EnHacke
>

Troyano bancario hijackrat afecta a los usuarios de android

android_malware_150Especialistas de FireEye señalaron que la versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con otras falsas. Los hackers también desarrollan aplicación de malware que se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda.

Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye.  Esta nueva amenaza -en forma de troyano bancario- ha sido denominada HijackRAT y viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.

El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. “Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo”, según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.

Aunque HijackRAT se disfraza como un “servicio de Google”, no tiene afiliación con la tienda oficial Google Play Store.

DETECCIÓN Y PRECAUCIÓN

Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre “Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.

Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación.

Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.

Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.

La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.

Ayudan a FBI a capturar al creador del troyano SpyEye

panin_skyeye_malware-150El líder mundial de seguridad de datos Trend Micro colaboró con el FBI en la identificación y posterior aprehensión del hacker ruso Aleksandr Andreevich Panin, quien se declaró culpable del desarrollo y distribución del software malicioso conocido como SpyEye.

De acuerdo con estimaciones de la industria informática, el malware SpyEye ha infectado a más de 1.4 millones de computadoras en el mundo.

Gracias al equipo de investigación de Trend Micro, el FBI (Oficina Federal de Investigación), de EU, logró identificar al hacker también conocido como “Gribodemon” o “Harderman”, quien además se considera culpable de la conspiración para cometer falsificación y fraude bancario.

Presuntamente, el cibercriminal operó al menos un servidor de comando y control (C&C) para SpyEye, código informático sofisticado que está diseñado para automatizar el robo de información personal y financiera confidencial, como las credenciales de banca en línea, información de tarjetas de crédito, nombres de usuario, contraseñas, números PIN y otros tipos de información de identificación personal.

El director de Innovación de Tren Micro México Juan Pablo Castro señaló que “el malware SpyEyefacilitó este robo de información mediante la infección en secreto de las computadoras de las víctimas en la que los ciberdelincuentes controlaron de forma remota los equipos infectados a través de los servidores C&C”.

“Una vez –continúa-  que el ordenador era infectado y estaba bajo el control  de los “ciberdelincuentes”, lograban acceder de forma remota a los equipos infectados, sin autorización, para robar la información personal y financiera de las víctimas, a través de una variedad de técnicas, incluyendo monitoreo de teclado y de tarjetas de crédito. Los datos personales y financieros de las víctimas  eran transmitidos de forma discreta a los servidores de C&C, el cual se utilizaba para robar dinero de las víctimas de sus cuentas financieras”.

 El equipo de investigación de Trend Micro inició la investigación desde hace cuatro años. Durante el periodo de intervención, su equipo estudió la infraestructura utilizada para apoyar al malware, donde se identificaron los puntos débiles en la misma y se siguió un importante número de pistas que condujeron a las identidades de los  individuos detrás de este peligroso troyano bancario.

Cuando Trend Micro obtuvo la suficiente información involucró a las fuerzas de seguridad, en este caso al FBI, que concluyó con  éxito la operación.

Dentro de la investigación se destaca que las contraseñas más utilizadas por las víctimas fueron  “love me”, “kiss me” (“ámame”, “bésame” en inglés), lo que facilitó aún más el robo financiero.

Target: Hackers maliciosos pudieron utilizar a un tercero para infiltrarse y sustraer datos de clientes

target_2_150Una empresa de sistemas de aire acondicionado que es proveedora de Target fue víctima de una “sofisticada operación de ciberataque’’ que pudo haber permitido a los hackers maliciosos infiltrarse en los sistemas informáticos de la segunda cadena minorista más grande de Estados Unidos y robar millones de números de tarjetas de crédito y débito.

Fazio Mechanical Services Inc., con sede en Sharpsburg, Pensilvania, emitió un comunicado ayer después de que blogueros expertos en seguridad informática la identificaran como el tercero a través del cual hackers maliciosos ingresaron a los sistemas de Target.

La cadena de tiendas ha dicho que al parecer los hackers maliciosos ingresaron en un principio a su extensa red informática a través de uno de sus proveedores. Una vez dentro, los hackers maliciosos se movieron por las redes de Target y al final instalaron software malicioso en el sistema de punto de venta de la empresa.

