Archivos del autor: Felipe Rodriguez

Ciberseguridad preventiva ante fraude bancario

La noche del 11 de diciembre de 2018, el programa periodístico chileno Informe Especial, emitió un reportaje acerca de la ciberseguridad bancaria en Chile. Dejando de lado las implicaciones legales tocadas en este programa, queremos nombrar los principales métodos de ataque a los cuales los clientes son expuestos, y algo en lo que nos gustaría profundizar: como evitar ser víctima.
Este tipo de estafas consiste en utilizar los medios tecnológicos e imagen de una institución financiera con tal de usurpar los datos personales y claves de acceso del cliente y de esta forma realizar movimientos bancarios como giros, transferencias, uso de tarjeta de crédito, etc. que beneficien al ciberdelincuente. Si años atrás era utilizado el método conocido como “el cuento del tío”, hoy este cuento aparece en forma de correos electrónicos, llamadas telefónicas, publicidad malintencionada en algunos sitios web, aplicaciones de celular intervenidas y otras.
La base de la protección para el usuario cliente de un banco es la desconfianza, no confiar en contactos inesperados, correos que nos solicitan algo, sitios bancarios inusuales y llamadas de ejecutivos con asuntos que atañan directamente a la cuenta y requieran demasiada información.
Llamadas telefónicas
Supongamos esta situación: Usted recibe una llamada telefónica de una persona que se identifica como “ejecutivo” de su banco; éste le indica que han detectado intentos de intrusión en su cuenta y que necesita que repase sus claves de acceso para garantizar que sólo usted tenga acceso a su cuenta. Luego de un largo discurso y verificación de datos, le solicita “el código de 3 dígitos de la parte anterior de su tarjeta de crédito”.
Listo, con este código mas toda la información recopilada previamente por estos delincuentes, tienen el uso absoluto de su tarjeta de crédito en medios digitales, ya que cuentan con toda la información para por ejemplo, realizar transacciones en linea con su dinero… el cual va a parar a manos de ellos.

Debemos siempre tener la claridad de que un agente bancario jamás le pedirá un dato confidencial como lo es éste código de 3 dígitos – código de seguridad- o una clave de acceso ya sea telefónica, de sitio o pin pass de tarjeta.
Correos electrónicos
Una de las formas mas frecuentes no sólo de estafa bancaria, pero además robo de contraseñas, instalación de malware, secuestro de archivos -ransomware- entre otras.

Usualmente una de las formas de ataque via correo electrónico es la llamada “phishing”, la cual consiste en un correo electrónico malicioso que simula ser de la entidad financiera a la cual suplanta. El contenido de este tipo de correos invita al usuario a hacer click en un vínculo que lo lleve al sitio del banco, cuando en realidad se trata de un sitio malicioso diseñado para engañar al cliente y obtener sus claves de acceso, también puede significar la descarga de malware espía con el mismo objetivo u otro con peores consecuencias.

WhatsApp, Facebook, Instagram, etc…
El mismo método de estafa es replicado mediante aplicaciones de mensajería instantánea y redes sociales, siempre debemos sospechar de un mensaje inesperado que contenga un link para visitar una página que no sabemos que es, sobretodo si proviene de un contacto desconocido.

Aplicaciones móviles
Estas estafas cibernéticas generalmente tienen una preparación planificada previamente y constan de varios pasos, en uno de estos métodos consiste en crear una aplicación móvil fraudulenta, que por citar un ejemplo: proporcione monedas infinitas en CandyCrush.

Este tipo de aplicaciones son publicadas frecuentemente en sitios de descarga de aplicaciones ya sean oficiales o alternativos, además muchas veces el objetivo de éstas es la infección del dispositivo del usuario con algún malware espía que puede capturar las claves de diversos servicios (no sólo bancarios). Un ejemplo es el troyano que afectó a PayPalhttps://www.helpnetsecurity.com/2018/12/12/android-trojan-paypal/
Consejos
Para resumir las medidas básicas de precaución que deben tener los usuarios para prevenir ser víctima de fraude cibernético:
Verificar que estamos accediendo efectivamente al sitio del banco del cual somos clientes, éste debe ser el que ingresa habitualmente y no contener nombres extraños.
Además verificar que aparezca el indicador de que se visita una página segura (aunque esto no garantiza la total seguridad de que sea la página que deseamos).
Jamás entregar datos personales de forma telefónica al recibir llamadas inesperadas de supuestos “ejecutivos bancarios”. Para su seguridad, contacte usted a su ejecutivo de cuenta inmediatamente si sospecha de algo.
No dar click a hipervínculos recibidos por cualquier medio y de forma inesperada, con nombre sospechoso, por ejemplo

https://fkadkfhaas.banco.xyz.com.estoesfalso

o similares.

