Archivos del autor: Felipe Rodriguez

El ransomware “MegaCortex” quiere ser El Único

La súbita aparición de este nuevo ransomware en un gran número de redes empresariales no era el regalo del Día del Trabajo que todos esperaban.
Un nuevo ransomware que se hace llamar MegaCortex tuvo una explosión de vida el miércoles pasado, cuando fueron detectados un gran número de ataques en contra de clientes Sophos al rededor del mundo. Los atacantes que entregaban este nuevo malware emplearon sofisticadas técnicas en sus intentos de infectar a las víctimas.
El intrincado método de infección que MegaCortex emplea, apalanca componentes automáticos y manuales, pareciera que incluye una gran cantidad de automatización para infectar un gran numero de víctimas. En los ataques investigados, los atacantes utilizaron un script de ataque bien común en los red-team para invocar en el ambiente de la víctima un reverse shell de meterpeter. Desde el shell inverso, la cadena de infección utiliza scripts de PowerShell, archivos por lotes desde servidores remotos, y comandos que solamente se ejecutan en algunas máquinas específicas para que el malware descargue ejecutables encriptados, que inicialmente han sido empotrados en el malware primario.
El ataque es iniciado desde un controlador de dominio interno en la red corporativa, cuyas credenciales parecieran estar comprometidas, en lo que sugiere una intrusión e infección manual.
El nombre del malware es un homenaje mal escrito a la corporación burocrática en la cual trabaja el personaje “Thomas A. Anderson” (Neo) en la primera película de The Matrix. La nota de rescate pareciera ser uno de los diálogos del personaje de Lawrence Fishbourne en esta película, Morpheus.

La referencia cinematográfica de la nota de rescate no es sólo eso. La carga ejecutable firmada digitalmente que utiliza para realizar la encriptación tiene un certificado con un CN idéntico al encontrado en ejecutables de noviembre de 2018 mientras aún se buscan las similitudes con muestras más recientes. Al buscar en este CN, los investigadores de Sophos hallaron aún más muestras en su repositorio, las cuales parecieran estar relacionadas con el mismo atacante.
La muestra más antigua hallada de este malware corresponde a una subida a VirusTotal desde República Checa el 22 de enero de este año. Los primeros reportes de usuarios afectados se remontan a febrero, aunque sin infecciones muy extensas, sólo desde el peak del 1 de mayo es cuando se han presentado la mayor cantidad de alertas.

Mientras que la nota de rescate no menciona un precio que estos criminales demanden, ellos sí ofrecen a sus víctimas “una consultoría acerca de cómo mejorar la ciberseguridad de su compañía” y además “garantizan que su compañía jamas será nuevamente incomodada por ellos”.
Mientras que los números de infecciones van al alza, Sophos reunió un equipo de analistas de malware y staff de soporte para apoyar el análisis inicial del ataque y sus repercusiones.
Como funciona MegaCortex
Ahora mismo, no podemos indicar certeramente si los ataques de MegaCortex son apoyados u orquestados por el malware Emotet, pero hasta ahora en la investigación (aún en curso) pareciera existir una correlación entre los ataques con MegaCortex y la presencia de Emotet en la misma red, además del malware Qbot.
En ambas familias de malware existe la habilidad de servir como punto de entrada para otras cargas útiles de malware, con Emotet asociado con el malware de robo de credenciales Trickbot, el cual puede descargar e instalar malware adicional en los equipos infectados, auqnue aún no se encuentra evidencia directa de que estos otros malware sean la fuente de la infección.
En vez de esto, las víctimas reportan que el ataque fue iniciado desde algún controlador de dominio comprometido.
El atacante, utilizando credenciales robadas, ejecutó un script de PowerShell el cual estaba fuertemente ofuscado:

Retirando tres capas de ofuscamiento se revela una serie de comandos que descodifica un bloque codificado en base64. Este bloque pareciera ser un script de Cobalt Strike, el cual abre un shell reverso de Meterpreter en la red de la víctima.

El atacante entonces envía comandos mediante el controlador de dominio en el cual tiene acceso remoto.
Este DC utiliza WMI para enviar el malware en forma de una copia de PsExec renombrada como rstwg.exe, el malware principal ejecutable y archivo por lotes, al resto de los computadores en la red que estén a su alcance, posteriormente ejecutará el batch remotamente mediante PsExec.
El batch pareciera ser sólo una larga lista de comandos para matar 44 procesos, detener 189 servicios distintos, y modificar el Startup Type hacia Disabled en 194 servicios distintos, lo que previene que se vuelvan a ejecutar.

Los atacantes apuntan a una gran cantidad de software de seguridad, incluyendo algunos servicios de Sophos, para de esta forma detenerlos y modificar su estado a deshabilitado, de todas maneras una instalación configurada apropiadamente no permite que se realicen estas acciones.

Finalmente este batch llama al ejecutable descargado previamente winnit.exe, el cual es ejecutado con flags de ejecución que son un trozo de datos codificados en base64.

Este comando llama a winnit.exe para descargar y ejecutar una carga DLL que tiene 8 caracteres alfanuméricos aleatorios como nombre, el cual realiza la encriptación hostil. Esto indica que los atacantes utilizan otros archivos por lotes, llamados 1.bat hasta 6.bat, los cuales contienen los comandos para distribuir el winnit.exe y ejecutar el batch por la red de la víctima.

La demanda de rescate
Típicamente la nota de rescate aparece en la raíz del disco duro de la víctima, en forma de un archivo de texto. En este caso aparece con colores invertidos en una tónica alusiva a las referencias con la película The Matrix, incluyendo una cita textual de un diálogo:

Este ransomware genera un archivo con la extensión .tsv y con el mismo nombre de los 8 caracteres alfanuméricos aleatorios que el DLL malicioso. La nota de rescate solicita que la víctima envíe este archivo con su requerimiento para pagar el rescate, a cualquiera de los 2 emails gratuitos que indica cómo contacto.
Protección recomendada para MegaCortex
Aún se encuentra en desarrollo una perspectiva mas clara del proceso de infección, pero de momento, parece ser que existe una fuerte correlación entre la presencia de MegaCortex, y la preexistencia de Emotet y Qbot en las redes infectadas. Si recibe alertas de Emotet o Qbot, podrían ser prioritarias. Ambos malware pueden ser utilizados para distribuir otro malware, y es posible de que así sea el proceso de inicio de infección con MegaCortex.
No se han observado indicios de que exista abuso o explotación de RDP para ingresar a las redes de las víctimas, pero sí es sabido de agujeros en los firewalls corporativos que permitirían que personas se conecten mediante RDP frecuentemente. Se recomienda fuertemente la no utilización de esta práctica y en caso de ser necesario el acceso por RDP utilizar VPN.
Como este ataque pareciera indicar de que existe abuso de contraseñas administrativas, también se recomienda la adopción de un segundo factor de autenticación para todo lo que actualmente requiere sólo una contraseña y tiene la capacidad de utilizar 2FA.
Mantener respaldos de la data más importante y actualizada en un servicio de almacenamiento offline es la mejor forma de evitar el tener que pagar un rescate por ransomware.
Recuerde que los criminales que ya han entrado a una red y encriptan cientos de endpoints, prometen que al pagarles el rescate ellos no lo harán nuevamente, algo de lo que no es posible estar muy seguros.
Sophos Antivirus detecta estas muestras como Bat/Agent-BBIY, Troj/Agent-BBIZ, Troj/Agent.BAWS, y Troj/Ransom-FJQ. Sophos InterceptX además protege a los usuarios del ataque.
IOC
IP del C2 shell reverso de Meterpreter:
89.105.198.28
Hashes:
Batch: 37b4496e650b3994312c838435013560b3ca8571
PE EXE: 478dc5a5f934c62a9246f7d1fc275868f568bc07
Inyector de DLL secundario: 2f40abbb4f78e77745f0e657a19903fc953cc664
Fuente:
https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Fabricante mundial de aluminio afectado por ransomware