Los expertos creen que la serie de infiltraciones dio a los intrusos acceso a unos 40 millones de números de tarjetas de crédito y débito, además de información personal de otras 70 millones de personas.

Brian Leary, portavoz del Servicio Secreto de Estados Unidos, confirmó que los negocios de Fazio están siendo investigados, pero no dio más detalles.

Molly Snyder, vocera de Target, no quiso hacer declaraciones debido a que la investigación que está en marcha.

“Al igual que Target, fuimos víctimas de una sofisticada operación de ciberataque”, dijo en un comunicado Ross Fazio, presidente y dueño de la empresa. La compañía está cooperando con el Servicio Secreto y Target para identificar la posible causa de la falla informática, dijo.

Peligrosa campaña de phishing con falsas ofertas de trabajo

phishing_150Los hackers maliciosos suelen aprovecharse de la debilidades de los usuarios para lanzar sus ataques. En muchas ocasiones buscan como gancho hechos sociales de gran repercusión para mandar mensajes de correo electrónico con malware adjunto. En otras ocasiones hacen uso de la ingeniería social para lanzar sofisticados ataques de phishing y poder así obtener datos de los usuarios y crear así una gran base de datos personales que, posteriormente, será vendida en el mercado negro.

Una nueva campaña de phishing a través del correo electrónico se está llevando a cabo a través de internet. Esta nueva campaña llega a los usuarios a través de una falsa oferta de trabajo solicitando a este que envíe su curriculum con datos personales que, posteriormente, podrán ser vendidos a los hackers maliciosos que están llevando a cabo esta campaña.

Como ya hemos dicho más veces, los datos personales son muy valiosos en la red ya que permiten, por ejemplo, a campañas publicitarias, orientar mejor sus anuncios o bombardear con publicidad engañosa adaptada a cada grupo de usuarios. Los datos que contiene un curriculum son prácticamente todos los personales, desde el nombre, dirección, residencia hasta los estudios y, con ello, los gustos e intereses de las víctimas.

Los mensajes de phishing tienen una apariencia similar a la siguiente:

phishing_spam_busqueda_empleo_foto

Esta campaña va dirigida hacia cualquier español con una dirección web. Debido a la situación actual en España, los piratas informáticos se están aprovechando de la búsqueda y necesidad de empleo para conseguir recopilar una gran base de datos personales de usuarios que, posteriormente, probablemente venderán en el mercado negro o a otras empresas.

Según recomienda Inteco, los usuarios afectados por esta campaña que hayan enviado el curriculum a través de internet deberían realizar algún control sobre la información que se publica en internet. Buscar en Google o utilizar servicios como Google Alerts ayudarán a los usuarios a tener un mayor control sobre su información personal que se publica en internet. En caso de encontrar información personal publicada se deberá poner en contacto con la Agencia Española de Protección de Datos o con los Cuerpos y Fuerzas de Seguridad del Estado.

Se han recibido más de 6.000 mensajes de phishing diferentes sobre este tema con más de 6000 asuntos y contenidos diferentes, por lo que es bastante difícil concretar el origen de este peligroso ataque. Los usuarios deben evitar abrir mensajes de correo de remitentes desconocidos. También debemos evitar descargar archivos que nos llegan desde estos correos ya que pueden contener malware que afecten a nuestro sistema y nos roben datos de él o, como ya ha ocurrido en ocasiones anteriores, que cifre los datos de nuestros discos y nos pida dinero por recuperarlos.

¿Has recibido algún correo electrónico similar?

Desarrollan un malware que capta todo lo que hace tu smartphone

malware-movil_150Durante la RSA Conference sepresentará un malware capaz de recoger todo lo que ocurra en un smartphone o tableta, basada en Android o iOS.

Neal Hindocha es un consultor de seguridad de la compañía Trustwave que ha decidido dedicar todos sus conocimientos para crear una prueba de concepto de un malware screenlogging –que registran todos las interacciones que se producen en una pantalla, y que junto con la toma de unas cuentas capturas de pantalla permite a su creador saber todo lo que esté ocurriendo en un Smartphone o tablet, incluso si hablamos de un iPhone o iPad.

El trabajo se mostrará en la conferencia de seguridad RSA que se celebrará dentro de unas semanas en San Francisco.