Descargar sólo las aplicaciones móviles legítimas de las tiendas oficiales de aplicaciones por plataforma: GooglePlay y AppStore.
Ante la duda, ¡absténgase!
Estos consejos no sólo lo ayudarán a prevenir el fraude bancario, también es válido para evitar el robo de su información en diversas plataformas, como además la infección por malware.
La ciber-higiene debe ser un tema de concientización transversal entre los usuarios con los servicios que utilizan, existen muchas recomendaciones de seguridad relacionadas. De forma global y específica seguiremos entregando guías como esta.

Nuevo ransomware se propaga rápidamente en China, infectando sobre 100.000 computadores

Un nuevo ransomware se está propagando rápidamente en China. Este ya ha infectado más de 100.000 computadores en los últimos cuatro días como resultado de un ataque de cadena de producción, y el número de afectados crece cada hora.
Algo interesante en este malware es que no demanda un pago en Bitcoins, en vez de eso los atacantes solicitan el pago de 100 yuanes (cerca de 16 dólares) como rescate mediante WeChat Pay (el sistema de pagos ofrecido por la aplicación de mensajería más usada en China).
Al contrario de las epidemias de WannaCry y NotPetya que ocasionaron caos a nivel mundial el año pasado, este ransomware sólo está afectando a usuarios de China.
Además, incluye una habilidad adicional de robar las contraseñas de los usuarios de Alipay, NetEase, Baidu Cloud Disk, Jingdong, Taobao, Tmall, AliWangWang y QQ.
De acuerdo a lo informado por la empresa china de ciberseguridad Velvet Security, los atacantes agregaron un código malicioso en el software de programación “EasyLanguage”, utilizado por un gran número de desarrolladores.
El programa modificado maliciosamente está diseñado para inyectar este ransomware en cada aplicación y software compilado por esta plataforma, en otro ejemplo de un ataque en cadena de producción para distribuir el malware rápidamente.
Este malware encripta todos los archivos en el sistema infectado, exceptuando aquellos con extensión .gif, .exe, y .tmp.
Para defenderse de los antivirus tradicionales, los atacantes firmaron el código de su malware con una firma digital de confianza de Tencent Technologies, esto además evita que se encripten datos de algunos directorios específicos como “Tencent Games”, “League Of Legends”, entre otros.
Si el rescate no es pagado en el tiempo indicado, el malware amenaza con borrar la llave de desencriptación de sus servidores de comando y control.
Junto con la encriptación de archivos y el robo de credenciales, este ransomware ademas colecta información del equipo infectado: modelo de CPU, resolución de pantalla, información de la red y un listado del software instalado.
Los investigadores de ciberseguridad encontraron que el ransomware fue programado de manera simple y los atacantes mienten acerca del proceso de encriptación, ya que la nota de rescate indica que los archivos fueron encriptados utilizando el algoritmo DES, pero en realidad están encriptados con un algoritmo mucho menos seguro llamado Xor y además almacena una copia de la llave de desencriptación localmente en %user%AppDataRoamingunname_1989dataFileappCfg.cfg
Usando esta información, Velvet Security creó una herramienta de desencriptación gratuita que puede desencriptar los archivos fácilmente sin la necesidad de pagar por algún rescate.
Debido a la innovación en la forma que se están produciendo las amenazas, de forma cambiante continuamente, es recomendado contar con alguna herramienta de protección avanzada de amenazas y análisis de comportamiento como Sophos Intercept X
Fuente: https://thehackernews.com/2018/12/china-ransomware-wechat.html

