimas.

Estos mensajes SMS contienen instrucciones ocultas de SIM Toolkit (STK) que son compatibles con el navegador S @ T de un dispositivo, una aplicación que reside en la tarjeta SIM, en lugar del teléfono.

El navegador S@T y el STK son una tecnología de hace ya varios años compatible con algunas redes móviles y sus tarjetas SIM. Se pueden usar para activar acciones en un dispositivo, como iniciar navegadores, reproducir sonidos o mostrar ventanas emergentes. Antiguamente, los operadores usaban estos protocolos para enviar a los usuarios ofertas promocionales.

Pero AdaptiveMobile dijo que el ataque SIMjacker abusa de este mecanismo para recuperar archivos, la localización e incluso el IMEI de los dispositivos de las víctimas, todo esto lo realiza a través de un mensaje de texto SMS.

Solo para empeorar las cosas el SIMjacker es completamente silencioso sin dejar ningún registro de estos mensajes en el equipo, por lo que las víctimas están expuestas durante largos periodos, por lo que se registra su ubicación.

Además, debido a que Simjack explota una tecnología que reside en la tarjeta SIM, el ataque también funciona independientemente del tipo de dispositivo del usuario.

“Hemos observado que los dispositivos de casi todos los fabricantes están dirigidos con éxito para recuperar la ubicación: Apple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT con tarjetas SIM”, dijeron los investigadores. La única buena noticia es que el ataque no se basa en mensajes SMS regulares, sino en códigos binarios más complejos, entregados como SMS, lo que significa que los operadores de red deberían poder configurar su equipo para bloquear dichos datos que atraviesan sus redes y llegan a los dispositivos del cliente.

Referencias:

https://www.cyberscoop.com/simjacker-mobile-phone-vulnerability/

https://www.abc.es/tecnologia/redes/abci-simjacker-solo-puede-hackearte-movil-y-espiar-ubicacion-201909140159_noticia.html

https://www.xatakamovil.com/seguridad/asi-simjacker-vulnerabilidad-tarjetas-sim-que-permite-conocer-ubicacion-usuario-todo-momento

https://www.zdnet.com/article/new-simjacker-attack-exploited-in-the-wild-to-track-users-for-at-least-two-years/

https://www.xataka.com/seguridad/simjacker-ultima-pesadilla-para-nuestra-privacidad-revela-tu-ubicacion-da-igual-que-tengas-movil-android-ios

Microsoft lanza un parche de emergencia para vulnerabilidad 0 day de Internet Explorer y Windows Defender

Microsoft lanza un parche de seguridad de emergencia para 2 nuevas vulnerabilidades, una de ellas es crítica y está siendo explotada en estos momentos por ciber criminales a través de Internet Explorer.

Descubierta y asignada al CVE-2019-1367 por Clément Lecigne de Google’s Threat Analysis Group, la vulnerabilidad permite ejecutar código de forma remota manipulando objetos en la memoria del equipo por medio de Internet Explorer.

Esta manipulacion de información podría llevar a tomar el control absoluto de la máquina, solo visitando un sitio web especialmente diseñado en Internet Explorer.

Un atacante que explotó con éxito la vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, un atacante podría tomar el control de un sistema afectado“, indica Microsoft.

Esta vulnerabilidad afecta directamente a las versiones 9, 10 y 11 de Internet Explorer y aunque lo ideal es que los usuarios estén constantemente actualizando el software, es altamente recomendable utilizar un browser más seguro, como Google Chrome o Mozilla Firefox.

Según Microsoft esta vulnerabilidad esta siendo explotada en este momento, pero no revela detalles de la forma en la que se lleva acabo la explotación.

Microsoft también lanzó una segunda actualización de seguridad para parchar una vulnerabilidad de denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que esta incluido en Windows 8 y versiones posteriores del sistema operativo.

Descubierta y asignada a CVE-2019-1255 por Charalampos Billinis de F-Secure and Wenxu Wu of Tencent Security Lab, la vulnerabilidad reside en la forma en que Microsoft Defender maneja los archivos y existe en las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.

