EnHacke
>

Adthief: Un nuevo Malware que Afecta a Dispositivos iOS con Jailbreak

iOS-7-jailbreak_150Recientemente y gracias a un informe publicado por Axelle Apvrille, un conocido investigador de seguridad, se ha podido saber de la existencia de AdThief, un malware que afecta al Jailbreak del iPad y iPhone realizado en iOS 7.x.x, que modifica la ID de los editores de aplicaciones para que cuando un usuario haga clic en un anuncio In-App, los ingresos vayan a parar a la ID del autor del malware en lugar de al propietario de la aplicación.

AdThief fue descubierto el pasado mes de marzo de este año y se trata de un malware que viene disfrazado como una extensión de Cydia Substrate, que como hemos dicho anteriormente sustituye la ID del editor por la del creador de malware, por lo que todos los ingresos por publicidad van a parar al creador de la falsa extensión de Cydia Substrate, también conocida como Spat.

Para aquellos que no lo sepan, un ID de editor se utiliza para identificar la cuenta de un editor en una plataforma de anuncios, los cuales ayudan a identificar los ingresos generados por el editor. Adthief, al ser capaz de cambiar la ID de editor por la del autor del malware, ha conseguido “secuestrar” los ingresos de unos 22 millones de anuncios, una auténtica barbaridad. Así pues, al hacer clic en un anuncio, un usuario con Jailbreak infectado por Adthief generaría ingresos por publicidad al atacante en lugar de al desarrollador de la aplicación o sitio web.

adthief-malware-jailbreak-ios-2

Adthief cambia la ID de los editores por el autor del malware para “robarles” los beneficios por publicidad

El malware ha sido diseñado para atacar kits de anuncios de 15 redes publicitarias diferentes, entre las que destacan Google AdMob y Google Mobile Ads, los cuales representan una gran parte de la publicidad móvil en EE.UU y en gran parte del mundo.

Gracias a la información de depuración que se dejó el creador en el código de malware, Axelle Apvrille ha podido descubrir el supuesto artífice de este timo a gran escala y lo ha identificado como Rover12421, un hacker chino especializado en plataformas móviles. Haciéndose pasar por “Zerofile” en algunos foros asiáticos, Rover12421 admitió que estuvo trabajando en un “swapper ID” de AdMob, pero niega rotundamente haber participado en la elaboración de Adthief.

Por el momento, no sabemos cómo la extensión infectada de Cydia Substrate llega a instalarse en los dispositivos con Jailbreak iOS 7.x.x, sin embargo se especula en que pueda provenir de paquetes de terceros en Cydia, por lo que probablemente provenga de un repositorio no predeterminado. Es por eso, que de acuerdo con lo que nos dicen los chicos de IbiTimes, les pedimos que vayan con mucho cuidado a partir de ahora al instalar paquetes de Cydia al igual que agregar repositorios desconocidos.

adthief-malware-jailbreak-ios-3

Les seguiremos informando de cualquier novedad al respecto y esperemos que pronto puedan detectar y eliminar Adthief de nuestros dispositivos con Jailbreak en iOS 7.x.x.

¿De dónde parten las amenazas a la seguridad empresarial?

cibercrimen_150El software obsoleto, los códigos erróneos, los activos digitales abandonados o los errores de los usuarios contribuyen a aumentar el número de amenazas dinámicas y ataques a la ciberseguridad.

Así se desprende del informe Cisco 2014 MidyearSecurity Report, que analiza cómo estas ‘debilidades’ son aprovechadas por los hackers para explotar vulnerabilidades mediante diversos métodos, como peticiones DNS, exploit kits, ataques de amplificación, sistemas TPV comprometidos, publicidad maliciosa, chantajes, infiltraciones de protocolos de encriptación, ingeniería social o spam relacionado con eventos o situaciones ‘cruciales’.