[Actualizado 08/04/19]Aumento de SPAM relacionado al malware EMOTET

Actualización: 8 de abril de 2019:
Nuevamente nos encontramos frente a otra campaña basada en Emotet, ésta utiliza el correo electrónico para enviar archivos .ZIP con contraseña, la cual es posible encontrar en el mismo correo. Con esta técnica se evitan filtros de antimalware en gateways de correo hasta llegar al endpoint.
Una vez descomprimido, aparece un archivo de JavaScript, el cual al intentar ser ejecutado directamente libera el malware escondido. En esta oportunidad además se trata de un malware que roba credenciales del usuario, las cuales pueden ser de cualquier tipo de servicio (correo, banca, rrss, etc).
Como señuelo, esta variante arroja un mensaje de error (falso) al ejecutarse, éste indica “Formato de archivo no compatible. Hubo un error al abrir este documento. El archivo está dañado y no se pudo reparar…”. De cualquier forma el malware ya se encuentra instalado y ejecutándose.
Es recomendable alertar a los usuarios de esta amenaza para que estén conscientes de ésta en caso de recibir un correo con adjunto.ZIP y contraseña. Monitorear o bloquear la ejecución/descarga directa de archivos JS en las plataformas firewall, antispam y/o endpoint.
IoC:
Sitios web
http://pontoacessoweb[.]com.br/x6o5aq7/pW_t/
http://192.186.96[.]125/mult/health/nsip/merge/
http://afkar[.]today/cgi-sys/suspendedpage.cgi
http://192.186.96[.]125/iplk/dma/nsip/
http://www.liyuemachinery[.]com/config.replace/W_dK/
http://192.186.96[.]125/xian/merge/nsip/
http://192.186.96[.]125/json/sess/
Dominios
www.liyuemachinery[.]com
pontoacessoweb.com[.]br
entasystem[.]online
afkar[.]today
Hashes
3fef1791f40149036f14b13c38a559c7b9b44571
aa4ae06286b7932529389721446012ec1a68a3ed83c13ebe197d91e60b1a59f4
2c6be4fb920ab3ae5ded5be2936ec767
ffbe73591031973cb52f6950ed61b168a0f0bda69f004db08846dfc1bd1d1920
99d671ee30cb4a19558f5ae273698ec2
f55dc41ab2314e9252673aa5dcbaf6a54f96c2ce
a186a24cdd085c6b4f3bb2136f1c11a3ca7475fa08e91703723797ba8cf7778b
Actualización: 25 de marzo de 2019:
Durante los últimos 3 dias, el aumento de ataques mediante este malware ha incrementado de forma tal que el gobierno de Chile emitió una alerta desde su CSIRT, el cual indica:
“En base a informaciones recibidas de fuentes internas se ha establecido un estado situacional de alerta de ciberseguridad por incidente que se encuentra afectado a sectores relevantes de la economía.
Como producto de la coordinación intersectorial la información preliminar que se ha logrado recabar permite establecer que se debe bloquear, hasta que no se indique lo contrario mediante comunicado de igual o superior naturaleza, el siguiente sitio web y dirección IP:
Sitio web: triosalud[.]cl Dirección IP: 190[.]107[.]177[.]246
El bloqueo debe efectuarse tanto para flujos que provengan desde esos orígenes como flujos cuyo destino sean estos.
A nivel de RCE se están aplicando las protecciones respectivas y se ha elevado el nivel de alerta para estos patrones maliciosos.
Se notificará a los encargados de ciberseguridad en la medida que se detecte algún patrón que los involucre directamente para que se tomen las medidas del caso.
Otro comunicado, de no mediar una variación sustantiva de la situación, se emitirá para el restablecimiento del estado de normalidad en la RCE.”
Posteriormente se emitió un boletín nº2 el cual contiene una actualización de IP a bloquear, éste documento se encuentra en https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
La vulnerabilidad de WinRAR presente desde hace 19 años.
Hace poco mas de un mes fue publicada una vulnerabilidad en el ampliamente utilizado gestor de archivos comprimidos WinRAR, vulnerabilidad que se indica que existe hace 19 años (!!!). Esta vulnerabilidad consiste en renombrar un archivo .ace (otro formato comprimido) a .rar de forma que al abrirlo con WinRAR éste se instale en el inicio del sistema. La técnica de incrustar malware en archivos .ace no es nueva, y se ha utilizado previamente debido a la rareza de uso de este formato, por lo que muchos sistemas de revisión de malware en correo electrónico no solían analizar este tipo de archivos.
El investigador de seguridad Germán Fernández Bacian, detectó al analizar algunos dominios .cl que tienen la vulnerabilidad Directory Listing, mediante OSINT, que uno de estos alojaba un archivo llamado “denuncias.rar”, el cual había sido subido en el mismo dia del análisis al servidor. Al analizar este archivo mediante Hybrid Analysis indica que explota la vulnerabilidad de WinRAR, instalando un troyano bancario identificado como Integrity.exe. Este troyano se comunica al servidor .cl originalmente indicado para actualizar la tabla de activos infectados.
Otro archivo posteriormente encontrado “__Denuncia_Activa-CL.pdf.bat”, contiene un malware el cual sería el KL-Banker, el cual apunta a bancos chilenos. En su panel de administración se encontraron activos de distintos bancos en Chile.
Esto daría paso al comunicado de ciberseguridad emitido por el CSIRT del gobierno de Chile este viernes 22 de marzo de 2019.
Paralelamente la SBIF emite un comunicado con alerta de seguridad por presencia de malware en sistemas empresariales.
Spear phishing
Hubo una campaña de spear phishing (phishing dirigido a objetivos con un perfil definido previamente), en el cual se apuntaba a robar credenciales utilizando la botnet de Emotet. El objetivo específico son cuentas de empresas proveedoras a empresas más grandes, con el objetivo final de llegar a instituciones financieras, principalmente bancos. Este método se conoce como supply chain attack (ataque a la cadena de suministro).
Para esconder esta operación los atacantes utilizaron los sitios de GoDaddy para evitar ser detectados en dominios potencialmente peligrosos.