De acuerdo a lo publicado por Microsoft un atacante que explote esta vulnerabilidad exitosamente puede evitar que cuentas autorizadas, ejecuten binarios legítimos en el sistema, pero para explotar esta falla, el atacante “primero requeriría la ejecución en el sistema de la víctima“.

La actualización de seguridad para Microsoft Defender es automática y por lo tanto, se aplicará a través del motor de protección contra malware de Microsoft. La falla se ha solucionado en el motor de protección contra malware de Microsoft versión 1.1.16400.2, por lo que se recomienda actualizar lo antes posible.

Referencias

https://thenextweb.com/security/2019/09/24/microsoft-issues-emergency-windows-patch-to-address-internet-explorer-zero-day-flaw/
https://www.computerworld.com/article/3440741/microsoft-releases-emergency-ie-patches-inside-optional-non-security-cumulative-updates.html
https://thehackernews.com/2019/09/windows-update-zero-day.html
https://www.infosecurity-magazine.com/news/microsoft-issues-emergency-patch-1/
https://techcrunch.com/2019/09/24/microsoft-emergency-patch-windows/
https://www.bbc.com/news/technology-49809453
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

Lilocked (Lilu) Ransomware infecta a miles de servidores web

Un ransomware relativamente nuevo llamado Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra encriptando datos en servidores web. Todos los servidores infectados conocidos son sitios web, lo que provoca que los archivos encriptados se encuentren fácilmente en resultados de búsqueda de Google.

El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.

Además, las estadísticas de envíos de ID Ransomware muestran que esta infección tiene un volumen bajo pero constante, de envíos al servicio de identificación de ransomware.

No se sabe si Lilu se dirige específicamente a los servidores web, pero la mayoría de los archivos enviados vistos encontrados están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón como WordPress, Magento u otros sitios de CMS comúnmente pirateados.

Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.

Para cada carpeta infectada Lilocked deja una nota llamada #README.lilocked.

La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.

Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.

Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.

Hasta este momento no se conoce una forma efectiva de desencriptar los archivos,  también se descubrió ­­­­­­el correo asociado al ataque.

Referencias:

https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/

https://www.notebookcheck.net/Lilu-Lilocked-ransomware-has-now-infected-thousands-of-Linux-servers.434547.0.html

https://blog.knowbe4.com/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

https://www.linuxadictos.com/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux.html

KDE Desktop de Linux podría ser hackeado solo bajando un archivo, sin la necesidad de abrirlo

Si estas corriendo el escritorio KDE de linux tienes que ser extremadamente cuidadoso de no descargar ningún archivos “.desktop” o “.directory” por algún tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad zero-day sin parches en el framework de KDE, que podría permitir que los archivos .desktop y .directory creados de forma malintencionada, ejecuten silenciosamente código arbitrario en la computador de un usuario, sin siquiera requerir que la víctima lo abra realmente.

KDE Plasma es uno de los mas populares ambientes de escritorio open-source widget-based para usuarios de Linux y viene por defecto en varias distribuciones de este sistema operativo, como en Manjaro, openSUSE, Kubuntu y PCLinuxOS.

Dominik Penner el investigador que hizo el descubrimiento, se contactó con The Hacker News para informar de una vulnerabilidad de inyección de comandos en el escritorio de KDE 4/5 Plasma, esto debido a la forma en que KDE maneja los archivos .desktop y .directory. 

Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell utilizando KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()” , Dijo Dominik Penner.

Sacándole partido a esta falla, afectando al paquete 5.60.0 o versiones anteriores del KDE Frameworks, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

Usando un archivo .desktop especialmente diseñado, un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio“.

Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE“, explicó Penner.

En la prueba de concepto, Penner publicó 2 videos demostrando el ataque exitoso al KDE KDesktopFile Command Injection vulnerability, todo esto junto al respectivo código para explotar esta vulnerabilidad.

Aparentemente, esta publicación se realizó antes de ser reportada a los desarrolladores de KDE, la KDE Community reconoció esta vulnerabilidad y aseguró que la solución ya viene en camino.

Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo” anunció la KDE Community.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que simplemente “eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables” durante un tiempo hasta que se repare la vulnerabilidad.