Numerosas fuentes de información indican que la mayor productora de aluminio del mundo, Norsk Hydro, fue víctima de un ciberataque a gran escala. La consecuencia de este ataque es que la multinacional tuvo que cambiar a operación manual “en lo posible”. Las operaciones en Noruega, Brasil y Qatar son algunas de las afectadas por este ataque.
Norsk Hydro es una de las mayores productoras de aluminio a nivel mundial, con operaciones en más de 50 países y presencia en los 5 continentes
El área TI de Norsk Hydro indica que este ataque comenzó en Estados Unidos presumiblemente mediante un ataque a los servidores de Active Directory, paralizando las operaciones al dejar los sistemas TI de la compañía inutilizables. Las medidas mitigatorias e investigación para obtener mayores detalles de este ataque siguen en curso, en una videoconferencia de prensa la empresa declaró que “La mayor prioridad es continuar operando asegurando la seguridad y resguardando el impacto financiero” además de que “El problema no ha conllevado ningún incidente de seguridad”. A los usuarios se les indicó que no conectaran ningún dispositivo a la red de Hydro.
También indicaron de que se encuentran afectados por una variante relativamente nueva del ransomware LockerGoga, el cual encripta todos los archivos en el sistema para luego solicitar un rescate, como cualquier ransomware.
Un punto a destacar acerca de Norsk Hydro, es que su DRP (Protocolo de recuperación ante desastres) funcionó muy bien, evitando una mayor catástrofe y mejorando la posibilidad de recuperación de los datos encriptados gracias a sus respaldos.
Se acuerdo a reportes de la prensa local NRK y Reuters, expertos indican que LockerGoga no es un malware muy extendido. Norsk Hydro está recibiendo también ayuda de la Autoridad de Seguridad Nacional Noruega (NNSA), la cual se encuentra en red con potras agencias para profundizar en la investigación de este ataque.
Aún es muy pronto para cuantificar el daño económico que este ataque ha causado a la compañía, sin embargo el valor de sus acciones cayó en 1% inmediatamente después de que este ataque fuera conocido por la prensa. Luego debido al eficiente manejo de la crisis estas acciones no han parado de subir su valor, demostrando que una buena postura de seguridad puede inclusive aumentar el valor de una compañía.
Este malware también se utilizó para un ataque a la consultora francesa de ingeniería Altran Technologies. Este malware no necesitaría conexión de red o un servidor de comando y control, y sólo es detectable por algunos productos anti-malware, por lo que se recomienda agregar manualmente las siguientes firmas:
MD5:
758dc3049ca9c341c467bf7584fea77d
e9cf132ec4ae53fd577acd75d0f2f2fd
7875cbf4a0d2bf8dcfc3e8050d9155d7
989c5454046d063763761caf32d530cc
baeab56fc43111e778df3bb41ed018c4
750f943fd8f57b6ebbbace17cb4ced03
e11502659f6b5c5bd9f78f534bc38fea
SHA1:
b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b
SHA256:
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
ec52b27743056ef6182bc58d639f477f9aab645722f8707300231fd13a4aa51f
Fuentes:

Apps con cryptojacking y adware en Google Play

Los ciberdelincientes especializados en criptomonedas han cambiado su foco hacia los dispositivos móviles para minar criptomonedas, esto mediante aplicaciones infectadas.
Sophos llevó una investigación en conjunto con Cyber Threat Alliance para revisar la existencia de código de criptominado en apps móviles.
En octubre de 2018 hallaron 25 aplicaciones educativas, de juegos y servicios en Google Play que contenían código de criptominado. Al ejecutarse relizaban este proceso en segundo plano para ocultar a los usuarios el verdadero fin de estas apps.
La mayor parte de éstas incluyeron el código del malware de minado Coinhive, escrito originalmente en JavaScript para minar la criptomoneda Monero. Coinhive se especializa en realizar el criptominado utilizando la CPU, a diferencia de la mayoría de las aplicaciones de criptominado que utilizan los procesadores gráficos para esta labor.
Las apps de criptominado fueron prohibidas en Google Play, sin embargo, muchas pasan por los filtros previos a la publicación. La inclusión de código para estos fines es relativamente sencilla, con unas cuantas líneas de código y llamando a un proceso del motor del navegador integrado WebView.