Algunos bancos bajaron sus portales de segmento empresas como precaución para evitar transacciones fraudulentas e infecciones.
Una muestra de correo de phishing para esta amenaza:

Más troyanos
Otro troyano detectado en estas campañas es el conocido como Zonidel. El cual tiene funciones de spyware y control remoto, lo que permitiría el robo de credenciales, manipulación de archivos, cargar otros malware en el sistema, participar en DDoS, finalización de procesos, etc.
Un listado de activos infectados se puede hallar en https://pastebin.com/ERs3xkia
Una recomendación de seguridad inmediata es actualizar WinRAR a la ultima versión.
Indicadores de compromiso:
Dominios:
5.39.218.210185.29.8.45190[.]107[.]177[.]246190[.]107[.]177[.]91triosalud[.]cl
URL:
hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://5.39.218[.]210/dns/dns.php?dns=<random>”hxxp://5.39.218[.]210/dns/logs/logpc.phphxxp://185.29.8[.]45/1.exehxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/
Hash:
421448d92a6d871b218673025d4e4e121e263262f0cb5cd51e30853e2f8f04d7
Originalmente publicado el 29 de noviembre de 2018:
Un aumento de correos Spam, Phishing y Spoofing relacionados al malware Emotet, es esperado en los siguientes dias; debido a la naturaleza polimórfica de este virus, la detección es variable para todos los antivirus.
Técnicamente Emotet es un troyano bancario, aunque es mayormente usado como un “descargador” para una variedad de otras amenazas (TrickBot, Zeus Panda Banker, IcedID y otros), utiliza robo de credenciales, propagación por red, recolección de información sensible, redireccionamiento de puertos, entre otras características. Esto lo convierte en una amenaza considerable.
El US-CERT emitió en el mes de julio un aviso de seguridad acerca de Emotet, indicando que “se encuentra entre los malwares más destructivos y costosos”. En casos de infección dentro de Estados Unidos, el costo de remediación asciende hasta USD$1 millón por cada incidente.
Según ESET el modo de infección comienza con un Spam bien diseñado, el cual puede contener hipervínculos maliciosos como adjuntos de Microsoft Word o PDF que aparentan ser facturas, mensajes de seguridad del banco o avisos de “actualización de Word”.
Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF. Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.
Agregaron que las nuevas variantes de Emotet se generan en promedio cada dos horas, de esta forma las firmas de este malware van cambiando constantemente, dificultando así la protección completa para las posibles víctimas.
“Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos.” indica ESET.
Se estima que esta nueva campaña tiene su auge el 5 de noviembre de 2018, luego de un periodo de baja actividad. Siendo sus principales víctimas entidades bancarias en Norte y Sudamérica.
Descripción de la Amenaza
Técnica:PDF, PowerShell, Office VBA Macro
Malware:Emotet
Actor:TA542
Familia:Downloader, Botnet, Stealer, Spambot
Sophos:CXmail/OleDl-AU,CXmail/OleDl-J,Troj/DocDl-QJO, Troj/DocDl-QLX
Asuntos:
Procedimiento de pago para sus servicios de John Lange – IN TimeCambion de su tarifa de Seguel, RodrigoWells Fargo statementProcedimiento de pago para su trabajo de Ehrlich | KolorprintValuation Invoice from 11/07/18
Adjuntos:
untitled-3st974835.docv1/9-27/4719.doccontrato.docnuevo-contrato.docnuevo-acuerdo.docacuerdo.docfa_num_xnx90393.docInvoice_No_96608.doc
Análisis de la infección
La infección inicial se distribuye a través de correo electrónico no deseado, con la siguiente secuencia de eventos: Un correo electrónico no deseado que contiene un enlace de descarga o un archivo adjunto que llega a la bandeja de entrada de la víctima.
El enlace de descarga apunta a un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica e inicia una secuencia de comandos Powershell. El script de Powershell intenta descargar y ejecutar Emotet desde múltiples fuentes de URL. Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble que incluiye un gran diccionario de contraseñas débiles y de uso común.
El diccionario de contraseñas se utiliza para obtener acceso a los sistemas en red. Una vez que obtiene acceso, se copia a sí mismo en acciones ocultas de C$ o Admin$. La copia recibe a menudo el nombre de archivo my.exe, pero se han usado otros nombres de archivo.
Emotet contiene una lista incrustada de cadenas entre las que elige dos palabras para fusionarlas en el nombre de archivo que utilizará en el momento de la infección inicial. Las cadenas elegidas se agrupan utilizando el ID de volumen del disco duro. Como resultado, el mismo disco duro siempre dará como resultado el mismo nombre de archivo para cada sistema infectado. También descarga un componente de actualización automática capaz de descargar la última copia de sí mismo y de otros módulos. Este componente se guarda como %windows%<filename>.exe, donde el nombre del archivo se compone de 8 dígitos hexadecimales.
Algunos de los otros módulos que este componente descarga se utilizan para recopilar credenciales de otras aplicaciones conocidas o para recopilar direcciones de correo electrónico de los archivos PST de Outlook para su uso con correo no deseado dirigido. Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. Luego instala y ejecuta el .exe actualizado como un servicio de Windows.
Fases de la infección