Otro error que cometen las grandes organizaciones es centrarse en amenazas más peligrosas o de alto nivel en vez de en otras más comunes. Una actitud que, de acuerdo con el estudio, supone un riesgo añadido para su seguridad. Por ejemplo, al apoyarse en ataques contra infraestructuras y aplicaciones heredadas de bajo nivel con debilidades conocidas, los delincuentes pueden burlar los sistemas de defensa que los equipos de seguridad destinan principalmente a hacer frente a las amenazas más populares como el gusano Heartbleed.

Tras analizar 16 grandes multinacionales, el estudio resume en tres las conclusiones que relacionan a dichas empresas con el tráfico malicioso.

En primer lugar, los ataques “Man-in-the-Browser” (MiTB) constituyen un riesgo para las empresas. Casi el 94% de las redes corporativas analizadas en 2014 contiene tráfico que dirige hacia sitios web que albergan malware. Por ejemplo, se han detectado actividades relacionadas con peticiones DNS que redirigían a la distribución de familias de malware como Palevo, SpyEye y Zeus que incorporan funcionalidad Man-in-the-Browser (interceptación de comunicaciones en el navegador web).

En segundo lugar, se subraya el peligro de los botnets ocultos. Casi el 70% de las redes generaban peticiones DNS para Dominios DNS Dinámicos (DDNS). Esto significa que hay redes utilizadas incorrectamente o comprometidas con botnets que se apoyan en los DDNS para alterar su dirección IP y evitar la posible detección.

Finalmente, el estudio revela la encriptación de datos robados. Casi el 44% de las redes corporativas analizadas en 2014 generaban peticiones DNS para sitios y dominios web con dispositivos que proporcionan servicios de canal encriptado, algo empleado por los cibercriminales para ocultar su rastro y evitar la detección al extraer datos utilizando canales encriptados, como VPN, SSH, SFTP, FTP y FTPS.

Troyano bancario hijackrat afecta a los usuarios de android

android_malware_150Especialistas de FireEye señalaron que la versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con otras falsas. Los hackers también desarrollan aplicación de malware que se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda.

Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye.  Esta nueva amenaza -en forma de troyano bancario- ha sido denominada HijackRAT y viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.

El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. “Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo”, según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.

Aunque HijackRAT se disfraza como un “servicio de Google”, no tiene afiliación con la tienda oficial Google Play Store.

DETECCIÓN Y PRECAUCIÓN

Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre “Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.

Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación.

Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.

Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.

La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.

Ayudan a FBI a capturar al creador del troyano SpyEye

panin_skyeye_malware-150El líder mundial de seguridad de datos Trend Micro colaboró con el FBI en la identificación y posterior aprehensión del hacker ruso Aleksandr Andreevich Panin, quien se declaró culpable del desarrollo y distribución del software malicioso conocido como SpyEye.

De acuerdo con estimaciones de la industria informática, el malware SpyEye ha infectado a más de 1.4 millones de computadoras en el mundo.

Gracias al equipo de investigación de Trend Micro, el FBI (Oficina Federal de Investigación), de EU, logró identificar al hacker también conocido como “Gribodemon” o “Harderman”, quien además se considera culpable de la conspiración para cometer falsificación y fraude bancario.

Presuntamente, el cibercriminal operó al menos un servidor de comando y control (C&C) para SpyEye, código informático sofisticado que está diseñado para automatizar el robo de información personal y financiera confidencial, como las credenciales de banca en línea, información de tarjetas de crédito, nombres de usuario, contraseñas, números PIN y otros tipos de información de identificación personal.

El director de Innovación de Tren Micro México Juan Pablo Castro señaló que “el malware SpyEyefacilitó este robo de información mediante la infección en secreto de las computadoras de las víctimas en la que los ciberdelincuentes controlaron de forma remota los equipos infectados a través de los servidores C&C”.

