Archivos de etiquetas: malware

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC:

Ciberseguridad preventiva ante fraude bancario

La noche del 11 de diciembre de 2018, el programa periodístico chileno Informe Especial, emitió un reportaje acerca de la ciberseguridad bancaria en Chile. Dejando de lado las implicaciones legales tocadas en este programa, queremos nombrar los principales métodos de ataque a los cuales los clientes son expuestos, y algo en lo que nos gustaría profundizar: como evitar ser víctima.
Este tipo de estafas consiste en utilizar los medios tecnológicos e imagen de una institución financiera con tal de usurpar los datos personales y claves de acceso del cliente y de esta forma realizar movimientos bancarios como giros, transferencias, uso de tarjeta de crédito, etc. que beneficien al ciberdelincuente. Si años atrás era utilizado el método conocido como “el cuento del tío”, hoy este cuento aparece en forma de correos electrónicos, llamadas telefónicas, publicidad malintencionada en algunos sitios web, aplicaciones de celular intervenidas y otras.
La base de la protección para el usuario cliente de un banco es la desconfianza, no confiar en contactos inesperados, correos que nos solicitan algo, sitios bancarios inusuales y llamadas de ejecutivos con asuntos que atañan directamente a la cuenta y requieran demasiada información.
Llamadas telefónicas
Supongamos esta situación: Usted recibe una llamada telefónica de una persona que se identifica como “ejecutivo” de su banco; éste le indica que han detectado intentos de intrusión en su cuenta y que necesita que repase sus claves de acceso para garantizar que sólo usted tenga acceso a su cuenta. Luego de un largo discurso y verificación de datos, le solicita “el código de 3 dígitos de la parte anterior de su tarjeta de crédito”.
Listo, con este código mas toda la información recopilada previamente por estos delincuentes, tienen el uso absoluto de su tarjeta de crédito en medios digitales, ya que cuentan con toda la información para por ejemplo, realizar transacciones en linea con su dinero… el cual va a parar a manos de ellos.

Debemos siempre tener la claridad de que un agente bancario jamás le pedirá un dato confidencial como lo es éste código de 3 dígitos – código de seguridad- o una clave de acceso ya sea telefónica, de sitio o pin pass de tarjeta.
Correos electrónicos
Una de las formas mas frecuentes no sólo de estafa bancaria, pero además robo de contraseñas, instalación de malware, secuestro de archivos -ransomware- entre otras.

Usualmente una de las formas de ataque via correo electrónico es la llamada “phishing”, la cual consiste en un correo electrónico malicioso que simula ser de la entidad financiera a la cual suplanta. El contenido de este tipo de correos invita al usuario a hacer click en un vínculo que lo lleve al sitio del banco, cuando en realidad se trata de un sitio malicioso diseñado para engañar al cliente y obtener sus claves de acceso, también puede significar la descarga de malware espía con el mismo objetivo u otro con peores consecuencias.

WhatsApp, Facebook, Instagram, etc…
El mismo método de estafa es replicado mediante aplicaciones de mensajería instantánea y redes sociales, siempre debemos sospechar de un mensaje inesperado que contenga un link para visitar una página que no sabemos que es, sobretodo si proviene de un contacto desconocido.

Aplicaciones móviles
Estas estafas cibernéticas generalmente tienen una preparación planificada previamente y constan de varios pasos, en uno de estos métodos consiste en crear una aplicación móvil fraudulenta, que por citar un ejemplo: proporcione monedas infinitas en CandyCrush.

Este tipo de aplicaciones son publicadas frecuentemente en sitios de descarga de aplicaciones ya sean oficiales o alternativos, además muchas veces el objetivo de éstas es la infección del dispositivo del usuario con algún malware espía que puede capturar las claves de diversos servicios (no sólo bancarios). Un ejemplo es el troyano que afectó a PayPalhttps://www.helpnetsecurity.com/2018/12/12/android-trojan-paypal/
Consejos
Para resumir las medidas básicas de precaución que deben tener los usuarios para prevenir ser víctima de fraude cibernético:
Verificar que estamos accediendo efectivamente al sitio del banco del cual somos clientes, éste debe ser el que ingresa habitualmente y no contener nombres extraños.
Además verificar que aparezca el indicador de que se visita una página segura (aunque esto no garantiza la total seguridad de que sea la página que deseamos).
Jamás entregar datos personales de forma telefónica al recibir llamadas inesperadas de supuestos “ejecutivos bancarios”. Para su seguridad, contacte usted a su ejecutivo de cuenta inmediatamente si sospecha de algo.
No dar click a hipervínculos recibidos por cualquier medio y de forma inesperada, con nombre sospechoso, por ejemplo

https://fkadkfhaas.banco.xyz.com.estoesfalso

o similares.