Lo que nos salva al común de los mortales de que el malware sea útil, por el momento es que analizar la información recogida sería tan laborioso que deja de tener sentido para un hacker, por lo que su uso no es apropiado… a gran escala. La cosa cambia cuando se trata de usos específicos, como la captura de credenciales en el uso de la banca online de una persona específica, o la captura de detalles de acceso a una VPN para el robo corporativo.

La idea se le ocurrió al experto de Trustware investigando la evolución del malware financiero en la plataforma Windows. Así se lo ha contado Neal Hindocha a Forbes.

Los mercados financieros empiezan a combatir a los troyanos keylogging, que recogen todas las pulsaciones en un PC de formas diferentes y eso es lo que habría llevado al investigador a considerar nuevas estrategias de captura de información. Asumiendo el incremento del uso de la banca móvil, el experto en seguridad decidió investigar nuevos métodos aplicados a dispositivos móviles.

Hindocha asegura que su prueba de concepto no sólo funciona en Android, sino en iOS, aunque queda limitado en aquellos dispositivos que hayan sido modificados con un jailbreak.

Ataque a Yahoo Mail!, cambia tu contraseña

yahoo-hack-150La compañía anunció hoy que “han identificado un esfuerzo coordinado para obtener acceso no autorizado a las cuentas de correo de Yahoo”, los nombres de usuario y contraseñas de sus clientes de correo electrónico han sido robadas y se están utilizando para acceder a múltiples cuentas.

Yahoo no dijo cuantas cuentas han sido afectadas y tampoco están seguros sobre el origen de las credenciales de los usuarios filtrados. La información parece provenir de una base de datos de terceros que fue comprometida y no de una infiltración de los servidores propios de Yahoo.

“No tenemos ninguna evidencia de que se obtuvieron directamente en los sistemas de Yahoo. Nuestra investigación muestra que programas informáticos malintencionados utilizan una lista de nombres de usuario y contraseñas válidos para obtener acceso a cuentas de correo de Yahoo.”

Por ahora, Yahoo está tomando acciones proactivas para proteger a sus usuarios afectados, “nosotros estamos reajustando las contraseñas de las cuentas afectadas y estamos utilizando la autenticación de dos factores para permitir a los usuarios volver a asegurar sus cuentas. A los usuarios ya afectados se le pedirá para cambiar su contraseña y pueden recibir una notificación por correo electrónico o un texto de SMS si han añadido un número de móvil a su cuenta”.

Esta es la segunda vez que pasa con Yahoo! que ya fue atacadi en julio de 2012 y los atacantes robaron 450.000 direcciones de correo electrónico y contraseñas de una red de colaboradores de la empresa.

Un hacker roba los datos bancarios del 40% de toda Corea del Sur

cibercriminales_150Los datos bancarios de 20 millones de cuentas han sido robadas en Corea del Sur.

Un solo hacker está tras el robo de datos que ha comprometido a casi la mitad de la población de Corea del Sur. El órgano regulador del sector financiero del país asiático ha confirmado que el robo ha afectado a 20 millones de cuentas.

Las tres entidades bancarias afectadas cubrirán las pérdidas que haya podido originar el incidente. Sus máximos responsables ya se han disculpado públicamente.

Los reguladores han insistido en las medidas de seguridad de las compañías financieras para evitar, probablemente, la histeria colectiva.

Como recuerda Mashable, no es la primera vez que Corea del Sur se convierte en protagonista de noticias relacionadas con ciberataques. El mes pasado un empleado de un gran grupo financiero fue arrestado acusado de robar datos de 34.000 clientes.

Un hacker adolescente, responsable del robo masivo en Target

target_teen2-_50Algo falla de forma estrepitosa cuando las empresas y los bancos gastan miles de millones de euros en seguridad, pero un adolescente de 17 años, desde su casa y con software que puede conseguir por su cuenta, crea un malware capaz de robar 70 millones de tarjetas de crédito.

La noticia saltó hace unas semanas: la famosa cadena de comercios Target, con casi 2000 establecimientos y 360.000 trabajadores, sufrió un ataque hacker en sus terminales de puntos de venta, que robó los datos completos de las tarjetas bancarias de 70 millones de clientes.