Referencias:

https://mastodon.technology/@kde/102571278750266664 https://securityaffairs.co/wordpress/89527/hacking/kde-zero-day-vulnerability.html

https://www.zdnet.com/article/unpatched-kde-vulnerability-disclosed-on-twitter/

Descubren una vulnerabilidad en KDE Plasma fácil de explotar

https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html?m=1

https://www.cvedetails.com/vulnerability-list/vendor_id-77/KDE.html

Vulnerabilidades en HTTP/2 expone a millones de sitios a ataques DoS

En HTTP/2, la ultima version de protocolo de red HTTP se han encontrado múltiples vulnerabilidades de seguridad que afectan al web server mas popular, que incluye Apache, Microsoft´s IIS y NGINX.

Lanzado en mayo del 2015, HTTP/2 fue diseñado para mejorar la experiencia de navegación mejorando la velocidad de carga de las paginas y su seguridad. Al día de hoy mas de cien millones o un 40% de los sitios de internet están usando este nuevo protocolo.

Se encontraron un total de 8 vulnerabilidades graves en HTTP/2, siete de estas descubiertas por Jonathan Looney de Netflix y una por Piotr Sikora de Google, existen debido al agotamiento de los recursos cuando se manejan entradas maliciosas, lo que permite que un cliente sobrecargue el código de gestión de colas del servidor.

Estas vulnerabilidades son explotables en DoS (Denial of Service), esto podría afectar a los millones de servicios que están corriendo en un servidor web con la implementación HTTP/2.

¿Como es el ataque en términos simples?, básicamente es que un cliente malicioso le pide a un servidor vulnerable objetivo que haga algo que genere una respuesta, pero luego el cliente se niega a leer la respuesta, forzándolo a consumir memoria y CPU excesivas mientras procesa las solicitudes.

Estos defectos permiten una pequeña cantidad de sesiones maliciosas de bajo ancho de banda, esto para evitar que los participantes de la conexión realicen un trabajo adicional. Es probable que estos ataques agoten los recursos de manera que otras conexiones o procesos en la misma máquina también puedan verse afectados o bloquearse“, explica Netflix en un aviso publicado el martes.

La mayoría de las vulnerabilidades enumeradas a continuación funcionan en la capa de transporte HTTP / 2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

Algunos son lo suficientemente eficientes como para que un único sistema final pueda causar estragos en varios servidores. Otros ataques son menos eficientes; sin embargo, incluso los ataques menos eficientes pueden abrir la puerta a ataques DDoS que son difíciles de detectar y bloquear“, señala el aviso.

De todas formas estas vulnerabilidades no permiten la modificación ni extracción de datos de contenidos en los servidores, solo se pueden utilizar para aplicar la técnica de DoS.

El equipo de seguridad de Netflix se asocio con Google y el centro de coordinación CERT para poder informar de manera responsable las vulnerabilidades a cada uno de los proveedores y mantenedores afectados por lo antes mencionado.

Según el CERT, los proveedores afectados incluyen NGINX , Apache , H2O , Nghttp2, Microsoft (IIS), Cloudflare , Akamai , Apple ( SwiftNIO), Amazon, Facebook (Proxygen), Node.js y Envoy proxy, muchos de los cuales ya han lanzado parches de seguridad y avisos.

Referencias:

https://thehackernews.com/2019/08/http2-dos-vulnerability.html

https://kb.cert.org/vuls/id/605641/

https://www.f5.com/labs/articles/threat-intelligence/denial-of-service-vulnerabilities-discovered-in-http-2

https://www.zdnet.com/article/severe-vulnerabilities-discovered-in-http2-protocol/

https://www.redeszone.net/2019/08/14/nuevas-vulnerabilidades-http2-explotar-servidores-no-parcheados/

http://sedici.unlp.edu.ar/handle/10915/68348

Grupo de cibercriminales Silence APT apunta a nuevos mercados

Silence APT, es un grupo de cibercriminales de habla rusa, conocido por atacar en un comienzo principalmente a organizaciones financieras soviéticas, en este momento ha tomado un nuevo rumbo y se encuentra presente en mas de 30 países ubicados en América, Europa, África y Asia.