Descargar sólo las aplicaciones móviles legítimas de las tiendas oficiales de aplicaciones por plataforma: GooglePlay y AppStore.
Ante la duda, ¡absténgase!
Estos consejos no sólo lo ayudarán a prevenir el fraude bancario, también es válido para evitar el robo de su información en diversas plataformas, como además la infección por malware.
La ciber-higiene debe ser un tema de concientización transversal entre los usuarios con los servicios que utilizan, existen muchas recomendaciones de seguridad relacionadas. De forma global y específica seguiremos entregando guías como esta.

GhostDNS: El nuevo botnet de DNS que ya ha secuestrado sobre 100 mil Routers

Investigadores de seguridad chinos han descubierto una campaña de malware que se está distribuyendo de amplia manera, y ya ha secuestrado sobre 100.000 routers para modificar sus configuraciones de DNS y así redirigir a los usuarios hacia páginas maliciosas (especialmente si intentan visitar sitios de bancos) y de esta forma así robar sus credenciales de acceso.
Denominado GhostDNS, esta campaña tiene muchas similitudes con el infame malware DNSChanger, el cual funciona modificando la configuración de los servidores DNS de un dispositivo infectado, permitiendo de esta manera que los atacantes ruteen el tráfico de internet de los usuarios hacia servidores maliciosos y así robar datos sensibles.
De acuerdo a un nuevo reporte de la empresa de seguridad Qihoo 360, GhostDNS analiza las IP de los routers que utilizan contraseñas débiles o no utilizan contraseña alguna (DNSChanger funciona de la misma manera), con tal de cambiar las direcciones DNS por defecto por alguna de las controladas por los atacantes.
Sistema GhostDNS: Se compone principalmente de 4 módulos:
1.- El modificador de DNS: Es el módulo principal de GhostDNS, el cual está diseñado para explotar routers definidos basados en la información recopilada.
Éste a la vez contiene 3 sub-módulos:
a) Shell DNS Changer: Escrito en Shell, este sub-módulo combina 25 scripts de Shell que pueden realizar ataques de fuerza bruta sobre las contraseñas en routers o paquetes de firmware de 21 fabricantes distintos.
b) Js DNSChanger: Principalmente escrito en JavaScript, este sub-módulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware distintos. Su estructura funcional es principalmente dividida en escaners, generadores de carga y programas de ataque. El programa Js DNSChanger usualmente es inyectado en sitios de Phishing, por lo que funciona bien junto con el sistema Phishing Web System.
c) PyPhp DNSChanger: Escrito en Python y PHP, este sub-módulo contiene 69 scripts de ataque distintos para 47 routers y firmware, éste ya ha sido encontrado sobre 100 servidores, muchos de ellos en la nube de Google, además incluye funcionalidades como una API Web, y módulos de escáner y ataque.
Éste sub-módulo es el principal de DNSChanger que permite que los atacantes busquen en internet por routers vulnerables.
2.- Módulo de administración Web: Aunque los investigadores aún no tienen mucha información acerca de este módulo, pareciera ser un panel de administración para los atacantes que contiene una pagina de login segura
3.- Módulo DNS malicioso: Es el responsable de resolver los nombres de dominio desde los servidores web controlados por los atacantes, lo que principalmente involucra a bancos y servicios de hosting en la nube; junto con un dominio que pertenece a la empresa de seguridad Avira.
4.- Módulo Phishing Web: Cuando un dominio apuntado es resuelto con éxito mediante el módulo DNS malicioso, el módulo de Phishing muestra la correcta versión falsa del sitio específico.
Investigadores de NetLab declararon: “No tenemos acceso al servidor DNS malicioso, así que no podemos decir con certeza cuantos nombres de DNS han sido secuestrados, pero al hacer consulta en los dominios de Alexa Top1M y DNSMon’s Top1M contra el servidor DNS malicioso (139.60.162.188), hemos sido capaces de detectar un total de 52 dominios secuestrados”