Ejemplo de SPAM

Análisis de causa raíz por Sophos

Análisis de la muestra
MALICIOSO
Nombre: Contrato.doc
Nombre Amenaza: Troj/DocDl-QKJ
Tamaño: 80KiB
Score Amenaza: 100/100
Tipo: DOC
AV Detección: 55%
Mime: application/msword
Tipo Virus: Troyano
SHA256: 98888c43345a90cfb2336a916e091eccf59d9cab4ff647585c9e170e9e5481df
Fuente:Información extraída de https://www.hybrid-analysis.com
Resultado de Análisis con diferentes antivirus
Se comprobó la amenaza en la página https://www.virustotal.com, dicha página permite el análisis de amenazas por medio de la verificación con 57 marcas diferentes de antivirus, de las cuales 35 marcas detectaron como positivo la detección de malware dando un 61% de coincidencia de peligrosidad y fue catalogado como troyano.

Link del análisis:
Top 10 Antivirus

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información

Chips Intel afectados por nuevo ataque “PortSmash”

Investigadores finlandeses y cubanos han descubierto en conjunto un exploit que utiliza una característica de los chips Intel, la cual permite robar llaves criptográficas secretas.
Esta característica es conocida como ataque de canal lateral (side channel attack), mediante la cual un proceso espía a otro mientras se ejecuta.
El ataque se vale de una característica llamada Simultaneous Multi Threading (SMT), la cual permite que dos programas se ejecuten paralelamente en un sólo núcleo de CPU. Aunque este concepto se encuentra presente desde finales de los años ’60, este ataque se enfoca en la versión desarrollada por Intel, Hyper-Threading, la cual comenzó a ser incorporada en sus procesadores en el año 2002.
El ataque side channel no revisa al proceso víctima directamente. En vez de eso, un hilo (el de ataque) busca por pistas que puedan revelar lo que el otro hilo (la víctima) está realizando, y trabaja secretamente desde ahi. Puede utilizar diversas señales, incluyendo el tiempo de las instrucciones. El ataque PortSmash utiliza el tiempo de las instrucciones basado en los contenidos del puerto.
Cada núcleo físico tiene un número de puertos, los cuales sn las regiones en el chip que realizan el proceso físico. Cuando dos hilos están corriendo en un chip ellos a menudo deben esperar a que el otro utilice estos puertos primero.
PortSmash explota esta situación. Su hilo de ataque toma un puerto repetitivamente con instrucciones inservibles a menos que el controlador de la CPU detiene su ejecución y le pasa ese puerto a otras instrucciones para su ejecución, entonces mide el tiempo que el otro hilo toma para procesar sus propias instrucciones. Esto puede ayudar a inferir los secretos de un programa a través del tiempo.
La Prueba De Concepto muestra como robar la llave privada de OpenSSL desde un servidor TLS. Ese es sólo un ejemplo de lo que el ataque puede realizar, y de que el código puede ser reconfigurado fácilmente para también robar otra información.
Para mitigar este riesgo, se debe deshabilitar el SMT mencionado al comienzo de este artículo. Muchos equipos no permiten realizar esto desde la configuración de la BIOS, por lo cual OpenBSD ya ha programado la deshabilitación de su soporte de SMT. Esto apareció días después de la divulgación de otra falencia en el side channel llamada TLSBleed, donde investigadores holandeses extrajeron llaves criptográficas desde hilos víctima en chips Intel.
Este ataque es distinto a SPECTRE y MELTDOWN, ya que estos utilizan la ejecución especulativa para robar los datos. Aún no está claro en como afecta esto a los procesadores AMD.
Impacto
Si usted es un usuario de un PC portátil o de escritorio, el cual utiliza para labores rutinarias como juegos, navegación en internet, trabajo de oficina, etc. El impacto no es tan grande. Este ataque involucra ejecutar código en su máquina, y si el atacante consigue realizar esto entonces ahí recién empieza el problema, dado que puede utilizar su propio código para llegar a su información de forma mas fácil.
Pero el peligro real de esto es para aquellos que ejecutan una gran cantidad de carga de transacciones de diferentes clientes en la misma máquina. Entornos en la nube que utilizan tenencia múltiple podrían ser un objetivo clave en esto. De cualquier forma, el atacante aún debe lograr que su código se ejecute en el mismo núcleo físico que el programa al cual quiere espiar.
Intel ha comunicado que es responsabilidad de los desarrolladores la creación de código más seguro para detener a las personas que abusan de esta característica.