“Una vez –continúa-  que el ordenador era infectado y estaba bajo el control  de los “ciberdelincuentes”, lograban acceder de forma remota a los equipos infectados, sin autorización, para robar la información personal y financiera de las víctimas, a través de una variedad de técnicas, incluyendo monitoreo de teclado y de tarjetas de crédito. Los datos personales y financieros de las víctimas  eran transmitidos de forma discreta a los servidores de C&C, el cual se utilizaba para robar dinero de las víctimas de sus cuentas financieras”.

 El equipo de investigación de Trend Micro inició la investigación desde hace cuatro años. Durante el periodo de intervención, su equipo estudió la infraestructura utilizada para apoyar al malware, donde se identificaron los puntos débiles en la misma y se siguió un importante número de pistas que condujeron a las identidades de los  individuos detrás de este peligroso troyano bancario.

Cuando Trend Micro obtuvo la suficiente información involucró a las fuerzas de seguridad, en este caso al FBI, que concluyó con  éxito la operación.

Dentro de la investigación se destaca que las contraseñas más utilizadas por las víctimas fueron  “love me”, “kiss me” (“ámame”, “bésame” en inglés), lo que facilitó aún más el robo financiero.

Target: Hackers maliciosos pudieron utilizar a un tercero para infiltrarse y sustraer datos de clientes

target_2_150Una empresa de sistemas de aire acondicionado que es proveedora de Target fue víctima de una “sofisticada operación de ciberataque’’ que pudo haber permitido a los hackers maliciosos infiltrarse en los sistemas informáticos de la segunda cadena minorista más grande de Estados Unidos y robar millones de números de tarjetas de crédito y débito.

Fazio Mechanical Services Inc., con sede en Sharpsburg, Pensilvania, emitió un comunicado ayer después de que blogueros expertos en seguridad informática la identificaran como el tercero a través del cual hackers maliciosos ingresaron a los sistemas de Target.

La cadena de tiendas ha dicho que al parecer los hackers maliciosos ingresaron en un principio a su extensa red informática a través de uno de sus proveedores. Una vez dentro, los hackers maliciosos se movieron por las redes de Target y al final instalaron software malicioso en el sistema de punto de venta de la empresa.

Los expertos creen que la serie de infiltraciones dio a los intrusos acceso a unos 40 millones de números de tarjetas de crédito y débito, además de información personal de otras 70 millones de personas.

Brian Leary, portavoz del Servicio Secreto de Estados Unidos, confirmó que los negocios de Fazio están siendo investigados, pero no dio más detalles.

Molly Snyder, vocera de Target, no quiso hacer declaraciones debido a que la investigación que está en marcha.

“Al igual que Target, fuimos víctimas de una sofisticada operación de ciberataque”, dijo en un comunicado Ross Fazio, presidente y dueño de la empresa. La compañía está cooperando con el Servicio Secreto y Target para identificar la posible causa de la falla informática, dijo.

Peligrosa campaña de phishing con falsas ofertas de trabajo

phishing_150Los hackers maliciosos suelen aprovecharse de la debilidades de los usuarios para lanzar sus ataques. En muchas ocasiones buscan como gancho hechos sociales de gran repercusión para mandar mensajes de correo electrónico con malware adjunto. En otras ocasiones hacen uso de la ingeniería social para lanzar sofisticados ataques de phishing y poder así obtener datos de los usuarios y crear así una gran base de datos personales que, posteriormente, será vendida en el mercado negro.

Una nueva campaña de phishing a través del correo electrónico se está llevando a cabo a través de internet. Esta nueva campaña llega a los usuarios a través de una falsa oferta de trabajo solicitando a este que envíe su curriculum con datos personales que, posteriormente, podrán ser vendidos a los hackers maliciosos que están llevando a cabo esta campaña.

Como ya hemos dicho más veces, los datos personales son muy valiosos en la red ya que permiten, por ejemplo, a campañas publicitarias, orientar mejor sus anuncios o bombardear con publicidad engañosa adaptada a cada grupo de usuarios. Los datos que contiene un curriculum son prácticamente todos los personales, desde el nombre, dirección, residencia hasta los estudios y, con ello, los gustos e intereses de las víctimas.