De acuerdo a los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS afectó a mas de 100.000 routers de los cuales el 87% se encuentran localizados en Brasil, por tanto se induce que ese país es el principal objetivo de los atacantes de GhostDNS.
Como proteger su router doméstico de los Hackers
Para poder protegerse a si mismo de ser una víctima de estos ataques, se recomienda que se asegure de que su router está ejecutando la ultima versión de su firmware, y además de que tiene contraseñas fuertes para el portal web de administración de su router.
También puede considerar el deshabilitar la administración remota, cambiar su dirección IP local por defecto, y configurar fijamente un servidor DNS de confianza (1.1.1.1) en el sistema operativo de su router.
Fuente: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html

ALERTA PHISHING: Chilexpress

Una vez mas somos testigos de como los ciberdelincuentes nos atacan, intentando apropiarse de nuestras claves de acceso o instalar algun malware que sirva para extorsionarnos de alguna forma como es el ransomware.
En esta oportunidad nos encontramos con un correo que aparenta venir de la empresa de courier Chilexpress, en el cual aparece un número de seguimiento y un link que nos invita a revisar el estado de la encomienda que supuestamente recibiremos.

Los links que figuran en el correo de phishing en realidad llevan a otra dirección la cual al ingresar nos muestra un mensaje de “sin permiso”:

El ataque contiene mecanismos de detección de análisis, aunque se detectó que descarga archivos con extensión .cab y que instala “parches” en procesos en ejecución.
El resultado de Hybrid-Analysis se puede encontrar en http://tinyurl.com/yb8cez8c
Recomendaciones
La principal herramienta ante un ataque por phishing es la observación, el ataque de phishing intenta engañar a la víctima para que ingrese a links enmascarados o entregue información sensible a los atacantes, esto lo intenta hacer al enviarnos correos o mostrando mensajes en páginas intervenidas con el siguiente tipo de mensajes:
“Ingrese para ver el detalle de su transferencia/encomienda/multa””Confirme sus datos de acceso””Ha ganado! ingrese para reclamar su premio”
y muchos mas.
Por tanto, atención al recibir correos inesperados con mensajes que nos invitan a ingresar a sitios o entregar datos de forma “urgente”.

Explotación de vulnerabilidades en Flash mediante Office

Una vulnerabilidad no parchada en Adobe (CVE-2018-4878) permitiría la ejecución de código remoto mediante un objeto flash malintencionado. Este objeto Flash fue descubierto inicialmente en un archivo Excel, por lo que no se descarta que sea utilizado mediante otros adjuntos infectados via spam o phishing.
Se estima que se libere una nueva actualización Adobe en estos dias, mientras se adjunta la información para plataformas de seguridad:
Bloqueos:
hxxp://www[.]1588-2040[.]co[.]kr/conf/product_old.jpghxxp://www[.]1588-2040[.]co[.]kr/design/m/images/image/image.phphxxp://www[.]korea-tax[.]info/main/local.phphxxp://www[.]dylboiler[.]co[.]kr/admincenter/files/board/4/manager.php
Hashes:
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
E1546323dc746ed2f7a5c973dcecc79b014b68bdd8a6230239283b4f775f4bbd
Este malware se encuentra cubierto por Sophos Anti Virus, por lo que sus usuarios pueden estar tranquilos al respecto.

[UTIL] 130 muestras de malware que explota Meltdown y Spectre (incluye hashes)

Luego de unas semanas desde la divulgación de las vulnerabilidades en procesadores basados en x86, Meltdown y Spectre, ya se han descubierto al menos 130 muestras de malware que intenta explotar estas vulnerabilidades.
Estas vulnerabilidades permiten que atacantes eviten los mecanismos de aislamiento de memoria, de forma que acceden a datos restringidos como contraseñas, claves criptográficas, datos reservados de otras aplicaciones, etc.
Se recomienda cargar estas firmas en los sistemas de seguridad correspondientes.
Información entregada por laboratorios de AV-TEST:
SHA256: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Malware MaMi – macOS