El antiguo oficial de seguridad para el Sistema Operativo FreeBSD, en twitter profundizó acerca de esto, explicando que este concepto es conocido por años, y que las buenas prácticas de código son cruciales
OpenSSL ya emitió un parche para este problema mientras Intel retiró el Hyper.Threading de sus procesadores i7 9700k.

Vulnerabilidad 0-Day en Oracle VirtualBox

Se ha realizado la publicación de un hallazgo de vulnerabilidad del tipo 0-Day que afecta al software VirtualBox de Oracle en sus versiones 5.2.20 o anterior. Esto es efectivo además, cuando la configuración se encuentra como “predeterminada”: tarjeta de red virtual Intel PRO/1000 MT Desktop (82450EM) y en modo NAT.
Esta vulnerabilidad al ser explotada, permitiría a un atacante con provilegios de administrador en un guest, escapar a host ring3 para escalar privilegios a ring0 mediante /dev/vboxdrv

IBM compra a la open-source Red Hat por USD $34.000.000.000

Este año ha sido bastante positivo para las plataformas de código abierto.
A comienzos de este año Microsoft compró el servicio de repositorios para código GitHub por $7,5 mil millones de dólares, ahora IBM anunció la realización del mayor negocio jamás realizado en relación al negocio del open-source.
El 28 de octubre de 2018 IBM confirmó que adquirirá la empresa de Linux de código abierto Red Hat al valor de USD $190 por acción, lo que totalizaría un total valor de aproximadamente $34 mil millones de dólares.
Red Hat es conocida por su sistema operativo Red Hat Enterprise Linux (RHEL), es una compañía líder que ofrece productos de software de código abierto a la comunidad empresarial. Inclusive Oracle utiliza el código de Red Hat para su producto Oracle Linux.
Las ganancias del año pasado para Red Hat fueron de USD $2.4 mil millones de dólares, y este año la compañía ya ha ganado otros USD $2.9 mm. Como los productos de Red Hat son de código abierto y las actualizaciones gratuitas, uno podría cuestionarse como es que esta compañía gana tal cantidad de dinero.
Red Hat es una de las primeras empresas que crearon un exitoso proyecto para obtener ganancias monetarias basándose en el software gratuito de código abierto. Ofrece servicios de consultoría, incluyendo evaluaciones, implementaciones, migraciones de plataforma, integración de soluciones, y desarrollo de aplicaciones.
IBM adquiere a Red Hat apuntando a los gigantes de la computación en la Nube
Como otras grandes compañías tecnológicas, IBM también ya sido un gran apoyo para Linux y colaborador al desarrollo de su núcleo y otros proyectos de código abierto, sin embargo ha quedado por detrás de Amazon, Alphabet (Google) y Microsoft en lo que respecta a cloud computing.
Esta adquisición ayudará a IBM a expandir sus horizontes como proveedor de computación en la nube a un nivel empresarial.
La Chairman, Presidenta y CEO de IBM, Ginni Rometty, expresó en una declaración: “La adquisición de Red Hat es un cambio en el juego. Cambia todo acerca del mercado del cloud computing”. También añadió que “IBM se convertirá en el proveedor hybrid cloud número 1 del mundo, ofreciendo a las compañías la única solución abierta en cloud que puede desbloquear el valor total de la nube para sus negocios”.
IBM: Red Hat continuará como unidad independiente
Es importante destacar que Red Hat continuará bajo el mando de su actual CEO Jim Whitehurst, en conjunto con su actual equipo de gerentes, como antes. IBM mantendrá las oficinas, plantas, marcas y prácticas de Red Hat.
De acuerdo a IBM, el trato entre ellos y Red Hat ya está aprobado por las juntas directivas de ambas compañías, sólo se espera la aprobación de la junta de accionistas y las aprobaciones regulatorias.
Si todo resulta según lo planificado, se espera que el trato se concrete el segundo semestre de 2019.
Fuente: https://thehackernews.com/2018/10/ibm-redhat-tech-acquisition.html