El famoso grupo se encuentra activos desde al menos septiembre del año 2016, el ataque exitoso mas reciente fue contra el Dutch-Bangla Bank con sede en Bangladesh, quienes perdieron mas de 3 millones en solo unos días, esto en efectivo girado desde cajeros automáticos.

De acuerdo a un nuevo reporte de la firma Group-IB, el grupo se ha expandido geograficamente de forma considerable en los últimos meses, aumentando la cantidad de ataques.

El reporte también describe al grupo como “hackers jóvenes altamente motivados” a uno de los grupos más sofisticados que ahora representa amenazas para los bancos de todo el mundo.

El grupo esta constantemente actualizando su TTP (tactics, technics and procedures) y cambiando sus alfabetos encriptados, textos y comandos bot y el módulo principal evadan la detección mediante herramientas de seguridad.

“Además, el actor ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers también comenzaron a usar Ivoke y un agente EDA, ambos escritos en PowerShell”. dijeron los investigadores.

EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y dnscat2.

Así como la mayoría de estos grupos, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y atajos .LNK como archivos adjuntos maliciosos para comprometer a sus víctimas.

Para elegir sus objetivos, el grupo primero crea una “lista de objetivos” actualizada de direcciones de correo electrónico activas, mediante el envío de “correos electrónicos de reconocimiento”, que generalmente contienen una imagen o un enlace sin una carga maliciosa.

 “Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, según el informe.

“En noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez en su historia. En total, Silence envió alrededor de 80,000 correos electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea del Sur”.

Con los últimos ataques efectuados por Silence desde mayo del 2018 hasta el primero de agosto de este año, los investigadores describen el incremento del daño de sus operaciones, confirmaron que la cantidad de fondos robados por Silence se ha quintuplicado desde sus inicios.

Los investigadores también sospechan que los TrueBot (aka Silence.Downloader) y FlawedAmmyy, fueron desarrollados por la misma persona ya que ambos malware están firmados por el mismo certificado digital .

El FlawedAmmyy es un troyano de acceso remoto (RAT) asociado al TA505, otro grupo de habla rusa, responsable de varios ataques de larga escala, donde están involucrados varios ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes multimillonarios desde al menos 2014.

“La creciente amenaza planteada por Silence y su rápida expansión global, nos llevaron a hacer públicos ambos informes para ayudar a los especialistas en ciberseguridad a detectar y atribuir correctamente los ataques mundiales de Silence en una etapa temprana”, dijeron los investigadores.

Group-IB no compartió los nombres de los bancos que son objetivos del mencionado grupo, pero afirmaron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

El grupo de investigadores ha detallado aun mas los ataques de Silence APT y lo ha plasmado en su informe titulado “Silence 2.0: Going Global”, a continuación les dejo un link al informe de Group-IB, por si quieren obtener más información.

https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf

Referencias:

https://www.group-ib.com/media/silence-attacks/

https://www.group-ib.com/resources/threat-research/silence-attacks.html

https://thehackernews.com/2019/08/silence-apt-russian-hackers.html

https://brica.de/alerts/alert/public/1266218/bangladesh-cyber-heist-20-silence-apt-goes-global/

https://itconnect.lat/portal/2019/07/03/silence-666/

Violación de firewall de Imperva, expone datos de sus clientes incluyendo certificados SSL y llaves de APIs.

Imperva, una de las startups lideres en ciberseguridad cuya misión es ayudar a empresas a proteger información crítica y aplicaciones de ciberataques, fue víctima de una filtración de información delicada significativa en algunos de sus clientes.

La filtración de información, afecta principalmente a clientes de Imperva Cloud Web Application Firewall (WAF), anteriormente conocido como Incapsula, un servicio CDN centrado en la seguridad, conocido por su mitigación de DDoS y características de seguridad de aplicaciones web que protegen los sitios web de actividades maliciosas.

En una publicación realizada en el blog de la compañía, realizada por Chris Hylen CEO (Chief Executive Officer) de Imperva, reveló que la compañía se enteró del incidente el 20 de agosto de 2019, solo después de que alguien informara sobre la exposición de datos que “afecta a un subconjunto de clientes de su producto Cloud WAF, que tenían cuentas hasta el 15 de septiembre de 2017 “.