Un nuevo malware que afecta a macOS (antes conocido como OSX) principalmente modifica los DNS del sistema afectado.
Este malware denominado como OSX/MaMi se caracteriza por la modificación de los DNS para que apunten a servidores controlados por los criminales presuntamente creadores de este malware, y la instalación de un certificado raíz.
De esta forma al intentar buscar una dirección, la respuesta de donde se encuentra ese servidor la da el DNS maligno en vez del de Google. Con esto se aseguran que una gran cantidad de personas puedan ver sus paginas de phishing sin sospechar mayormente de que se trata de una estafa.
Con la instalación del certificado consiguen que las páginas malignas que ellos preparan no levan sospechas en los navegadores al existir un certificado para estos sitios falsos.
Además permite que la comunicación entre el usuario y otro servicio sea fácilmente “espiable” por un ataque del tipo MitM (Man-in-the-Middle u hombre-en-el-medio) y así robar información como por ejemplo credenciales de correo, bancarias, privadas, etc…
Como si fuera poco lo ya indicado, este malware incluye funciones como ejecución de código remoto, descarga de archivo, control de mouse, etc. Por lo que se presume que su principal función es el espionaje.
Pero como no todo es catastrófico, los usuarios de Sophos ya se encuentran cubiertos ante esta amenaza. Cabe mencionar que Sophos fue elegido como uno de los mejores Anti Virus para Mac por la prestigiosa revisa especializada MacWorld, siendo el único AV gratuito de este listado.

Phishing utiliza imagen de BancoEstado para distribuir malware

El cybercrimen nunca descansa, recientemente descubrimos una nueva campaña de distribución de malware mediante phishing:

El link de descarga ya se encuentra catalogado como peligroso por algunas empresas porveedoras de Antivirus, mientras otras se encuentran analizándolo De cualquier forma no se trata de un correo oficial del banco ni es un aviso de transferencia real, esto se puede deducir al analizar el encabezado del correo:
Return-Path: <root@comprobante3.notificacionmail.com> Received: from comprobante3.notificacionmail.com (comprobante3.notificacionmail.com. [185.181.10.56])
Message-Id: <20171114154932.D1ED71CA167@comprobante3.notificacionmail.com>

Un correo real de Banco estado luce de la siguiente forma, sin requerir que el usuario descargue nada:

Otra muestra de correo real:

Evite ser víctima de estos delincuentes y recuerde no abrir correos electrónicos inesperados por mas atractivo que sea el asunto

Malware en correo phishing simil de Carabineros

Hemos detectado una nueva campaña de phishing + malware dirigido a usuarios de Chile, se trata de una supuesta citación de fiscalía, entregada por Carabineros de Chile. El correo aduce una denuncia por amenazas y adjunta la supuesta citación en formato .RAR.

El malware adjunto se ha detectado como un downloader que puede controlar e infectar con otros malware (o ransomware) nuestro equipo.
Quizás lo mas importante para evitar ser victima de este crimen es analizar críticamente los correos no esperados, sobretodo si nos induce a descargar archivos adjuntos. Adicionalmente, y para este tipo de casos de phishing, es considerar que en Chile los documentos oficiales como citaciones, partes, demandas y demases, son enviadas al domicilio del involucrado por correo físico tradicional, y muchas veces certificado. Por lo que cualquier tipo de citación legal inesperada lo mas probable es de que se trate de phishing. Es por eso el énfasis en el análisis del contenido no esperado.

EsteemAudit: Exploit para RDP de la NSA. Sin parche oficial Microsoft

Existe una posibilidad latente de una “segunda ola” de ataques por malware, pues no sólo el protocolo SMB fue objetivo de los exploits creados por la NSA y que fueron expuestos el mes pasado.

Mientras Microsoft libera parches para las fallas en SMB, inclusive para versiones obsoletas de Windows, no ocurre esto en relación a otras herramientas de hackeo: “EnglishmanDentist”, EsteemAudit” y “ExplodingCan”.

EsteemAudit es otra peligrosa herramienta de hacking de Windows, desarrollada por la NSA, la cual ataca mediante el servicio RDP (puerto 3389) para equipos Windows XP y 2003. Como se trata de sistemas que se encuentran en End Of Life, Microsoft no ha liberado algún parche de emergencia para el exploit de EsteemAudit, por lo que existe una cantidad elevada de sistemas vulnerables de cara a Internet disponibles para atacar.

Este malware también puede ser usado como “gusano”, similar a WannaCry, lo que permitiría a atacantes propagarse por redes corporativas enteras y dejar una gran cantidad de sistemas vulnerables a acciones maliciosas como ransomware, espionaje, C&C y otros.

Ya existe historial de propagación de ransomware mediante RDP, por lo que la primera recomendación es la actualización de sistemas Windows fuera de soporte a versiones que se encuentran soportadas por Microsoft (2008 y superior). En caso de no ser posible, securizar el puerto de RDP mediante firewall o deshabilitarlo.