EnHacke
>

Vulnerabilidad en Drupal deja a millones de sitios web en peligro

Vulnerabilidad en Drupal deja a millones de sitios web en peligroResponsables del gestor de contenidos, Drupal, han advertido a sus usuarios que sus sitios web están en peligro si no actualizaron en su momento a la última versión publicada el 15 de octubre.

Ataques automáticos que comprometen webs realizadas con Drupal 7 que no fueron actualizadas a la versión 7.32 comenzaron a las pocas horas de publicarse el parche. Si no se actualizó la web antes del 15 de octubre a las 23h UTC, es decir a las 7 horas de la publicación del parche, se debe proceder como si todas las webs estuvieran comprometidas, explican desde el CMS. 

Drupal es un paquete de software de código abierto que proporciona un sistema de gestión de contenido (CMS) para sitios web. Es el tercero del mercado por popularidad detrás de WordPress y Joomla y se creen que esta vulnerabilidad crítica de inyección de código SQL ha dejado comprometidos 12 millones de sitios web. 

Curiosamente la última actualización Drupal 7.32 corregía este tipo de vulnerabilidades. El problema reside en quede nada sirve actualizar ya estos sitios comprometidos, algo que ha ocurrido mediante “ataques automatizados” a las 7 horas de publicarse el parche, explican.

No es sencillo parchear tan rápidamente las máquinas, dicen desde la firma Sophos. Muchos usuarios no recibieron el aviso a tiempo simplemente porque estuvieran durmiendo por la diferencia horaria. La solución sería que Drupal implemente un sistema de actualización automática para la instalación de los parches de seguridad, algo que ya tienen otros gstores como WordPress.

 

¡Cuidado con los contactos ‘falsos’ de Facebook! Te utilizan para propagar ‘spam’

MALWARE-FACEBOOK

Según los expertos de Kaspersky Lab, los propagadores de bombardeos publicitarios utilizan cuentas falsas para hacerse con los datos de los usuarios.

¿Quién no ha recibido una invitación de amistad enFacebook de alguien que no conoce? Lo más recomendable es no hacerle caso, pero si se decide aceptar al contacto, hay que asegurarse antes de que no se trata de una cuenta falsa. Muchos de estos usuarios lo único que pretenden es utilizar al nuevo ‘amigo’ para hacer más visible su ‘bombardeo’ de publicidad.

Según informan los expertos de la compañía de sistemas de seguridad informática Kaspersky Lab, los ‘spammers’ utilizan varias técnicas en las redes sociales para intentar hacerse con los datos de los usuarios.

Entre ellas, han detectado la creación de cuentas falsas, como la de Addison, una atractiva joven de un pueblo de Bavaria que empezó a enviar solicitudes de amistad a muchas personas en esa región. Al ver su atractiva foto de perfil, muchos aceptaron su petición.

Al cabo de un tiempo, Addison y otros perfiles similares comenzaron a publicar “fotos de una tienda virtual de gafas de una marca muy popular, que con seguridad eran falsificaciones”, han señalado desde Kaspersky Lab.

“Además, para aumentar el nivel de propagación de sus imágenes publicitarias, los ‘spammers’ etiquetaron a sus nuevos ‘amigos’ de Facebook”, ha explicado el experto Stefan Ortoloff.

Pero los afectados no son solamente aquellos que caen en la trampa de estas cuentas, los ‘spammers’ son capaces de robar los datos de los amigos de estos y ‘atacarles’ también con publicidad.

Para evitar estas situaciones, el consejo de los especialistas en el tema es que se ajuste de forma adecuada la configuración de Facebook, para ofrecer la mayor protección a los datos.

‘Hackers Maliciosos’ usan el miedo ante el ébola como cebo para infectar con ‘malware’

eacacd9419f23745bdcab2a9b0e398cb_article

Investigadores de seguridad han identificado una nueva campaña maliciosa de propagación de noticias falsas sobre el ébola con el fin de redirigir a los usuarios de Internet a sitios web de ‘phishing’ y contaminar sus ordenadores con ‘malware’.

Las noticias sobre la epidemia del virus del Ébola en África occidental circulan por los medios de comunicación a nivel mundial, y los cibercriminales están usando una vez más los últimos titulares como cebo para sus víctimas. Symantec ha registrado varias operaciones de ‘malware’ y campañas de ‘phishing’ que usan el nombre del virus para infectar las computadoras de los usuarios.

La primera campaña de ‘phishing’ (acceso ilegal a las contraseñas y a información personal) consiste en enviar un simple correo electrónico con un falso informe sobre el ébola adjunto. Una vez que el usuario hace clic en el informe, se infecta con malware Trojan.Zbot.