La información expuesta incluye direcciones de correo electrónico y contraseñas de todos los clientes de Cloud WAF quienes fueron registrados antes del 15 de septiembre del 2017, así como claves API y certificados SSL proporcionados por el cliente para un subconjunto de usuarios.

Activamos nuestro equipo y protocolo interno de respuesta de seguridad de dato y continuamos investigando con toda la capacidad de nuestros recursos como ocurrió esta exposición“, dice la compañía.

Hemos informado a las agencias reguladoras globales apropiadas y contamos con asesoría de expertos forenses externos“.

La compañía aun no revela la forma en la que se produjo la filtración, si sus servidores se vieron comprometidos o si se dejaron sin seguridad accidentalmente en una base de datos mal configurada en Internet.

Imperva aun se encuentra investigando el incidente y aseguran que fueron informados todos los clientes que fueron directamente afectados y también está tomando medidas adicionales para aumentar su seguridad.

Lamentamos profundamente que este incidente haya ocurrido y continuaremos compartiendo actualizaciones en el futuro. Además, compartiremos los aprendizajes y las nuevas mejores prácticas que puedan surgir de nuestra investigación y las medidas de seguridad mejoradas con la industria en general“, dice la compañía.

Se recomienda a los usuarios de Cloud WAF que cambien las contraseñas de sus cuentas, implementen Single Sign-On (SSO), habiliten la autenticación de dos factores (2FA), generen y carguen nuevos certificados SSL y restablezcan sus claves API.

Referencias:

https://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/

https://thehackernews.com/2019/08/imperva-waf-breach.html

https://unaaldia.hispasec.com/2019/08/fuga-de-informacion-en-cloud-web-application-firewall-de-imperva.html

Google descubre que solo visitando algunos sitios los IPhones fueron hackeados durante años

Si, tu IPhone puede ser hackeado solo visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron un descubrimiento terrorífico.

La historia se remonta a una cadena de ataques generalizados para iPhone, que los investigadores de ciberseguridad del proyecto “Cero” de Google descubrieron a principios de este año, esto se logra implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes para IPhone.

Estos exploits, los cuales explotan un total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10” hasta la mas reciente “iOS 12”.

Según la publicación realizada por el investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el momento del descubrimiento y sorprendentemente la cadena de ataque permaneció sin ser detectada durante al menos dos años.

Aun que los detalles técnicos de estas 2 vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero luego de el lanzamiento de la versión 12.1.4 de iOS.

Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que fueron revelados públicamente el 7 de febrero de 2019 “, dice Beer.

Ahora los investigadores de Google explican, el ataque comenzó a través de una pequeña cantidad de sitios hackeados con miles de visitas por semana, dirigidos a todos los usuarios de iOS que visitan esos sitios web sin discriminación alguna.

Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice Beer.

Una vez que el usuario de Iphone visite un sitio corrompido a través de Safari, se activa el exploits WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto de acceso en la raiz del dispositivo.

Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.

No hay un indicador visual en el dispositivo de que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema“, explica Beers.

El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.

Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando “, dice Beers.

Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.

Alternativamente, como explica Beer, los atacantes pueden “mantener un acceso persistente a varias cuentas y servicios mediante el uso de tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo“.

Referencias:

https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html

https://www.cbsnews.com/news/google-iphone-hack-discovered-mass-ios-hacking-attack-sustained-over-at-least-two-years-2019-08-30/

https://www.thesun.co.uk/tech/9826781/google-iphone-hacked-websites-how/

https://thehackernews.com/2019/08/hacking-iphone-ios-exploits.html

https://www.newsweek.com/has-your-iphone-been-hacked-google-malware-apple-ios-cybersecurity-1456983

https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/

https://www.theguardian.com/technology/2019/aug/30/hackers-monitoring-implants-iphones-google-says

“MACHETE” el grupo secreto de hackers que roba GBs de archivos confidenciales al ejercito venezolano

Investigadores de la empresa de ciberseguridad “ESET” descubrieron una campaña especifica de ciber espionaje, cuyo propósito es robar documentos confidenciales de las Fuerzas Armadas venezolanas.