Fuentes de la investigación han desvelado que el robo se ha producido por medio de un malware llamado BlackPOS, que actúa directamente sobre los terminales de punto de venta en donde los clientes introducen su tarjeta cuando pasan por caja.

Estos terminales son ordenadores sencillos que cifran los datos bancarios que tramitan, antes de enviarlos al ordenador central de Target.

Pero al parecer, hay un momento, justo antes del cifrado, en el que los datos se guardan en la memoria RAM del terminal, sin cifrar. Aquí es donde actúan el malware BlackPOS, extrayéndolos antes de que se cifren.

Con este sistema han conseguido robar 70 millones de tarjetas, que se han estado vendiendo en el mercado negro a un precio de entre 20 y 100 dólares cada una.

Lo más sorprendente de todo es que el creador del malware BlackPOS es, supuestamente, un hacker adolescente ruso de 17 años. El joven no es el responsable del robo, pero su software fue utilizado por la banda que lo llevó a cabo. Las investigaciones se centran en saber si vendió el malware a los ladrones.

Más preocupante aún es que se ha desvelado que podría haber otras seis cadenas de comercios infectadas por el malware BlackPOS, aunque sus nombres no han trascendido.

Un duro revés para la confianza en el comercio electrónico. No obstante, lo más probable es que todas las operaciones ilegales que se lleven a cabo con las tarjetas robadas serán cubiertas por los seguros, los bancos y los propios comercios.

Nuevas amenazas burlan la validación mediante firmas digitales

mcafee_llave_150Informe de amenazas del tercer trimestre identifica malware para android que elude la validación de las aplicaciones, mientras que el malware firmado para pc sigue en aumento; bitcoin es popular en el comercio ilícito y la ciberdelincuencia.

McAfee Labs publica el Informe de amenazas de McAfee Labs del tercer trimestre de 2013, que reveló nuevas iniciativas para burlar la validación de aplicaciones mediante firmas digitales en los dispositivos Android. El equipo de McAfee Labs identificó una nueva familia de malware móvil que permite a los atacantes eludir la validación de las aplicaciones mediante firmas digitales en los dispositivos Android, la que contribuyó con un aumento del 30 por ciento al malware basado en Android. Al mismo tiempo, el malware tradicional con firmas digitales creció en un 50 por ciento, a más de 1,5 millones de muestras. Menos sorprendente pero no menos inquietante fue el aumento en un 125 por ciento en el spam.

“Los esfuerzos por evadir la validación del código en los dispositivos móviles y de apropiarse de este en las PC representan intentos de eludir los mecanismos de confianza en los que se sustentan nuestros ecosistemas digitales”, comentó Vincent Weafer, Vicepresidente Senior de McAfee Labs. “La industria debe esforzarse más para garantizar la integridad de esta infraestructura de confianza digital, ya que estas tecnologías se están volviendo cada vez más extendidas en todos los aspectos de nuestras vidas cotidianas”.

El tercer trimestre también mostró eventos notorios en el uso de monedas virtuales, como por ejemplo Bitcoin, para actividades ilícitas, como la adquisición de drogas, armas y otras mercancías ilegales en sitios Web como Silk Road. Le creciente presencia de malware de minería de Bitcoin refuerza la enorme popularidad de esta moneda

Weafer agregó: “A medida que estas monedas se siguen integrando en nuestro sistema financiero global, su seguridad y estabilidad requerirán de iniciativas que hagan uso de los controles monetarios y supervisión del sistema financiero, junto con los controles técnicos y defensas de nuestra industria”.

Aprovechando los datos de la red McAfee Global Threat Intelligence (GTI), el equipo de McAfee Labs identificó las siguientes tendencias durante el tercer trimestre de 2013:

· Malware con firmas digitales. El malware con firmas digitales aumentó en un 50 por ciento, a más de 1,5 millones de muestras nuevas. McAfee Labs también reveló los 50 principales certificados empleados para firmar descargas malintencionadas. Esta amenaza creciente pone en entredicho la validez de los certificados digitales como mecanismo de confianza.