En la segunda campaña de ‘phishing’, los cibercriminales envían correos electrónicos haciéndose pasar por compañías de telecomunicaciones de renombre mundial o por proveedores de Internet que ofrecen a los usuarios una presentación para conocer los detalles sobre la propagación del virus del Ébola. El correo electrónico viene con un archivo zip llamado ‘EBOLA –  ETISALAT PRESENTATION.pdf.zip’, que instala en el ordenador el ‘malware’ peligroso Trojan.Blueso.

a4aaab2bf63cc6de579cc69b799b00f4_article430bw

Un punto importante es que este ‘malware’ también infecta el navegador del usuario con W32.Spyrat, que puede realizar las acciones siguientes.

1. Grabar las pulsaciones de teclas (todo lo que el usuario escribe con el teclado).
2. Grabar las imágenes de las webcams de los usuarios.
3. Abrir y cerrar páginas web sin el permiso del usuario.
4. Captar imágenes de la sesión en curso.
5. Subir y descargar archivos.
6. Crear nuevas carpetas y archivos.
7. Eliminar las carpetas y los archivos existentes.
8. Tomar información sobre los sistemas operativos y las aplicaciones de la computadora y desinstalarse.

La tercera parte de esta campaña utiliza el nombre Zmapp, el medicamento contra el ébola en etapa experimental, para infectar los computadores con el ‘malware’ Backdoor.Breut. Los ciberdelincuentes envían un correo electrónico que afirma que se ha encontrado el medicamento para curar el ébola y la noticia debe ser compartida con el máximo número de personas posible. El adjunto de correo electrónico contiene el ‘malware’ Backdoor.Breut.

b90e82bfa7e5c17fdad5e4692c219f49_article630bw

Además, los piratas informáticos están llevando a cabo una campaña de ‘phishing’ usando el nombre de CNN. El mensaje electrónico promete revelar una “historia no contada” sobre el ébola. El correo electrónico también promete una guía de prevención ante la infección y una lista de las regiones infectadas.

0de4a14da2cf21cd1ea577d366f93eed_article630bw

Una vez que los usuarios hacen clic en los enlaces mencionados en el correo electrónico se redirigen a otra página, que les pide seleccionar su servicio de correo electrónico e introducir los datos de acceso. Los datos son enviados directamente a los cibercriminales y los usuarios se redirigen de nuevo a la página web de CNN.

Las víctimas de Cryptolocker recuperarán sus archivos gratis

decrypt-715x323Las víctimas del malware Cryptolocker podrán recuperar sus archivos gratuitamente gracias al uso de un portal creado por diferentes compañías de seguridad. El malware infectaba los sistemas cifrando sus archivos y los hackers maliciosos pedían el pago de un rescate para su liberación.

Cryptolocker comenzaba mostrando un mensaje en el que se daba un plazo de 72 horas para pagar una cantidad cercana a 400 euros y poder descifrar los archivos o estos serían destruidos para siempre. En ocasiones, ni siquiera el pago de dicho rescate garantizaba la obtención de una clave para recuperar los archivos afectados, lo que provocaba la desesperación en usuarios que no poseían copias de seguridad de la información que se había visto comprometida. Ahora, con la creación del portal decryptcryptolocker, los afectados podrán recuperar sus archivos de forma gratuita. Esto ha sido posible ya que sus creadores han podido hacerse con una base de datos de víctimas del malware, que alcanza los 500.000 usuarios afectados desde su aparición en septiembre de 2013. Según uno de los miembros de Fox-IT, una de las compañías involucradas en el desarrollo del portal, han tenido suerte de haberlo logrado.

En el servicio web de decryptolocker se solicitará que se introduzca una dirección de correo electrónico y se pedirá subir al servidor uno de los archivos cifrados por Cryptolocker. Desde la web se mandará un e-mail con el código de liberación del archivo, junto con un link para descargar el cliente del programa que se usará posteriormente para recuperar el resto de archivos cifrados en el sistema. Gracias al estudio del cifrado en el archivo subido, se puede ser capaz de determinar que clave es la que ha de utilizarse para liberar el resto de información por nosotros mismos. Desde FireEye, otra de las empresas que han participado en el proyecto, aconsejan al más de medio millón de víctimas que podrán hacer uso de este servicio, que suban un archivo que no contenga información sensible, ya que lo único que necesitan es determinar que clave hay que utilizar para anular el cifrado.

Un botín de 3 millones de dólares

cryptolocker-371x300

El pasado mayo, la policía estrechó el círculo sobre los miembros de la banda de criminales que estaba detrás del virus y que utilizaba una red de equipos infectados para propagar tanto Cryptolocker como el malware Gameover Zeus, un troyano utilizado en delitos de robos a través de la banca online. Y gracias a que tanto la policía como las compañías de seguridad informática controlaban una parte de la red, se pudo acceder a la base de datos de víctimas que los delincuentes trataban de ocultar. Aunque según los datos que se conocen, solo un 1,3% de los afectados han aceptado pagar el rescate, la cuantía del botín recaudado podría alcanzar los 3 millones de dólares.

