EnHacke
>

Troyano bancario hijackrat afecta a los usuarios de android

android_malware_150Especialistas de FireEye señalaron que la versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con otras falsas. Los hackers también desarrollan aplicación de malware que se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda.

Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye.  Esta nueva amenaza -en forma de troyano bancario- ha sido denominada HijackRAT y viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.

El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. “Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo”, según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.

Aunque HijackRAT se disfraza como un “servicio de Google”, no tiene afiliación con la tienda oficial Google Play Store.

DETECCIÓN Y PRECAUCIÓN

Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre “Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.

Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación.

Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.

Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.

La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.

eBay pide a sus usuarios que cambien las contraseñas debido a un ataque cibernético

logo_ebayLa compañía de comercio electrónico eBay pidió este miércoles a sus usuarios que modifiquen sus contraseñas debido a un ataque cibernético que, según aclaró la firma, no afecta al servicio de pagos electrónicos PayPal.

“Más tarde, hoy, eBay pedirá a todos los usuarios de eBay que cambien sus contraseñas debido a un ataque cibernético que ha comprometido un banco de datos que contiene contraseñas cifradas y otra información financiera”, alertó la empresa en su portal.

Los bancos de datos fueron asaltados, según eBay, entre finales de febrero y comienzos de marzo y la información comprometida incluye los nombres, contraseñas cifradas, direcciones electrónicas, domicilios, números de teléfono y fechas de nacimiento de los clientes de eBay.

“Pero esos datos no contienen información financiara u otra información personal confidencial”, señaló el mensaje de eBay, que añadió “la compañía no ha visto indicios de un incremento de actividad fraudulenta” en su portal.

El mensaje sostuvo que una “extensa inspección forense no ha mostrado pruebas de acceso no autorizado o que comprometa la información personal o financiera de los clientes de PayPal”, el sistema de pagos que usan sus clientes para sus transacciones.

Los datos personales y financieros de los usuarios de PayPal están cifrados y archivados aparte, añadió eBay, que aseguró que “PayPal jamás comparte la información financiera con los comerciantes, incluido eBay”.

FBI detiene a 100 hackers maliciosos responsables malware Blackshades

fbi_150jpg

Policías de numerosos países de Europa, Asia, Australia y Norteamérica, coordinados por el FBI, han detenido a más de 100 hackers acusados de usar el software Blackshades con propósitos delictivos.

Blackshades .NET no es un malware en sí mismo. Ni siquiera es ilegal. De hecho se puede comprar por unos 40 dólares. Se trata de una Herramienta de Administración Remota o RAT, que se usa para monitorizar el uso de un ordenador, sin que nadie se de cuenta.

Sus creadores lo venden como un software para vigilar que nadie use tu PC cuando no estás, para controlar las webs que visitan los menores, o para vigilar a tu pareja cuando sospechas que tiene un amante…

Sin embargo, según las leyes americanas es ilegal instalarlo en un ordenador que no es el tuyo sin el permiso de su dueño. Y, por supuesto, usarlo con fines delictivos.

Al parecer, eso es lo que supuestamente han hecho los más de 100 hackers maliciosos de todo el mundo detenidos por el FBI.

Utilizado para delinquir, Blackshades se convierte en un malware muy peligroso capaz de robar cuentas de Facebook, ficheros del ordenador, los textos que tecleas con el teclado, o activar tu webcam y ver a través de ella.

Según explican en el periódico The Guardian, que a su vez cita a la revista Time, estas detenciones son una prolongación de otras que ocurrieron en 2012, cuando más de 20 hackers fueron apresados, entre ellos el creador del software, Michael Hogue.

Los investigadores aseguran que las detenciones actuales podrían estar relacionadas con los datos que se obtuvieron durante las redadas de hace dos años.

Viknok, el malware con el que los cibercriminales ganan dinero

Malware-money_150Unos investigadores han descubierto un troyano que permite a los cibercriminales ganar dinero a costa de los equipos que infectan. Para ello instalan programas que insertan publicidad en el equipo y provocan que el usuario haga click en los anuncios, lo que hace que los hackers ganen más dinero.