Sin perjuicio de lo anteriormente expuesto, en la segunda semana de marzo de 2019, Google Play eliminó más de 200 aplicaciones de juegos y simuladores que contenían adware (malware de publicidad). Los usuarios afectados tienen que eliminar estas aplicaciones de forma manual.
El malware utilizado en esta campaña es SimBad, el cual muestra publicidad no deseada, además de acceder a datos personales y compartirlos a terceros. Junto con esto, SimBad tiene características de acceso remoto, por lo que puede “actualizarse” bajo demanda de los atacantes a cargo o inclusive, instalar un proceso de criptominado en segundo plano.
Las características de una infección por malware en móviles son:
Muestran anuncios fuera de las aplicaciones. Por ejemplo, cuando los usuarios desbloquean el teléfono o abren otras aplicacionesAbren constantemente tanto Google Play como 9Apps Store y redireccionan a otra aplicación con el objetivo de aumentar sus beneficios por la instalación de otras aplicacionesPara evitar ser desinstaladas, las aplicaciones esconden al launcher su icono de inicio de aplicaciónAbren un navegador con enlaces generados por el desarrollador de la aplicaciónDescargan archivos APK y piden al usuario que los instaleBúsqueda de palabras en Google Play propuestas por la aplicación
Para eliminar estas aplicaciones maliciosas instaladas en un dispositivo Android, es recomendado reiniciar el dispositivo en Modo Seguro, luego ejecutar un scan con antivirus como Sophos Mobile, y luego ingresar a Configuración para eliminar manualmente algún rastro de estas aplicaciones maliciosas, y finalmente reiniciar normalmente el dispositivo.
Las aplicaciones infectadas (recomendamos eliminarlas inmediatamente):
App – Package
Snow Heavy Excavator Simulator – com.heavy.excavator.simulator.driveandtransportHoverboard Racing – com.hoverboard.racing.speed.simulatorReal Tractor Farming Simulator – com.zg.real.tractor.farming.simulator.gameAmbulance Rescue Driving – com.ambulancerescue.driving.simulatorHeavy Mountain Bus Simulator 2018 – com.heavymountain.bus2018simulatorFire Truck Emergency Driver – com.firetruckemergency.driverFarming Tractor Real Harvest Simulator – com.farming.tractor.realharvest.simulatorCar Parking Challenge – com.carparking.challenge.parksimulatorSpeed Boat Jet Ski Racing – com.speedboat.jetski.racing.simulatorWater Surfing Car Stunt – com.watersurfing.carstunt.racing.simulatorOffroad Wood Transport Truck Driver 2018 – com.offroad.woodtransport.truckdriverVolumen booster & Equalizer – com.volumen.booster.equalizerPrado Parking Adventure – com.ks.prado.Car.parking.race.drive.appsOil Tanker Transport Truck Driver – com.zg.offroad.Oil.tanker.transporter.truck.cargo.simulatorMonster Truck Demolition – com.monstertruck.demolitionHummer taxi limo simulator – com.hummerlimotaxi.simulator.drivingExcavator Wrecking Ball Demolition Simulator – com.excavator.wreckingball.demolition.simulatorOffroad Gold Transport Truck Driver 2018 – com.offroad.gold.transport.truckSea Animals Truck Transport Simulator – com.sea.animals.trucktransport.simulatorWater Surfing Motorbike Stunt – com.water.surfingrace.motorbike.stuntPolice Chase – com.policechase.thiefpersecutionPolice Plane Transporter – com.police.plane.transporter.gameAmbulance Driver Extreme Rescue – com.ambulance.driver.extreme.rescue.simulatorHovercraft Racer – com.hovercraftracer.speedracing.boatCars Transport Truck Driver 2018 – com.cars.transport.truckdriver.simulatorMotorbike Pizza Delivery – com.motorbike.pizza.delivery.drivesimulatorHeavy Excavator – Stone Cutter Simulator – com.heavy.excavator.stonecutter.simulatorBottle shoot archery – com.bottle.shoot.archery.gameOffroad buggy car racing – com.offroadbuggy.car.racingsimulatorGarbage Truck – City trash cleaning simulator – com.garbagetruck.city.trash.cleaningsimulatorTanks Attack – com.tanks.attack.simulator.war.attackDinosaur Park – Train Rescue – com.dinosaurpark.trainrescuePirate Ship Boat Racing 3D – com.pirateshipboat.racing3d.simulatorFlying taxi simulator – com.flyingtaxi.simulator.raceJetpack Water – com.jetpackinwater.racersimualtor.dangerVolumen Booster – com.boostervolumen.amplifiersoundandvolumenAnimal Farming Simulator – com.farmgames.animal.farming.simulatorMonster Truck – com.monstertruck.racing.competition.simulatorOffroad jeep car racing – com.simulator.offroadjeep.car.racingFlying Car Stunts On Extreme Tracks – com.simulator.flyingcar.stunt.extremetracks.racingTractor Farming 2018 – com.simulator.tractorfarming.drivingImpossible Farming Transport Simulator – com.impossible.farming.transport.simulatorVolumen Booster – com.volumenbooster.equalizerboostMustang Rally Championship – com.mustang.rally.championship.racingsimulatorDeleted Photo Recovery – com.deleted.photo.recoverySpeed Boat Racing – com.race.boat.speedySuper Cycle Jungle Rider – com.cycle.bike.racing.gameMy name on Live Wallpaper – com.write.name.live.wallpaper.hdMagical Unicorn Dash – com.maginal.unicorn.gameSuper Cycle Jungle Rider – com.grafton.cycle.jungle.rider.raceLove Caller Screen – com.lovecallingapps.lovecaller.ScreenRacing Car Stunts On Impossible Tracks – com.city.car.funny.racing.stunt.game.proRacing Car Stunts On Impossible Tracks 2 – com.citycar.funny.racinggame.stunt.simulatorUrban Limo Taxi Simulator – com.urban.Limo.taxi.simulation.gamesTractor Farming Simulator – com.cg.heavy.tractor.simulator.gameCamper Van Driving – com.campervan.drivingsimulator.caravanBottle Shoot Sniper 3D – com.bootleshoot.sniperFull Screen Incoming Call – com.globalcoporation.fullscreenincomingcaller.appBeard mustache hairstyle changer Editor – com.mustache.beard.editorVolumen Booster – com.volumenbooster.increaservolumengirlfriend photo editor – com.photoeditor.girlfriend.addgirlstophoto.picMobile Number Tracker & Locator – com.tracker.location.number.free.spyGarden Photo Editor – com.garden.editor.appFortune Wheel – com.fortunewheel.gameFarming Transport Simulator 2018 – com.farming.transport.tractor.simulatorOffRoad Tractor Transport – com.offroad.tractor.transport.drivingsimulatormy name on live wallpaper – com.customwallpaper.mynameonlivewallpaperFlying Ambulance Emergency Rescue – com.flying.ambulance.emergency.rescue.simulatorMustang Driving Car Race – com.mustang.driving.car.raceWaterpark Car Racing – com.waterpark.carracing.simulatorImpossible Tracks – Extreme Trucks – com.impossibletrucks.extremetrucks.simulatorFlying Motorbike Stunts – com.extreme.flying.motorbike.stuntsimulatorFire Truck Emergency Rescue – Driving Simulator – com.emergency.firetruck.rescue.drivingsimulatorHeavy Snow Excavator Snowplow Simulator – com.snowplow.simulator.heavysnow.excavatorWater Skiing – com.waterskiing.simulator.gamesWomen Make Up and Hairstyle Photo Maker – com.photomaker.editor.women.makeupandhairstyleMountain Bus Simulator – com.fortune.mountainVan Pizza – com.vanpizza.truckdelivery.simulatorTruck Transport and Parking Simulator – com.truck.simulator.transportandparkingHoverboard Racing Spider Attack – com.hoverboard.racing.spider.attacksimulatorMotorsport Race Championship – com.moto.sport.championship.racingsimulatorDemolition Derby – com.demolitionderby.simulatorLove Caller with love ringtones – com.lovecaller.free.loveringtonesHouse Transport Truck – Moving Van Simulator – com.house.transport.truck.movingvan.simulatorHeavy Excavator Stone Driller Simulator – com.heavy.excavator.simulator.stonedrillerSuper Cycle Downhill Rider – com.cycle.downhill.gameExtreme Rally Championship – com.extreme.rallychampionship.raceMissile Attack Army Truck – com.missileattack.army.truckCaller Location & Mobile Location Tracker – com.mobile.caller.location.tracker.freecallMobile number locator – com.mobilenumberlocator.trackerMy name on Live Wallpaper – com.mynameonlivewallpaper.animated.hdCity Metro Bus Pk Driver Simulator 2017 – com.spk.coach.offroad.School.bus.mountain.freeFull Screen Incoming Call – com.fullscreen.incomingcaller.appMan Casual Shirt Photo Suit – com.allsuit.man.casualshirt.photo.editorAmerican muscle car race – com.americanmuscle.car.raceOffroad Nuclear Waste Transport – Truck Driver – com.offroad.nuclearwastetransport.truckdriverMad Cars Fury Racing – com.madcars.fury.racing.driving.simulatorHigh Wheeler Speed Race – com.high.wheeler.speed.race.championshipNumber Coloring – com.colorbynumber.number.coloring.paint.gameCamper Van Race Driving Simulator 2018 – com.campervan.race.driving.simulator.gameUnicorn Float – Speed Race – com.unicornfloat.speedrace.simulatorDual Screen Browser – com.dualscreenbrowserHarvest Timber Simulator – com.harvest.timber.simulatorandtransportHot Micro Racers – com.racingsimulator.hot.micro.racersLara Unicorn Dash – com.lara.unicorn.dash.magical.raider.raceWingsuit Simulator – com.wingsuit.simulator.extremeFood Truck Driving Simulator – com.foodtruck.driving.simulatorDog Race Simulator – com.dograce.competitionSUV car – parking simulator – com.suvcar.parking.simulator.gamePhone Finder – com.clap.phonefinder.locatorPhone number locator – com.phonenumerlocator.findphonenumbersGallery Lock – com.whatsapplock.gallerylock.ninexsoftech.lockSecret screen recorder – com.secret.screenrecorder.screenshotrecordFace Beauty Makeup – com.facebeauty.makeupChristmas letters to santa and three wise man – com.write.your.christmas.letter.santa.threewisemenDeleted Files recovery – com.deletedfiles.photo.audio.video.recoveryDual Screen Browser – com.screndualbrowserdouble.app.androidBroken Screen – Cracked Screen – com.crack.mobile.screen.prankGarden Photo Editor – photoeditor.Garden.photoframeModi Photo Frame 2 – com.modiphotoframe.editorLove Caller Screen – com.callerscreen.lovecallerAnti Theft & Full Battery Alarm – com.antitheftalarm.fullbatteryalarm.soundLove Caller Screen 2 – com.lovecaller.screen.customVoice reading for SMS. Whatsapp & text sms – com.sms.message.voice.readingName on Pic-Name art – com.photo.text.editor.nameonpicSpeed Boat Racing – com.mtsfreegames.SpeedboatracingTrain Driving Simulator – com.simulator.traindrivingSuper Cycle Rider – com.grafton.Cycle.jungle.riderRacing Horse Championship 3D – com.gl.racinghorse.competitionMove App To SD Card 2016 – moveapptosd.tosdcard.freeappPop Toy Creator – com.avatarmaker.poptoy.creatorPhoto Live Wallpaper – com.myphoto.live.wallpaper.editorMagical Unicorn Dash – com.messenger2.play.game.UnicorndashkTruck Wheel of Death – com.truck.wheelofdeathLive Translator – com.livetranslator.translateinliveVolume Control Widget – com.volumecontrol.widget.volumeboosterWorld cup 2018 football shirt maker – com.worldcup2018football.shirt.maker.photoeditorGirlfriend Photo Editor 2 – com.girlfriendphotoeditor.girlsinyourphotoMy Photo on Music Player – com.myphoto.on.musicplayer.freetaxi – com.taxidriving.simulatorgame.raceGarden Photo Editor – com.garden.photoeditor.photoframeFortune Wheel Deluxe – com.fortunewheel.deluxeExtreme Motorcycle Racer – com.motorcycle.extremeracing.simulatorOffroad Snow Bike – Christmas Racing – com.offroad.snow.bike.christmas.racingBottle Shoot – com.Droidhermes.bottleninjaPhoto Background Changer 2017 – com.Hadiikhiya.photochangebackgroundOffroad Christmas Tree Transport – com.offroad.christmas.treetransport.truck.driversimulatorTank Transport Army Truck – com.tank.transport.armytruck.simulatorFlag face paint: World Cup 2018 – com.flagteams.facepaint.editor.world2018cupWorld Cup 2018 Teams Flags Live Wallpaper – com.russianworld2018cup.livewallpaper.flagsteamSelfie Camera – com.editor.selfie.camera.photoMissile Attack Army Truck – com.desirepk.Offroad.transport.simulator.appsMax Player – massimo.Vidlan.maxplayerFlash Alert – Flash on Call – com.flashalerts.callandsmsPhoto Video Maker with Music – com.photovideo.maker.withmusicBrain Games & IQ Test – com.braingames.iqtest.skillsAudio Video Mixer – com.mix.audio.and.videoPop Toy Creator 2 – com.poptoy.creator.edityourpoptoyFlash on Call and SMS – com.flashalert.callandsmsHeart Photo Frames – com.photoframe.of.heartShayari 2017 – com.shayari.hindi.status.photo.textPhoto on Birthday Cake – com.happy.photo.birthday.cakeNature Photo Frames – com.photoeditor.nature.photoframesCalendar 2018 Photo Frame – com.photoframe.calendar2018editorChristmas Truck Transport Simulator – com.christmas.truck.transportsimulator.gameModern Santa – Christmas van drive – com.christmas.vandrive.modern.santaChange your voice – com.anbrothers.voicechanger.appMoster vs Water – com.monsters.vs.water.duelEDIT Flowers Photo Frames – com.flowers.editor.photo.framePhoto Video Maker with Music – videoeditor.musicvideo.Phototovideomaker.videoeditorToilet Paper Race – com.racing.games.toiletpaper.raceDog Crazy Race Simulator – com.Zv.puppiesdog.racegameLuxury Photo Frame – com.luxury.photo.frame.photo.editorBike Wheel of Death – com.bike.wheelofdeathWorld Famous Photo Frames – com.qbesoft.worldfamousphotoframes.appHeavy Snow Excavator Christmas Rescue – com.heavysnowexcavator.christmas.rescueDeleted Files Recovery – com.syor.deleted.photo.recovery.video.restoreFootball Results & Stats Analyzer – com.footballanalyzer.resultsandstats3D Photo Frame Cube Live Wallpaper – com.photoframe.cube3d.live.wallpaper.hdGreen Hill PhotoFrame – com.photoframe.geenhillChristmas Magic Board – com.christmas.magnetic.magicboard.drawandwriteAnimal Parts Photo Editor – com.animalspart.photo.editorDSLR Camera Blur – com.camera.blur.photoeffectsCar Photo Frame – com.quick.photo.frame.carphotoframeHands Slap Game – com.game.handsslap.manitascalientes.redhands4D Maa Durga Live Wallpaper – com.maa.durga.live.wallpaperMen Sweatshirt Photo Editor – com.photomontage.men.sweatshirt.editorConnect Letters. Words Game – com.wordsgame.connectlettersRecover Deleted Pictures – lanas.recover.deleted.pictures.photosCustom Radio Alarm Clock – com.customized.radio.alarm.clockAnti-spam Calls – com.antispamcalls.blockspamcallerCompatibility Test – com.compatibilitytest.friends.couplesDual Screen Browser – com.dualscreen.android.app.doubleMagic Glow Live Wallpaper – com.magic.glow.livewallpaper.animatedwallpaperPorgy Virtual Pet – com.game.virtualpet.porgyTap the Ball – com.explosiongame.taptheballClock Live Wallpaper – com.analog.digital.clock.live.wallpaperRoyale Stats – com.royalestas.informationFire text photo frame – com.editor.firetext.photo.frameChristmas greetings card – editor.card.greetings.christmas.com.christmasgreetingscardBest App Lock – com.bestappsco.bestapplock.freeDJ Photo Frames – com.DJ.photoframe.editorAuto Call redial – com.autocall.redial.automatic.recallGuess the picture – com.picquiz.guess.picture.gameProfesionalRecorder – com.professionalrecorder.audio.call.record
Fuentes:

Formjacking: Un lucrativo ataque en aumento

En el último informe sobre ciberamenazas publicado por Symantec (ISTR), existe una amenaza en crecimiento llamada “Formjacking”, la cual actualmente es una de las formas de ataque más lucrativas para los ciberdelincuentes debido al relativo bajo esfuerzo que conlleva realizar junto con el alto valor y demanda en el mercado negro del activo robado: tarjetas de crédito. Su nivel de expansión en amenazas ha reemplazado al ransomware como WannaCry o Petya/NotPetya (gracias en parte a la baja en la cotización de las criptomonedas, sobretodo el BitCoin), por lo que es necesario aumentar el foco en la prevensión y detección de este tipo de ataques.
Formjacking consiste en una analogía a lo que hoy conocemos como skimming, o robo de tarjetas bancarias en cajeros automáticos, sólo que es mucho más simple, directo, y seguro para los criminales. Aunque este tipo de ataques no es nuevo, su rápido crecimiento en el ultimo semestre motivo de alerta para las organizaciones que ofrecen pagos en sus sitios, o sea todo el e-commerce.
Opera de la siguiente manera: El atacante logra inyectar código JavaScript en la lógica del formulario de pago objetivo, una vez de que el cliente envíe la información de pago, este código malicioso recoge toda la información entregada para el pago, luego la envía al repositorio del atacante y a la vez al flujo original de pago. Con esto el pago se realiza pero los datos a la vez son recogidos por el atacante, para su posterior venta en el mercado negro y utilización en estafas. Los datos recogidos pueden contener: Nombre completo, dirección, teléfono, correo, banco, número de tarjeta, fecha de caducidad, código de seguridad, etc.
Aumento de campañas
La actividad de campañas de formjacking presenta un aumento exponencial desde finales de agosto de 2018, registrando un aumento de hasta 4 veces más bloqueos en comparación a la media de meses anteriores. En números esto es sobre 6.000 bloqueos diarios en promedio para sólo 1 proveedor de IPS.

Objetivos
Este ataque ya es conocido por grandes e-commerce como Ticketmaster, British Airways y Newegg (retailer de tecnología).
Una muestra de 1.000 instancias de bloqueo de este ataque, recogidas en una ventana de 3 dias, muestra como objetivos a 57 sitios web distintos, desde pequeños e-commerce hasta grandes negocios. Geográficamente abarca desde Japón hasta Latinoamérica, pasando por Australia y Europa.
Magecart
Es el grupo de cibercriminales que se encuentra detrás de los recientes ataques de formjacking hacia British Airways, Ticketmaster, Feedify y Newegg. Magecart se encuentra activo desde al menos el año 2015. Su operación implica la inyección de skimmers web en sitios para robar datos de pago junto con otra información sensible relacionada a los pagos via web.
Método de compromiso de sitios web
Aunque existen diversas formas de ejecución de este ataque, llama la atención el caso de Ticketmaster, en el cual los atacantes de Magecart utilizaron un ataque a la cadena de suministro para obtener acceso al sitio web y de esta forma manipular el código de su página de pagos.
Los ataques de cadena de suministro son aquellos en los que se obtiene acceso a grandes organizaciones al explotar debilidades en sus proveedores de menor tamaño.
El aumento en la cantidad de ataques de formjacking fue evidenciado luego del ataque a Ticketmaster, reportado en junio de 2018. Los atacantes de Magecart en un comienzo comprometieron un chatbot de Inbenta que estaba siendo utilizado para asistencia al cliente en los sitios de Ticketmaster. Luego Magecart pudo alterar el código JavaScript en el sitio de Ticketmaster para de esta forma capturar los datos de pago con tarjeta de sus clientes y posteriormente enviarlos a sus propios servidores. Este código malicioso pudo estar en el sitio web de Ticketmaster por casi un año, los afectados serían los clientes internacionales de Ticketmaster que realizaron compras entre septiembre de 2017 y septiembre de 2018. Inbenta indicó que Magecart explotó varias vulnerabilidades para apuntar a sus servidores de front-end y alterar el código del chatbot.
Siguiendo el caso de Ticketmaster se descubrió que Magecart ha estado atacando proveedores de sitios e-commerce, los que proveen analítica, soporte, plugins, entre otros. El reporte indica que al menos 800 sitios de e-commerce fueron atacados en esta campaña. El mayor peligro es que si Magecart puede comprometer un proveedor ampliamente usado, entonces podrían infectar potencialmente miles de sitios rápidamente.
Protección
A nivel de red, existen firmas de IPS para distintos fabricantes.
A nivel de archivos, existen firmas para el código “Infostealer”.
A nivel de aplicación, realizar pruebas controladas cuando un proveedor actualice un plugin que se utilice en e-commerce.
Monitorear la actividad del sistema por exfiltración de datos hacia destinos inusuales.
Monitorear cambios en el código del aplicativo.
Fuentes:

Bancos bajo ataque: Técnicas y tácticas utilizadas para apuntar a organizaciones financieras