Datos sin encriptación durante actualización de aplicación Signal

Signal es una aplicación de comunicaciones que hace alarde en su capacidad de mensajería encriptada, el problema es que falla en aprovisionar esa misma protección cuando está realizando una actualización a la versión de escritorio desde su extensión de Chrome, debido a que exporta los mensajes del usuario como archivos de texto no encriptados.
Al actualizar Signal Desktop desde la extensión Signal Chrome, el proceso requiere que el usuario elija una ubicación para guardar los datos de mensajes (texto y adjuntos), con tal de importarlos automáticamente a la nueva versión.
Luego de este paso, el investigador de seguridad y hacker Matt Suiche se dió cuenta que la aplicación volcaba la información en una ubicación que él escogió sin encriptar los archivos antes. Él anunció su descubrimiento mediante Tweeter, además de realizar el reporte de fallos al fabricante. “Es completamente insano”, añadió, agregando una captura de pantalla que muestra los datos en texto plano volcados por Signal durante la actualización.

El directorio principal contiene distintos subdirectorios, uno para cada contacto distinto en Signal. Estos subdirectorios llevan el nombre del contacto y su número de teléfono. Junto con esto, sólo al ingresar a ellos podemos encontrar información sensible. Las conversaciones son almacenadas en el formato JSON (JavaScript Object Notation) sin encriptación ni ofuscamiento, de forma que es posible leer su contenido a simple vista.
Suiche realizó el hallazgo en macOS al recibir una notificación de actualización de la extensión de Signal para Chrome. En tests realizados por BleepingComputer en entorno Linux arrojó el mismo resultado. Tampoco hay advertencias de que el contenido se esta guardando sin encriptar, además de que esta información persiste en el disco duro una vez de que la actualización se completa y la nueva versión de Signal la importa. Los usuarios deben eliminar este subdirectorio manualmente para mitigar el riesgo de filtración de sus conversaciones privadas.
La extensión de Signal para Chrome se encuentra obsoleta. Signal ha estado disponible para teléfonos móviles desde un comienzo, pero debido a la conveniencia se requirió el desarrollo de una versión para computadores de escritorio, la cual apareció como una extensión de Chrome.
Esto significa que la aplicación de escritorio encriptaba sus comunicaciones sólo cuando Google Chrome se encontraba en ejecución. Desde octubre de 2017 existe una nueva variante como aplicación standalone, la cual desecha la interacción con Chrome. Además esto marcó el comienzo del fin para la aplicación de Chrome, la cual expira en menos de un mes.
El problema no es sólo con Signal Desktop. Deprecar una versión en favor de otra, no es motivo suficiente para dejar los datos sin encriptar siendo que el objetivo de este sistema es justamente la transmisión encriptada de conversaciones y archivos. Además se ha descubierto que Signal Desktop no remueve correctamente archivos que han sido adjuntos a mensajes que desaparecen (una funcionalidad que borra los mensajes luego de cierta cantidad de tiempo), ya que estos adjuntos se pueden encontrar en el sistema de archivos de todas formas
Fuente: https://www.bleepingcomputer.com/news/security/signal-upgrade-process-leaves-unencrypted-messages-on-disk/

Otras herramientas de hackeo de NSA están siendo utilizadas en ataques (DarkPulsar y otras)