Unos investigadores de Symantec descubrieron en abril de 2013 el malware Trojan.Viknoky se asombraron ante la sofisticación de la amenaza, ya que tiene la habilidad de convertir a sus víctimas en bots. El pasado mes, los investigadores se dieron cuenta de que recientemente el número de ordenadores infectados se incrementó enormemente, lo que hizo saltar las alarmas. Este troyano permite, al atacante que lo utilice, ganar dinero a costa del equipo infectado modificando la navegación del usuario e instalando programas que insertan publicidad en el ordenador. Con esto, los cibercriminales pueden alterar la navegación del usuario forzando a que entren en páginas web de los propios hackers con el objetivo de que hagan clicken varios anuncios que dan dinero a los atacantes. Esta técnica es conocida como Click-Fraud y es una de las más utilizadas por los cibercriminales para ganar dinero junto con el ransomware.

viknok-infección-529x500

Afecta a Windows XP, 7 y 8, tanto 32 como 64 bits

Este peligroso malware afecta exclusivamente al sistema operativo de Microsoft en sus versiones XP, 7 y 8, tanto en 32 como en 64 bits. Lleva activo desde abril del año pasado, pero no ha sido hasta un año después cuando ha comenzado a infectar ordenadores significativamente, con un apogeo en las últimas semanas. Symantec ha señalado que es conveniente extremar las precauciones con los correos electrónicos que recibimos, ya que al parecer el troyano utiliza las direcciones de correo guardadas en el ordenador infectado para extenderse. Cuando llega a un ordenador, lo primero que hace es intentar obtener permisos de administrador del equipo utilizando la herramienta de gestión de usuarios del propio sistema operativo. Con esto, lo que busca que poder empezar a modificar las DLL necesarias para llevar a cabo su tarea. Si estas DLL no están en el ordenador, es capaz dedescargarlas desde los servidores propios del malware y, también, provocará que el malware esté siempre presente aunque reiniciemos el ordenador. Por suerte, la mayoría de antivirus, tanto gratuitos como de pago, son capaces de detectar la amenaza, pero eso sí, es totalmente recomendable extremar la precaución, además de actualizar la base de datos del antivirus.

¿Alguna vez has tenido problemas con este tipo de malware?

Los mercados negros cibernéticos presentan un crecimiento sin predecentes

cibercriminal_2Un estudio de RAND Corporation afirma que los mercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una sólida infraestructura y organización social, y que, al igual que cualquier otra economía, seguirá evolucionando y reaccionando a la ley de la oferta y la demanda.

Los mercados negros cibernéticos tienen una economía madura con características similares a las de una ciudad metropolitana próspera, con diversas comunidades, industrias e interacciones. Así lo sugiere un estudio encargado por Juniper Networks RAND Corporation, cuyas revelaciones demuestran que los mercados negros cibernéticos han alcanzado niveles de madurez y de crecimiento sin precedentes.

El informe titulado “Mercados de Herramientas del Cibercrimen y Robo de Datos: Bazar de Hackers Maliciosos”, examina por primera vez estos mercados en su totalidad, aplicando el análisis económico para comprender mejor cómo funcionan. RAND encontró niveles significativos de sofisticación económica, fiabilidad y accesibilidad a los productos en estos mercados, así como en los canales de distribución y los actores que intervienen en los mismos, confirmando la sospecha de Juniper Research de que losmercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una robusta infraestructura y organización social.

Torec.a, troyano para Android que usa TOR para robar tus datos

android_torCómo plataforma cada vez más popular, Android se ha posicionado en el ojo del huracán en cuanto a ciberataques. Nada del otro mundo, pero acaba de hacerse un nuevo descubrimiento del ingenio al que llegan los cibercriminales (no confundir con hackers) para crear un troyano que utiliza la red TOR para enviar datos.

Descubierto el pasado mes de febrero, el Backdoor.AndroidOS.Torec.a es el primer malware de este tipo para el sistema Android. Usando la red TOR permite al atacante actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.

torec-a

Torec.a está basado en Orbot, una plataforma de código abierto del cliente TOR para Android, y utiliza un dominio .onion como un C&C para enviar sus comandos.

Alguna de las capacidades de Torec.a son las siguientes:
• Iniciar/detener la interceptación entrante de SMS
• Robo de SMS salientes
• Realizar una petición USSD

 

Careto: un malware muy sofisticado y (probablemente) con origen español

careto

 

El malware cada vez es más y más sofisticado. Hemos visto ejemplos como Flame o Stuxnet salir a la luz después de llevar varios años en la sombra. Kaspersky Labs ha añadido hoy una pieza más a esa lista: The Mask o Careto.

Los investigadores se encontraron, prácticamente de casualidad, con un malware que se aprovechaba de una vulnerabilidad en productos Kaspersky para hacerse invisible en el sistema. El hecho de que no se conociese ningún otro malware que la estuviese usando despertó su curiosidad y se empezó a investigar de dónde venía ese exploit.

El equipo de investigación de Kaspersky se ha encontrado con un malware muy complejo, que explota varias vulnerabilidades 0-day, con versiones para varios sistemas operativos y que ha estado funcionando desde 2007 (como mínimo).

Careto se propagaba a través de mensajes de correo electrónico. Las URLs parecían familiares. Muchas de ellas simulaban ser enlaces a páginas de diarios españoles (un ejemplo:politica.elpais.linkconf . net), pero en realidad dirigían a servidores que lanzaban ataques contra el visitante según su navegador y sistema operativo. Los investigadores han encontrado exploits para Java, Flash, y plugins para Chrome y Firefox en cualquier SO (Windows, Mac o Linux).