Las pérdidas por costo de ciberataques se estima entre unos USD$100 a USD$300 millones, con estimación al ascenso. En los últimos años la banca ha perdido USD$87 millones sólo por concepto de ataques a la infraestructura SWIFT (Society for Worldwide Interbank Financial Telecommunication). Sin embargo, esto es sólo la punta del iceberg: un sólo grupo cibercriminal embolsó USD$1.200.000.000 desde más de 100 instituciones financieras de 40 países antes de que su líder fuese arrestado en 2018.
Los ciberataques menoscaban la integridad de la infraestructura tecnológica en una organización financiera, tal como los sistemas que controlan y ejecutan sus operaciones. Esto queda demostrado con los ataques realizados los últimos años, con mayor elaboración, sofisticación y alcances.
Cambios de técnicas y tácticas
Tradicionalmente los atacantes apuntan financieramente a los clientes de bancos, sin embargo, algunos como el grupo cibercriminal “Lurk”, mudaron su foco a los colaboradores de grandes empresas. Estos ataques comúnmente son dirigidos a empleados de los departamentos de contabilidad y finanzas. Los cibercriminales se han percatado de que ellos pueden robar fondos no solo al comprometer cuentas bancarias, sino también al apuntar a la infraestructura del banco o manipulando documentos y sistemas. Las redes de comunicaciones e infraestructura bancaria son vistas como objetivos pues es ahí donde esencialmente se encuentra el dinero. Atacarlos implica apuntar a cajeros automáticos, redes SWIFT y portales de pago, sistemas de procesamiento de pago con tarjetas y similares.
Investigaciones realizadas también descubrieron instancias en las que grupos criminales intentaron sobornar individualmente empleados bancarios en crear un esquema de extracción y lavado de dinero. En una instancia en concreto, se detectó un intento de crear una organización de caridad legítimamente, con sus cuentas bancarias y un muy bien elaborado sitio web. Los atacantes utilizaron las cuentas bancarias de esta organización para guardar el dinero extraído desde cuentas comprometidas; la fachada de la organización de caridad les dio suficiente tiempo para mover y retirar los fondos robados.
Las compañías de telecomunicaciones juegan un papel muy importante en la industria financiera, lo que también los convierte en objetivos apetecibles. Comprometer la infraestructura de telecomunicaciones presenta otra oportunidad de ganar dinero con el secuestro y redirección de SMS en teléfonos VIP. Los bancos frecuentemente ofrecen el uso de dispositivos móviles como un segundo factor de autenticación o para enviar una clave temporal (OTP: One Time Password) a sus clientes.
Ataques de ingeniería social también conocidos como “SIM Jacking” (secuestro de SIM) se han esparcido ampliamente. En estos ataques, el atacante identifica los números de teléfono de los clientes del banco cuyas cuentas han sido comprometidas. Entonces actúan como el suscriptor de la compañía de telecomunicaciones, reportan que extraviaron su tarjeta SIM para el número objetivo, luego engañan al proveedor para que les emitan otra tarjeta SIM. Esta luego será utilizada para transacciones en las cuales le será robado el dinero a la víctima.
Ataques a los clientes de bancos
Apuntar a los usuarios y/o clientes involucra distintas técnicas. Los atacantes combinan distintas técnicas desde la vieja y conocida (aunque aún efectiva) phishing, hasta el troyano bancario para Android “FakeSpy”. Algunas son constantemente actualizadas, agregando características que pueden automatizar la extracción de datos y fondos robados. Un malware bancario puede realizar esto al utilizar un motor de sistema automático de transferencia (ATS: Automatic Transfer System), el cual permite el uso de inyección de un script web para iniciar automáticamente transferencias de fondos y evitar mecanismos de autenticación.
Estas inyecciones de browser son versátiles. Los atacantes los pueden usar para evitar controle de seguridad de un banco, fuerzan a usuarios a instalar componentes maliciosos en sus dispositivos móviles, sortear mecanismos de autenticación, o extraer datos de pago tales como información de tarjeta de crédito. También pueden ejecutar ataques de ingeniería social para robar información personal identificable (fecha de nacimiento, apellido materno, nombre de mascota, entre otros) o auto transferirse fondos a otras cuentas bancarias controladas por los atacantes (también conocidas como cuentas “mula”).
Las inyecciones de código son insertadas en el sitio de un banco o sus componentes (como librerias JavaScript o iframes oculstos). Desafortunadamente, un usuario normal podría confiar abiertamente en la pagina web que ha sido intervenida.
Ataques a la infraestructura
La infraestructura también es objetivo de los atacantes. Muchos componentes de los sistemas bancarios, tales como los sistemas internos o interfaces PoS son usualmente dejadas expuestas a internet, haciéndolas más propicias a un ataque de ciberdelincuentes oportunistas.
Aunque no sean objetivos clave, existen múltiples campañas de distribución de malware con la capacidad de cambiar las capacidades de los DNS y usarlas como trampolín para llegar a sus reales objetivos. El equipo de red del usuario es intervenido a gran escala, lo que redirecciona a los atacantes a servidores DNS controlados por los atacantes. Esto expone a los usuarios a ataques de phishing y man-in-the-middle (MitM).
Ataques a proveedores de bancos
Para apuntar a la organización bancaria, los atacantes necesitan llegar a sus cimientos. A menudo lo realizan al atacar al eslabón más débil. Los ataques de ingeniería social son pan de cada día: Los hackers, por ejemplo, necesitan conocer acerca de los empleados actuales de la organización, posiblemente incluyendo sus cargos e intereses. Aduciendo ser una ayuda legítima o inclusive una urgencia, los documentos que les envían a estos empleados son abiertos sin mayor sospecha.
Una manera de colectar información es comprometer a las compañías que prestan servicios a estas organizaciones, tales como proveedores de terceras partes que realizan manutención a los ATM, o hackear en los foros con temática ad-hoc. El grupo Lurk, por ejemplo, invadió un foro en linea para contadores con tal de hallar a sus objetivos. Los atacantes pudieron a la vez obtener información de blancos potenciales al analizar los datos de las máquinas ya invadidas. Grupos como Cobalt y Silence también son conocidos por emplear esta técnica.
De hecho, según datos recopilados por SPN de Trend Micro, Silence apuntó a organizaciones financieras en Rusia, Bielorusia y Vietnam. Cobalt, por su parte, sigue activo, especialmente en la ex Unión Soviética y en el Este Europeo.
Cobalt también es conocido por comprometer las cadenas de suministro de organizaciones financieras para acceder al perímetro TI. Fueron identificados ataques de Cobalt a integradores de software, firmas de servicios financieros, y otros bancos para obtener acceso al banco de su interés. En 2018 se observó una campaña de spearphishing (phishing objetivizado a un objetivo de alto nivel) en contra de un integrador de sistemas de alto perfil en Rusia, lo cual fue utilizado como trampolín para ataques a organizaciones bancarias rusas.
Ataques a la infraestructura bancaria
Los ataques directos al perímetro de un banco es poco común, ya que los atacantes usualmente utilizan el phishing como primer movimiento para ganar un punto de entrada a su objetivo. Un ataque de phishing conlleva una larga preparación. Por ejemplo, en cada campaña, deben registrar un nombre de dominio que se asemeje al objetivo a suplantar (uno que tenga algún tipo de relación con la organización objetivo, y por ende, sea de frecuente acceso). El asunto y contenido del correo phishing también debe ser relacionado. Una de las técnicas utilizadas por los investigadores de seguridad para detectar estas estafas es validar la fecha de creación del dominio desde el cual se envían estos correos (si es demasiado reciente es posible que sea una suplantación de identidad).
Watering hole es una técnica también muy utilizada. El código de exploit es plantado en sitios comprometidos que los empleados de la organización objetivo visitan frecuentemente. Interesantemente estas actividades incrementan en ciertos horarios, como a la hora de almuerzo, cuando los usuarios generalmente tienen tiempo de navegar en internet, o al final de la tarde, cuando los usuarios tienden a estar menos atentos a correos sospechosos.
Mientras el objetivo principal es robar dinero (ya sea en forma electrónica o en papel moneda), también se han observado ataques motivados por el robo de datos sensibles o confidenciales, soborno, y manipulación de transacciones en línea, entre otros. Los atacantes también explotan otras vulnerabilidades en la infraestructura ATM y PoS para lavar dinero, tales como recoger pagos ilegales desde tarjetas de crédito robadas al cargar montos en terminales PoS.
Diferentes grupos utilizan distintas técnicas. El grupo Lazarus, por ejemplo, es conocido por intervenir switches ATM para robar fondos desde bancos, mientras otros prefieren métodos más tradicionales. Recientemente Lazarus robó USD$13.5 millones al hackear la infraestructura ATM y SWIFT de un banco.
Este ataque demostró un buen entendimiento de la plataforma SWIFT al intentar una transferencia fraudulenta. También mostró el conocimiento de los atacantes en sistemas bancarios al intervenir el protocolo de comunicación ISO 8583, el cual es un estándar internacional para la definición de transacciones financieras. Los atacantes hackeron en los procesadores de la interfaz ATM, el cual maneja el procesamiento inicial y las comunicaciones entre las entradas del dispositivos y el computador del host, también intervinieron el software ISO 8583 al inyectar código que produce respuestas fraudulentas a los requerimientos de las máquinas de ATM. Este ataque fue nombrado por el US-CERT como FASTCash.
Movimiento lateral y monetización
Una vez que los atacantes establecen un punto de entrada, a menudo intentan robar credenciales desde las maquinas comprometidas y empezar a expandirse lateralmente, como acceder a los controladores de dominio y segmentos de procesamiento de tarjetas.
Como ellos monetizan el ataque está influenciado en cuanto lograron comprometer los recursos de su objetivo. Un ejemplo es manipular balances de cuentas y límites de giro por ATM cuando envían sus “mulas” a tomar el dinero robado. Esta táctica es tan común que los actores de esta amenaza buscan sus cómplices en los foros del cibercrimen.
La monetización mediante giros de ATM es muy común una vez que el objetivo es comprometido. De hecho, existen foros en el cibercrimen y avisos buscando “operadores” de NCR 6625 (un modelo específico de ATM). También se ha observado una instancia en la cual una cuenta de una organización de caridad falsa se creó en un banco. Las transacciones no autorizadas fueron realizadas desde cuentas bancarias con balances que excedían el límite, lo cual les otorgó a los atacantes un botín de USD$50.000.
Estos ataques no están limitados a Rusia o países eslavo-parlantes. Por ejemplo, hay muchos foros ocultos en los cuales se buscan mulas para dinero que sería comisionado desde transacciones SWIFT en China.
Mantenerse adelante de las amenazas
Las organizaciones financieras no solo contienen el impacto de los ataques hasta su fin. También tienen que lidiar con su manchada reputación, reducción en la confianza del cliente, e indemnizaciones que les sigue el evento. Con la abundancia de técnicas que son observadas en distintos niveles, las cuales apuntan a organizaciones financieras, ya no son solo objetivos de amenazas complejas. Con un modo de operación tan directo como lo es el envío de un correo phishing, también son víctimas de cibercriminales oportunistas.
La diversidad de estos ataques significa que la organización debe ser multifacética, ver, monitorear, y filtrar que está sucediendo (y transitando) en los sistemas conectados a su red. Esto aplica especialmente para la industria financiera, que tiene unos requerimientos estrictos en protección de datos y parchado, además de las altas multas que pueden incurrir por infringirlas.
Los controles de seguridad de cada capa de la organización mitigan el riesgo en los servidores físicos y virtuales, segmentos de red, puertos, y protocolos para los endpoints que procesan transacciones. Defensa profunda (Defense in-depth) también provee visibilidad de cuál infraestructura necesita responder proactivamente a los ataques. Un ambiente donde las amenazas son aisladas ayuda a monitorear y filtrar el tráfico de correos y extirpar los correos anómalos. La segmentación de red y clasificación de datos mitigan el riesgo de movimiento lateral y penetración más profunda. Mecanismos de seguridad como el parchado virtual y los IPS unen las brechas de seguridad proactivamente sin causar disrupciones ni sobrecarga a las operaciones ni procesos de negocio. Los usuarios, particularmente clientes y empleados, también deben ser igualmente proactivos.
Fuentes:

Huella dactilar utilizada por aplicaciones estafa en iOS

El uso de la huella dactilar en los sistemas Apple es una actividad bastante frecuente para ejecutar acciones siempre relacionadas con la seguridad del dispositivo. Como por ejemplo, desbloqueo del mismo o incluso autorizar todo tipo de compras. Por este motivo, engañar al usuario para que acepte algún tipo de transacción utilizando el Touch ID es una actividad bastante frecuente entre ciberdelincuentes.
Suelen aparecer como inofensivas aplicaciones de tracking de actividad física o cualquier otra con apariencia legítima. Una vez el usuario ha puesto su huella dactilar en el Touch ID, la app realiza una compra mostrando rápidamente un pop-up y a la vez bajando el brillo de la pantalla para que el usuario no note qué operación se está realizando. Acto seguido, se carga una cantidad entre USD$90 y USD$120, para de esa forma cumplir la normativa de pequeños cargos de Apple.
Algunas de estas apps maliciosas han sido eliminadas del Apple Store, como por ejemplo “Heart Rate Monitor”, “Fitness Balance” o “Calories Tracker App”. No está claro si vienen de diferentes desarrolladores o es una persona operando con varias cuentas. Lo curioso es que no han sido eliminadas por malware sino por duplicidad, al realizar todas una función parecida. El sentido común suele ser el mejor aliado en estos casos, simplemente pensando dos veces si es necesario que una aplicación necesita realmente acceso con Touch ID.

Los usuarios de iPhone X de momento no tienen este problema pero en cambio, la gran mayoría de usuarios de teléfonos Apple usan modelos anteriores los cuales son propensos a sufrir un ataque de estas características. Pagar con Touch ID es realmente cómodo pero también tenemos que tener en cuenta los riegos que esta práctica puede acarrear.
Recomendamos tener precaución en el funcionamiento de aplicaciones que nos soliciten la huella dactilar para otra cosa que no sea el pago de algo, aunque no todas las aplicaciones que realizan esto son maliciosas (un buen ejemplo son las aplicaciones de administración de contraseñas)

Sophos incorpora protección de movimientos laterales a su XG Firewall para detener el avance de los ciberataques