Los mensajes de phishing tienen una apariencia similar a la siguiente:

phishing_spam_busqueda_empleo_foto

Esta campaña va dirigida hacia cualquier español con una dirección web. Debido a la situación actual en España, los piratas informáticos se están aprovechando de la búsqueda y necesidad de empleo para conseguir recopilar una gran base de datos personales de usuarios que, posteriormente, probablemente venderán en el mercado negro o a otras empresas.

Según recomienda Inteco, los usuarios afectados por esta campaña que hayan enviado el curriculum a través de internet deberían realizar algún control sobre la información que se publica en internet. Buscar en Google o utilizar servicios como Google Alerts ayudarán a los usuarios a tener un mayor control sobre su información personal que se publica en internet. En caso de encontrar información personal publicada se deberá poner en contacto con la Agencia Española de Protección de Datos o con los Cuerpos y Fuerzas de Seguridad del Estado.

Se han recibido más de 6.000 mensajes de phishing diferentes sobre este tema con más de 6000 asuntos y contenidos diferentes, por lo que es bastante difícil concretar el origen de este peligroso ataque. Los usuarios deben evitar abrir mensajes de correo de remitentes desconocidos. También debemos evitar descargar archivos que nos llegan desde estos correos ya que pueden contener malware que afecten a nuestro sistema y nos roben datos de él o, como ya ha ocurrido en ocasiones anteriores, que cifre los datos de nuestros discos y nos pida dinero por recuperarlos.

¿Has recibido algún correo electrónico similar?

Desarrollan un malware que capta todo lo que hace tu smartphone

malware-movil_150Durante la RSA Conference sepresentará un malware capaz de recoger todo lo que ocurra en un smartphone o tableta, basada en Android o iOS.

Neal Hindocha es un consultor de seguridad de la compañía Trustwave que ha decidido dedicar todos sus conocimientos para crear una prueba de concepto de un malware screenlogging –que registran todos las interacciones que se producen en una pantalla, y que junto con la toma de unas cuentas capturas de pantalla permite a su creador saber todo lo que esté ocurriendo en un Smartphone o tablet, incluso si hablamos de un iPhone o iPad.

El trabajo se mostrará en la conferencia de seguridad RSA que se celebrará dentro de unas semanas en San Francisco.

Lo que nos salva al común de los mortales de que el malware sea útil, por el momento es que analizar la información recogida sería tan laborioso que deja de tener sentido para un hacker, por lo que su uso no es apropiado… a gran escala. La cosa cambia cuando se trata de usos específicos, como la captura de credenciales en el uso de la banca online de una persona específica, o la captura de detalles de acceso a una VPN para el robo corporativo.

La idea se le ocurrió al experto de Trustware investigando la evolución del malware financiero en la plataforma Windows. Así se lo ha contado Neal Hindocha a Forbes.

Los mercados financieros empiezan a combatir a los troyanos keylogging, que recogen todas las pulsaciones en un PC de formas diferentes y eso es lo que habría llevado al investigador a considerar nuevas estrategias de captura de información. Asumiendo el incremento del uso de la banca móvil, el experto en seguridad decidió investigar nuevos métodos aplicados a dispositivos móviles.

Hindocha asegura que su prueba de concepto no sólo funciona en Android, sino en iOS, aunque queda limitado en aquellos dispositivos que hayan sido modificados con un jailbreak.

Ataque a Yahoo Mail!, cambia tu contraseña

yahoo-hack-150La compañía anunció hoy que “han identificado un esfuerzo coordinado para obtener acceso no autorizado a las cuentas de correo de Yahoo”, los nombres de usuario y contraseñas de sus clientes de correo electrónico han sido robadas y se están utilizando para acceder a múltiples cuentas.

Yahoo no dijo cuantas cuentas han sido afectadas y tampoco están seguros sobre el origen de las credenciales de los usuarios filtrados. La información parece provenir de una base de datos de terceros que fue comprometida y no de una infiltración de los servidores propios de Yahoo.