Una vez que el exploit accedía al sistema, descargaba dos paquetes de software: Careto y SGH. Careto funciona con permisos de usuario, mientras que SGH, un rootkit, se ejecuta en el núcleo del sistema. Para no levantar sospechas, ambos estaban firmados con un certificado de una compañía falsa.

Ya instalados en el sistema, Careto y SGH obtenían datos sensibles del ordenador: claves de cifrado, configuraciones de VPN y escritorio remoto, claves SSH… También se comunicaban usando HTTPS con los servidores C&C (Command and Control), de los que recibían órdenes y a los que transmitían resultados. Además, revisando los registros de esos servidores, Kaspersky Labs ha encontrado pruebas de que Careto también podría tener versiones para Android e iOS.

¿Quién está detrás de Careto?

En estos casos la autoría no se puede determinar fácilmente. Sin embargo, teniendo en cuenta la sofisticación del malware y los objetivos (instituciones, embajadas, compañías energéticas y activistas principalmente), lo más probable es que Careto haya sido creado por un Estado y no por unos hackers independientes.

Pero hay más. Lo primero es que en los ejecutables hay varias cadenas en español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La lista de dominios de phishing usados en los correos electrónicos contiene principalmente diarios españoles. Además, la mayoría de las víctimas tienen IP de España, de países hispanohablantes, de Francia o de Marruecos. También es llamativa la presencia de Gibraltar. Bruce Schneier especula con que todo esto apunta a España como fuente del malware.

También podrían ser pistas falsas, por supuesto, en cuyo caso serían pistas falsas muy bien puestas.

En resumen, Careto es un malware muy inusual, y que según Kaspersky está por encima de Duqu, Gauss, RedOctober o Icefog en cuanto a sofisticación. Una muestra más de que la seguridad informática ya no es cosa de hackers encerrados en un sótano, sino de grupos enteros dedicados a la seguridad dirigidos por agencias estatales.

Target: Hackers maliciosos pudieron utilizar a un tercero para infiltrarse y sustraer datos de clientes

target_2_150Una empresa de sistemas de aire acondicionado que es proveedora de Target fue víctima de una “sofisticada operación de ciberataque’’ que pudo haber permitido a los hackers maliciosos infiltrarse en los sistemas informáticos de la segunda cadena minorista más grande de Estados Unidos y robar millones de números de tarjetas de crédito y débito.

Fazio Mechanical Services Inc., con sede en Sharpsburg, Pensilvania, emitió un comunicado ayer después de que blogueros expertos en seguridad informática la identificaran como el tercero a través del cual hackers maliciosos ingresaron a los sistemas de Target.

La cadena de tiendas ha dicho que al parecer los hackers maliciosos ingresaron en un principio a su extensa red informática a través de uno de sus proveedores. Una vez dentro, los hackers maliciosos se movieron por las redes de Target y al final instalaron software malicioso en el sistema de punto de venta de la empresa.

Los expertos creen que la serie de infiltraciones dio a los intrusos acceso a unos 40 millones de números de tarjetas de crédito y débito, además de información personal de otras 70 millones de personas.

Brian Leary, portavoz del Servicio Secreto de Estados Unidos, confirmó que los negocios de Fazio están siendo investigados, pero no dio más detalles.

Molly Snyder, vocera de Target, no quiso hacer declaraciones debido a que la investigación que está en marcha.

“Al igual que Target, fuimos víctimas de una sofisticada operación de ciberataque”, dijo en un comunicado Ross Fazio, presidente y dueño de la empresa. La compañía está cooperando con el Servicio Secreto y Target para identificar la posible causa de la falla informática, dijo.

Peligrosa campaña de phishing con falsas ofertas de trabajo

phishing_150Los hackers maliciosos suelen aprovecharse de la debilidades de los usuarios para lanzar sus ataques. En muchas ocasiones buscan como gancho hechos sociales de gran repercusión para mandar mensajes de correo electrónico con malware adjunto. En otras ocasiones hacen uso de la ingeniería social para lanzar sofisticados ataques de phishing y poder así obtener datos de los usuarios y crear así una gran base de datos personales que, posteriormente, será vendida en el mercado negro.

Una nueva campaña de phishing a través del correo electrónico se está llevando a cabo a través de internet. Esta nueva campaña llega a los usuarios a través de una falsa oferta de trabajo solicitando a este que envíe su curriculum con datos personales que, posteriormente, podrán ser vendidos a los hackers maliciosos que están llevando a cabo esta campaña.