Industrias de aeroespacio, energía nuclear, I+D y otras, han sido atacadas utilizando poderosas herramientas elaboradas por la Agencia Nacional de Seguridad de Estados Unidos de Norteamérica (NSA).
De acuerdo a investigadores de laboratorios Kaspersky, los atacantes combinan herramientas filtradas desde la NSA como DarkPulsar, DanderSpritz y FuzzBunch para infectar máquinas Windows Server 2003 y 2008, 50 organizaciones de Rusia, Irán y Egipto ya fueron víctimas de este procedimiento.
DanderSpritz consiste meramente en plugins para recopilar inteligencia, utiliza exploits y examina máquinas previamente controladas. Está escrito en Java y provisiona una interfaz gráfica similar a los paneles administrativos de los botnets, y también una consola similar a la de Metasploit. Además incluye sus propios backdoors y plugins para las victimas que no están controladas por FuzzBunch.
FuzzBunch por otra parte ofrece un framework para distintas utilidades que interactúan y trabajan juntas. Contiene varios tipos de plugins que estan diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc.
DarkPulsar es un backdoor que puede ser utilizado por los atacantes en conjunto con FuzzBunch para ganar acceso remoto al servidor objetivo.
Una vez que el backdoor se encuentra operativo, los atacantes pueden utilizar los pluins de DanderSpritz para monitorear y exfiltrar datos desde las máquinas infectadas.
Cada herramienta soporta una cantidad de plugins diseñados para diferentes tareas, los de FuzzBunch sirven para reconocimiento y hackear el sistema objetivo, los de DanderSpritz son usados para la administración de las víctimas ya infectadas.
El hallazgo de esta última ola de ataques es muy importante para demostrar que las amenazas pueden encadenarse desde herramientas de hackeo y exploits desarrolladas por un Estado con el objetivo de crear un poderoso paquete de ataque. También demuestra como los hackers pueden combinar herramientas para realizar operaciones de hackeo con alta sofisticación.
El descubrimiento del backdoor DarkPulsar ayudó a entender su rol como un puente entre estos frameworks previamente filtrados, también como ellos son parte de la misma plataforma de ataque, diseñados para un compromiso de los activos objetivo a largo plazo, basándose en la avanzada facultad de DarkPulsar de persistir y ocultarse.
La implementación de estas capacidades, como por ejemplo, el encapsulamiento del tráfico en protocolos legítimos y el evitar tener que utilizar credenciales de acceso para pasar la autenticación, son altamente profesionales.
Es importante recordar que existen parches de seguridad para estas vulnerabilidades.
Estas herramientas fueron expuestas por el grupo Shadow Brokers en marzo de 2017 y el pack completo se transa en 250 Bitcoins en la dark web.

Para detectar una infección con estas herramientas (si no ha parchado aún, aunque debería) es necesario monitorear el puerto 445, además de un par de sockets que aparecerán en lsass.exe. Cuando DanderSpritz despliega su carga PeddleCheap mediante el plugin PcDllLauncher, la actividad de la red aumenta considerablemente.
Luego cuando una conexión a la máquina infectada se termina y la actividad de la red vuelve a la normalidad, sólo quedan los sockets de lsass.exe
IOCs:
Malware – 96f10cfa6ba24c9ecd08aa6d37993fe4
Ruta – %SystemRoot%System32sipauth32.tsp
Regkey – HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders
Fuentes: https://securityaffairs.co/wordpress/77278/hacking/darkpulsar-nsa-hacking-tools.html
https://securelist.com/darkpulsar/88199/

Combinar 3 vulnerabilidades críticas podría permitir la toma de control de routers D-Link

Investigadores de Silesian University of Technology, en Polonia, descubrieron diversas fallas que pueden ser explotadas para tomar el control de algunos routers D-Link.
Las vulnerabilidades halladas son: Directory Traversal (CVE-2018-10822), Password almacenada en texto plano (CVE-2018-10824), e Inyección de comandos en Shell (CVE-2018-10823).
Esto es debido a múltiples vulnerabilidades en el servidor httpd de los routers D-Link, las cuales se encuentran presentes en diversos modelos. Al utilizar estas 3 vulnerabilidades combinadas permiten tomar el control total del router, incluyendo ejecución de código.
Algunos de los modelos afectados son: DWR-116, DWR-111, DWR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, y DWR-921.
La vulnerabilidad de Directory Traversal, permite al atacante que la explota, la facultad de leer archivos arbitrariamente utilizando llamadas HTTP. Anteriormente esta vulnerabilidad fue reportada a D-Link con el CVE-2017-6190, pero el fabricante no mitigó correctamente esta falla. Esto permite que el atacante obtenga acceso al archivo que guarda la contraseña del administrador del dispositivo en texto plano.
Guardar contraseñas en texto plano es seguida con el CVE-2018-10824. Para evitar una explotación masiva, los investigadores no revelaron la ruta donde se encuentra el archivo de las contraseñas.
La otra vulnerabilidad permite que un atacante no autorizado ejecute comandos de forma arbitraria y de esta forma tomar el control total del dispositivo.
Esta situación ya fue comunicada oportunamente a D-Link, pero este fabricante aún no ha tomado acción al respecto, es por esto que se estas vulnerabilidades se hicieron públicas.
Mientras se espera una actualización de seguridad para estos routers, se recomienda que no se les permita acceso desde Internet.
Los investigadores publicaron un video para demostrar este ataque