Ellos extraen archivos de tipo especializados utilizados por el software de sistemas de información geográfica (GIS)”, dijo Matias Porolli investigador de ESET.

Los atacantes se interesan específicamente en archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares”.

Alrededor de un 75% de las infecciones de estos virus operados por Machete, están ubicados en Venezuela, esto junto a otras víctimas repartidas por Ecuador, Colombia y Nicaragua.

La primera documentación existente fue realizada por Kaspersky en 2014, el grupo “Machete ” esta activo desde el año 2010, enfocado en varios objetivos dentro de Latinoamérica. Pero al comienzo del 2019, ESET dijo que se ha centrado principalmente en sus esfuerzos de piratería en Venezuela.

Los investigadores encontraron mas de 50 computadores infectados que se comunicaban a través de servidores command-and-control (C&C), en el periodo que abarca entre Marzo y Mayo del año 2019. Esto es para implementar cambios rutinarios de malware en su infraestructura para frustrar la detección y modificar las campañas de phishing.

El modus-operandi

El grupo de espionaje utiliza una técnica más que probada, esto es enviando correos con archivos maliciosos (phishing).

Para atraerlos a abrir los correos electrónicos, el grupo utiliza inteligentemente documentos militares clasificados previamente robados, incluidos radiogramas, el formato ampliamente utilizado por las organizaciones militares para transmitir mensajes. Además, los atacantes aprovechan su conocimiento de la jerga militar y la etiqueta para elaborar correos electrónicos de phishing convincentes.

Una vez abierto el documento señuelo, infecta el dispositivo del objetivo con un virus de backdoor. ESET dijo que el malware (codificado en Python), es una nueva versión que se vio por primera vez hace un año.

El virus incluye persistentemente un componente espía que se ejecuta indefinidamente en segundo plano, copiando y encriptando documentos, tomando capturas de pantalla y actuando como keylogger. También se comunica con el servidor de C&C cada 10 minutos para enviar los datos robados y enmascarar su verdadera intención al nombrar sus archivos como “Google” (GoogleCrash.exe y GoogleUpdate.exe).

ESET dijo que la campaña de phishing todavía está activa hasta el día de hoy, y que los piratas informáticos han extraído con éxito gigabytes de documentos confidenciales cada semana.

¿”Machete” Quienes son?

ESET a encontrado varias instancias de palabras en español en el código de malware, con los registros generados al capturar las pulsaciones de teclas y los datos escritos del portapapeles en el mismo idioma. Esto sugiere que han sido desarrollados por un grupo de habla hispana.

Divulgaciones públicas anteriores de Kaspersky y Cylance (que fue adquirida por BlackBerry a principios de este año) se han hecho eco de hallazgos similares, pero los detalles sobre su identidad exacta siguen siendo desconocidos

El grupo detrás de Machete ha logrado continuar operando incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware“, concluyeron los investigadores de ESET. “Sin embargo, son las organizaciones seleccionadas las que han fallado en crear conciencia y aplicar políticas de seguridad para que los empleados no caigan en estos ataques en primer lugar“.

Referencias:

https://www.abc.es/tecnologia/informatica/software/abci-machete-virus-esta-robando-informacion-militar-venezuela-nicolas-maduro-201908051130_noticia.html

https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/

https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf

https://thenextweb.com/security/2019/08/06/secretive-machete-hacker-group-steals-gbs-worth-of-sensitive-files-from-the-venezuelan-military/

https://unaaldia.hispasec.com/2019/08/machete-el-how-to-del-malware-que-ha-puesto-en-jaque-al-ejercito-de-venezuela.html

7.5 TB de datos son robados al servicio de inteligencia de Rusia

La BBC de Londres en Rusia, informó que los servicios de inteligencia rusos fueron víctimas de uno de los más grandes ciberataques de su historia. Un grupo de cibercriminales llamado “0v1ru$” ha conseguido provocar una brecha masiva en SyTech, un contratista de la FSB (Servicio Federal de Seguridad Ruso).

El ataque de 0v1ru$ fue realizado el día 13 de Julio, y una vez teniendo acceso a la información, robaron 7.5 TB de datos desde la red de SyTech.

Continuar leyendo