Sophos (LSE: SOPH), líder global en seguridad para protección de redes y endpoints, ha anunciado que su firewall de nueva generación: Sophos XG Firewall ahora incluye la protección contra movimientos laterales para prevenir ataques dirigidos manualmente o impedir que exploits avancen en una red comprometida.
En El informe de ciberamenazas 2019 de SophosLabs se ha analizado el aumento en el ransomware dirigido. Se estima que más de 6,5 millones de dólares han sido recaudados gracias a la campaña del rasomware SamSam, por lo que no es una sorpresa que los delincuentes se sientan atraídos por este método. En estos ataques, los ciberdelincuentes se dirigen a los puntos débiles de entrada y las contraseñas de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) mediante fuerza bruta. Una vez dentro, se mueven de forma lateral, trabajando paso a paso para robar las credenciales de administrador del dominio, manipular los controles internos y deshabilitar las copias de seguridad, entre otros ataques. Para cuando la mayoría de los administradores de TI se den cuenta de lo que está ocurriendo, el daño estará hecho.
“La mayoría de las organizaciones están centradas en protegerse contra los bots automáticos, pero no contra los ataques interactivos y dirigidos por humanos. Si los adversarios activos entran en el sistema pueden “pensar lateralmente” para sortear obstáculos, evadir las detecciones y moverse por todo el sistema. Es difícil detenerlos a no ser que se tomen las medidas de seguridad adecuadas” afirmó Dan Schiappa, senior vice president y general manager of products de Sophos. “La mayoría de los movimientos laterales se producen en el endpoint, por ello la sincronización en la seguridad es importante. Los atacantes intentarán avanzar sin usar técnicas de malware, tales como exploits, Mimikatz y escalada de privilegios. La red necesita saber para poder responder y apagar o aislar automáticamente los dispositivos infectados antes de que alguien o algo continúe propagándose”.
Ataques similares como BitPaymer, Dharma y Ryuk, usan técnicas de movimientos laterales parecidas para distribuir el rasomware de forma manual. Estos ataques son muy diferentes a los kits de herramientas de Rasomware como servicio (RaaS) que se venden en la dark web. Desde Sophos se espera que los ataques controlados manualmente continúen en 2019.
“Detener los movimientos laterales, tanto de atacantes activos como de exploits de tipo gusano, compartiendo información entre el firewall y los endpoints y aislar automáticamente los sistemas infectados es fundamental para todas las empresas hoy en día”, comentó Schiappa. “Desafortunadamente, muchos entornos empresariales pueden tener puntos ciegos en los switches de red o sus segmentos LAN, y estos se pueden convertir en secretas plataformas de lanzamiento para los ataques. Las nuevas características del XG Firewall de Sophos previene que las amenazas se extiendan, incluso cuando el firewall no tenga control directo sobre el tráfico”.
La Protección de Movimiento Lateral se habilita a través de la Seguridad Sincronizada
Sophos XG Firewall interactúa automáticamente con las soluciones endpoint de Sophos, incluyendo el nuevo Intercept X Advanced con Endpoint Detection and Response (EDR), para ofrecer esta nueva capa de protección. Estos anclajes de seguridad esenciales se conectan a través del Security Heartbeat en la tecnología de Seguridad Sincronizada de Sophos. Esto crea una solución inteligente que puede predecir y proteger contra las amenazas proactivamente, detectar y prevenir nuevas infecciones al aislar automáticamente las máquinas y poner remedio a la infección. La tecnología Security Heartbeat permite aislar automáticamente endpoints de alto riesgo del resto de máquinas en el mismo dominio de difusión o segmento de red.
“Nuestros ingeniosos y agresivos adversarios están pendientes de desarrollar nuevas ciberamenazas, aprovechando los exploits o atacando a las empresas de forma manual, accediendo a través de un punto débil en la red, seguido por un movimiento lateral y la elevación de credenciales, es una técnica habitual a día de hoy”, ha dicho Frank Dickson, research vice president, Security Products, IDC. “Al conectar la red y la información de los endpoints a través de Security Heartbbeat, Sophos ha implementado una significativa e innovadora característica para identificar y mitigar los ciberataques centrados en movimientos laterales en cuestión de segundos, automatizando la prevención de la propagación de una amenaza al aislar el endpoint. Esencialmente, Intercept X se fortalece con la aplicación de Sophos XG Firewall para crear un enfoque más integrado y sinérgico de la ciberdefensa para las empresas, aliviando la carga administrativa para los profesionales de ciberseguridad”.
“Hace unos años, cuando todo el mundo hablaba sobre la necesidad de tener los mejores productos para crear un enfoque por capas, Sophos ya era pionero en la Seguridad Sincronizada y había revolucionado el mercado de la ciberseguridad con su solución Security Heartbeat. En el mundo de hoy de ciberamenazas en constante cambio, tener soluciones para protección de endpoints y redes que se comuniquen entre ellos y que compartan inteligencia es más importante que nunca”, ha declarado Brandon Vancleeve, vice president, Pine Cove Consulting, un partner de Sophos en Bozeman, Montana. “La Protección de Movimiento Lateral es una gran mejora de la ya impresionante Seguridad Sincronizada de Sophos. Ahora, la protección del XG Firewall y del endpoint podrán aislar los dispositivos dentro de su propia subred. Esto es un importante desarrollo que solo aumentará la seguridad de nuestros clientes, permitiéndoles una visibilidad instantánea de las amenazas más allá de la red. La mayoría de nuestros clientes tienen varios segmentos LAN o Layer 3 Networks, por lo que la nueva capacidad de detección se suma a lo que consideramos la mejor protección disponible en el mercado”.
Las nuevas y mejoradas funciones en Sophos XG Firewall incluyen:
Mejoras en la protección

Cobertura IPS más profunda y amplia con mayor granularidad en los patronesProtección de JavaScript contra el cryptojacking
Mejoras en el sandboxing de Sandstorm

La integración con Intercept X para identificar las amenazas el día cero antes de que entren en la redAnálisis profundo de comportamiento, redes y memoria con machine learning, CryptoGuard y detección de vulnerabilidades de seguridad
Mejoras de networkingNuevo cliente Sophos Connect IPSec VPN con soporte para Seguridad Sincronizada
Herramientas de formación
Compatibilidad con la autenticación del cliente de Chromebook para la política basada en el usuario e informesSoporte de políticas de usuario/grupo para las restricciones de SafeSearch y YouTube
Disponibilidad
Sophos XG Firewall está disponible a través de los partners registrados de Sophos en todo el mundo. No es necesario ningún hardware para una prueba gratuita de XG Firewall, disponible en Makros.

Twittean vulnerabilidad 0-Day de Windows

El investigador de seguridad conocido como SandboxEscaper, liberó vía Twitter la prueba de concepto (PoC) de un exploit para una vulnerabilidad, hasta el momento desconocida, que afecta al sistema operativo Microsoft Windows.
SandboxEscaper es el mismo investigador quien previamente liberó exploits para dos vulnerabilidades 0-Day, dejando expuestos a ataques a todos los usuarios de Windows, hasta que Microsoft liberó las correspondientes actualizaciones de seguridad.
Esta nueva vulnerabilidad expuesta consiste en un problema de lectura arbitraria de archivos, la cual podría permitir que un usuario con pocos privilegios (o a un programa mal intencionado) leer el contenido de cualquier archivo (al que no debiese tener acceso a menos de ser Administrador) en un sistema Windows.
Esta vulnerabilidad reside en la función “MsiAdvertiseProduct” la cual es responsable de generar “un script de aviso o aviso de productos para el computador y además habilita al instalador para que escriba en el registro junto con los atajos de información usados para asignar o publicar un producto”.
De acuerdo al investigador, debido a una validación impropia, la función afectada puede ser abusada para instalar forzadamente una copia de cualquier archivo, asignándole privilegios de Sistema y leer su contenido, resultando en una vulnerabilidad de lectura de archivos arbitraria (Arbitrary File Read).
El investigador añadió: “Aún sin un vector de enumeración, estas son malas noticias, debido a que bastante software de documentos (como Office) mantienen archivos en ubicaciones estáticas que contienen la ruta completa y los nombres de archivo de los documentos recientemente abiertos”.
“Además de leer documentos como estos, es posible obtener nombres de archivos de documentos creados por otros usuarios; el sistema de archivos es una telaraña y las referencias a archivos creados por diversos usuarios son posibles de hallar en cualquier parte”
El sitio de Github en el cual fue publicado el exploit fue bajada y la cuenta de este investigador suspendida.
Para evitar la explotación de amenazas avanzadas como esta, recomendamos implementar un sistema de protección contra amenazas avanzadas (Advanced Endpoint Security) como Sophos InterceptX Advanced con EDR.
El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.
Más información acerca de Sophos InterceptX en https://www.makros.cl/sophos

Anonymous prepara ataque bancario a escala global

Hace algunas horas fue dado a conocer mediante el Twitter de Bank Security un aviso del grupo hacktivista Anonymous, el cual indica que serán atacados bancos a nivel mundial.
Mediante los hastags #Anonymous #‎OpIcarus #ShutDownTheBanks ya se están informando las primeras víctimas de este ataque, que corresponderían a bancos en Australia e Italia.
La lista de principales objetivos se encuentra publicada en https://ghostbin.com/paste/m2uoo e incluye a prácticamente todos los bancos centrales del mundo, incluyendo al Banco Central de Chile

No se descarta que bancos privados (no centrales ni estatales) también sean víctimas de estos ataques por lo que se recomienda preparar defensas por posibles ataques de tipo DDoS y SQLi
Noticia en desarrollo