· Nuevas familias de malware móvil. Los investigadores de McAfee Labs identificaron una familia completamente nueva de malware para Android, Exploit/MasterKey.A, que permite que los atacantes eludan la validación de firmas digitales de las aplicaciones, un componente fundamental del proceso de seguridad de Android. Los investigadores de McAfee Labs descubrieron una nueva clase de malware para Android que, una vez instalado, descarga nuevo contenido en una segunda etapa sin que el usuario se entere.

· Monedas virtuales. El uso de nuevas monedas digitales por parte de los ciberdelincuentes, tanto para ejecutar transacciones ilegales como para el lavado de las ganancias, está permitiendo niveles inauditos de actividades criminales. Estas transacciones se pueden ejecutar en forma anónima, lo que ha atraído el interés de la comunidad de ciberdelincuentes y le permite ofrecer bienes y servicios ilícitos para la venta en transacciones que, normalmente, serían transparentes ante la ley. McAfee Labs también observó a ciberdelincuentes que desarrollan malware de minería de Bitcoins para infectar sistemas, aprovechar su capacidad de procesamiento y producir Bitcoins para realizar transacciones comerciales. Para obtener más información, consulte el informe de McAfee Labs “Blanqueo digital – Divisas digitales y su uso en el cibercrimen”

· Malware para Android. Casi 700.000 muestras nuevas de malware para Android aparecieron durante el tercer trimestre, mientras que los ataques al sistema operativo móvil aumentaron en más de un 30 por ciento. A pesar de las responsables medidas nuevas de seguridad de Google, McAfee Labs cree que la principal plataforma móvil seguirá atrayendo la principal parte de la atención de los hackers, ya que cuenta con el mayor grupo de víctimas potenciales.

· Alza en el spam. El volumen mundial de spam aumentó en un 125 por ciento durante el tercer trimestre de 2013. Los investigadores de McAfee Labs creen que gran parte de esta alza se generó en empresas de marketing legítimas que compran y usan listas de distribución de correo que se obtuvieron de fuentes de dudosa reputación.

Todos los trimestres, el equipo de McAfee Labs de 500 investigadores multidisciplinarios en 30 países lleva a cabo un seguimiento del espectro completo de amenazas en tiempo real, para lo cual identifica las vulnerabilidades de las aplicaciones, analiza y correlaciona los riesgos y pone en práctica correcciones instantáneas para proteger a las empresas y al público general.

Para leer todo el Informe de amenazas de McAfee Labs: tercer trimestre de 2013, visite: http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q3-2013.pdf

Svpeng, troyano-SMS para Android roba información financiera

mobile_phishing_3El troyano para Android Trojan-SMS.AndroidOS.Svpeng sigue activo y los cibercriminales han aumentado su capacidad de ataque. De hecho, ahora Svpeng también puede lanzar ataques phishing para conseguir información financiera de los usuarios.

Según los expertos de Kaspersky Lab, cuando un usuario ejecuta la aplicación bancaria de alguno de los principales bancos de Rusia, el troyano sustituye la ventana abierta por una ventana fraudulenta diseñada para robar el nombre de usuario y contraseña de su víctima, enviando la información recogida a los cibercriminales.

El programa malicioso también utiliza un método similar para tratar de robar información de las tarjetas bancarias del usuario. El troyano revisa si Google Play se está ejecutando y si el programa está abierto, además, muestra una ventana sobre la ventana de Google Play, pidiéndole que introduzca los datos de su tarjeta bancaria.

Este mismo troyano también puede robar dinero de las cuentas bancarias de sus víctimas. Justo después de ejecutarse, envía mensajes SMS a los números de dos de los principales bancos rusos. Esto le permite revisar si las tarjetas de estos bancos están asociadas con el número del teléfono infectado, averiguar el balance de la cuenta y enviar los datos al servidor de C&C malicioso. Si el teléfono está relacionado con una tarjeta bancaria, el servidor de C&C puede enviar órdenes para transferir dinero de la cuenta del usuario a su cuenta móvil o a la cuenta bancaria del cibercriminal.

Por ahora, Svpeng sólo ataca a los clientes de bancos rusos, pero es posible que los cibercriminales estén haciendo una primera prueba de sus ataques para después difundirlos por todo el mundo. Parece que el troyano tiene un interés particular por los siguientes países: Estados Unidos (Us), Alemania (De), Ucrania (Ua) y Bielorrusia (By).

Página siguiente »