Como ya hemos dicho más veces, los datos personales son muy valiosos en la red ya que permiten, por ejemplo, a campañas publicitarias, orientar mejor sus anuncios o bombardear con publicidad engañosa adaptada a cada grupo de usuarios. Los datos que contiene un curriculum son prácticamente todos los personales, desde el nombre, dirección, residencia hasta los estudios y, con ello, los gustos e intereses de las víctimas.

Los mensajes de phishing tienen una apariencia similar a la siguiente:

phishing_spam_busqueda_empleo_foto

Esta campaña va dirigida hacia cualquier español con una dirección web. Debido a la situación actual en España, los piratas informáticos se están aprovechando de la búsqueda y necesidad de empleo para conseguir recopilar una gran base de datos personales de usuarios que, posteriormente, probablemente venderán en el mercado negro o a otras empresas.

Según recomienda Inteco, los usuarios afectados por esta campaña que hayan enviado el curriculum a través de internet deberían realizar algún control sobre la información que se publica en internet. Buscar en Google o utilizar servicios como Google Alerts ayudarán a los usuarios a tener un mayor control sobre su información personal que se publica en internet. En caso de encontrar información personal publicada se deberá poner en contacto con la Agencia Española de Protección de Datos o con los Cuerpos y Fuerzas de Seguridad del Estado.

Se han recibido más de 6.000 mensajes de phishing diferentes sobre este tema con más de 6000 asuntos y contenidos diferentes, por lo que es bastante difícil concretar el origen de este peligroso ataque. Los usuarios deben evitar abrir mensajes de correo de remitentes desconocidos. También debemos evitar descargar archivos que nos llegan desde estos correos ya que pueden contener malware que afecten a nuestro sistema y nos roben datos de él o, como ya ha ocurrido en ocasiones anteriores, que cifre los datos de nuestros discos y nos pida dinero por recuperarlos.

¿Has recibido algún correo electrónico similar?

Corea: 105,8 millones de números de tarjetas de créditos robadas

tarjeta-bank-150PandaLabs ha informado de un nuevo caso de hackeo masivo de datos delicados. En este caso la gran víctima ha sido Korea Credit Bureau (KCB), una compañía financiera coreana, que ha sufrido un ataque de un pirata informático que ha robado 105,8 millones de cuentas de usuarios que incluyen los detalles de tarjetas de crédito, nombre y apellidos, teléfonos, direcciones e incluso números de pasaporte. 

Según informa la empresa de seguridad, en Corea del Sur cada ciudadano tiene una media de al menos cinco tarjetas de créditos, la cantidad más alta del mundo. Los datos de KCB apuntan que con este ataque al menos 21 millones de usuarios coreanos han sido víctima del robo de datos.

Corea del Sur tiene una población estimada de 50.219.669 de ciudadanos. Es decir, este ataque lo han sufrido al menos un 41.8% de todos los coreanos.

PandaLabs asegura que este caso difiere mucho de los últimos episodios de hackeos masivos. Hablan de Target, tienda por departamentos estadounidense y del robo de cuentas en Alemania. Target sufrió por culpa de un malware, mientras que Alemania fue víctima de una red zombi de ordenadores (botnet).

En el caso de KBC ha sido un empleado que se ha aprovechado de su posición. El ladrón, explica PandaLabs, trabajaba para el departamento antifraude de la empresa y se dedicó durante meses a copiar toda la información de los usuarios del banco y luego la vendió.

The New York Times (NYT) explica que el caso se destapó en Corea del Sur a mitad de enero cuando fue arrestado Park, el empleado de 39 años que Korea Credit Bureau había contratado para mejorar su sistema de seguridad.

NYT reseña que Park copiaba toda la información en un dispositivo mediante USB. Los investigadores coreanos han afirmado que dos empresa de marketing telefónica habían sido acusadas de comprar esta información. Varios millones de coreanos, furiosos, decidieron cancelar sus tarejtas de créditos.

La empresa de seguridad plantea que aunque se trataba de un empleado, el robo se podía haber evitado o detectado con un mejor sistema de cifrado. «Ser capaz de robar información durante meses también indica una falta de supervisión y de control al acceso de datos», explica Luis Corrons, director técnico de PandaLabs.

«Limitando la cantidad de información a la que se puede acceder cada vez, podría mitigar el daño producido en este tipo de robo de datos: si solo se puede acceder a un número limitado de entradas de la base de datos cada vez –digamos 10 registros- esta persona habría necesitado repetir la misma operación más de 10 millones de veces. No solo eso, también se puede limitar la cantidad de información a la que se accede en un periodo de tiempo dado, o incluso mejor, tener una serie de alarmas ligadas a reglas complejas que envíen un aviso cuando tiene lugar algún hecho inusual», aconseja.

Este tipo de sistema ya se está implantando en las entidades financieras y les permite detectar casos de fraude y de robo de identidad.

Página siguiente »