“No tenemos ninguna evidencia de que se obtuvieron directamente en los sistemas de Yahoo. Nuestra investigación muestra que programas informáticos malintencionados utilizan una lista de nombres de usuario y contraseñas válidos para obtener acceso a cuentas de correo de Yahoo.”

Por ahora, Yahoo está tomando acciones proactivas para proteger a sus usuarios afectados, “nosotros estamos reajustando las contraseñas de las cuentas afectadas y estamos utilizando la autenticación de dos factores para permitir a los usuarios volver a asegurar sus cuentas. A los usuarios ya afectados se le pedirá para cambiar su contraseña y pueden recibir una notificación por correo electrónico o un texto de SMS si han añadido un número de móvil a su cuenta”.

Esta es la segunda vez que pasa con Yahoo! que ya fue atacadi en julio de 2012 y los atacantes robaron 450.000 direcciones de correo electrónico y contraseñas de una red de colaboradores de la empresa.

Un hacker roba los datos bancarios del 40% de toda Corea del Sur

cibercriminales_150Los datos bancarios de 20 millones de cuentas han sido robadas en Corea del Sur.

Un solo hacker está tras el robo de datos que ha comprometido a casi la mitad de la población de Corea del Sur. El órgano regulador del sector financiero del país asiático ha confirmado que el robo ha afectado a 20 millones de cuentas.

Las tres entidades bancarias afectadas cubrirán las pérdidas que haya podido originar el incidente. Sus máximos responsables ya se han disculpado públicamente.

Los reguladores han insistido en las medidas de seguridad de las compañías financieras para evitar, probablemente, la histeria colectiva.

Como recuerda Mashable, no es la primera vez que Corea del Sur se convierte en protagonista de noticias relacionadas con ciberataques. El mes pasado un empleado de un gran grupo financiero fue arrestado acusado de robar datos de 34.000 clientes.

Un hacker adolescente, responsable del robo masivo en Target

target_teen2-_50Algo falla de forma estrepitosa cuando las empresas y los bancos gastan miles de millones de euros en seguridad, pero un adolescente de 17 años, desde su casa y con software que puede conseguir por su cuenta, crea un malware capaz de robar 70 millones de tarjetas de crédito.

La noticia saltó hace unas semanas: la famosa cadena de comercios Target, con casi 2000 establecimientos y 360.000 trabajadores, sufrió un ataque hacker en sus terminales de puntos de venta, que robó los datos completos de las tarjetas bancarias de 70 millones de clientes.

Fuentes de la investigación han desvelado que el robo se ha producido por medio de un malware llamado BlackPOS, que actúa directamente sobre los terminales de punto de venta en donde los clientes introducen su tarjeta cuando pasan por caja.

Estos terminales son ordenadores sencillos que cifran los datos bancarios que tramitan, antes de enviarlos al ordenador central de Target.

Pero al parecer, hay un momento, justo antes del cifrado, en el que los datos se guardan en la memoria RAM del terminal, sin cifrar. Aquí es donde actúan el malware BlackPOS, extrayéndolos antes de que se cifren.

Con este sistema han conseguido robar 70 millones de tarjetas, que se han estado vendiendo en el mercado negro a un precio de entre 20 y 100 dólares cada una.

Lo más sorprendente de todo es que el creador del malware BlackPOS es, supuestamente, un hacker adolescente ruso de 17 años. El joven no es el responsable del robo, pero su software fue utilizado por la banda que lo llevó a cabo. Las investigaciones se centran en saber si vendió el malware a los ladrones.

Más preocupante aún es que se ha desvelado que podría haber otras seis cadenas de comercios infectadas por el malware BlackPOS, aunque sus nombres no han trascendido.

Un duro revés para la confianza en el comercio electrónico. No obstante, lo más probable es que todas las operaciones ilegales que se lleven a cabo con las tarjetas robadas serán cubiertas por los seguros, los bancos y los propios comercios.

Página siguiente »