 

Troyano bancario hijackrat afecta a los usuarios de android

android_malware_150Especialistas de FireEye señalaron que la versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con otras falsas. Los hackers también desarrollan aplicación de malware que se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda.

Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye.  Esta nueva amenaza -en forma de troyano bancario- ha sido denominada HijackRAT y viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.

El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. “Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo”, según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.

Aunque HijackRAT se disfraza como un “servicio de Google”, no tiene afiliación con la tienda oficial Google Play Store.

DETECCIÓN Y PRECAUCIÓN

Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre “Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.

Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación.

Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.

Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.

La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.

eBay pide a sus usuarios que cambien las contraseñas debido a un ataque cibernético

logo_ebayLa compañía de comercio electrónico eBay pidió este miércoles a sus usuarios que modifiquen sus contraseñas debido a un ataque cibernético que, según aclaró la firma, no afecta al servicio de pagos electrónicos PayPal.

“Más tarde, hoy, eBay pedirá a todos los usuarios de eBay que cambien sus contraseñas debido a un ataque cibernético que ha comprometido un banco de datos que contiene contraseñas cifradas y otra información financiera”, alertó la empresa en su portal.

Los bancos de datos fueron asaltados, según eBay, entre finales de febrero y comienzos de marzo y la información comprometida incluye los nombres, contraseñas cifradas, direcciones electrónicas, domicilios, números de teléfono y fechas de nacimiento de los clientes de eBay.

“Pero esos datos no contienen información financiara u otra información personal confidencial”, señaló el mensaje de eBay, que añadió “la compañía no ha visto indicios de un incremento de actividad fraudulenta” en su portal.

El mensaje sostuvo que una “extensa inspección forense no ha mostrado pruebas de acceso no autorizado o que comprometa la información personal o financiera de los clientes de PayPal”, el sistema de pagos que usan sus clientes para sus transacciones.

Los datos personales y financieros de los usuarios de PayPal están cifrados y archivados aparte, añadió eBay, que aseguró que “PayPal jamás comparte la información financiera con los comerciantes, incluido eBay”.

FBI detiene a 100 hackers maliciosos responsables malware Blackshades

fbi_150jpg

Policías de numerosos países de Europa, Asia, Australia y Norteamérica, coordinados por el FBI, han detenido a más de 100 hackers acusados de usar el software Blackshades con propósitos delictivos.

Blackshades .NET no es un malware en sí mismo. Ni siquiera es ilegal. De hecho se puede comprar por unos 40 dólares. Se trata de una Herramienta de Administración Remota o RAT, que se usa para monitorizar el uso de un ordenador, sin que nadie se de cuenta.

Sus creadores lo venden como un software para vigilar que nadie use tu PC cuando no estás, para controlar las webs que visitan los menores, o para vigilar a tu pareja cuando sospechas que tiene un amante…

Sin embargo, según las leyes americanas es ilegal instalarlo en un ordenador que no es el tuyo sin el permiso de su dueño. Y, por supuesto, usarlo con fines delictivos.

Al parecer, eso es lo que supuestamente han hecho los más de 100 hackers maliciosos de todo el mundo detenidos por el FBI.

Utilizado para delinquir, Blackshades se convierte en un malware muy peligroso capaz de robar cuentas de Facebook, ficheros del ordenador, los textos que tecleas con el teclado, o activar tu webcam y ver a través de ella.

Según explican en el periódico The Guardian, que a su vez cita a la revista Time, estas detenciones son una prolongación de otras que ocurrieron en 2012, cuando más de 20 hackers fueron apresados, entre ellos el creador del software, Michael Hogue.

Los investigadores aseguran que las detenciones actuales podrían estar relacionadas con los datos que se obtuvieron durante las redadas de hace dos años.

Viknok, el malware con el que los cibercriminales ganan dinero

Malware-money_150Unos investigadores han descubierto un troyano que permite a los cibercriminales ganar dinero a costa de los equipos que infectan. Para ello instalan programas que insertan publicidad en el equipo y provocan que el usuario haga click en los anuncios, lo que hace que los hackers ganen más dinero.

Unos investigadores de Symantec descubrieron en abril de 2013 el malware Trojan.Viknoky se asombraron ante la sofisticación de la amenaza, ya que tiene la habilidad de convertir a sus víctimas en bots. El pasado mes, los investigadores se dieron cuenta de que recientemente el número de ordenadores infectados se incrementó enormemente, lo que hizo saltar las alarmas. Este troyano permite, al atacante que lo utilice, ganar dinero a costa del equipo infectado modificando la navegación del usuario e instalando programas que insertan publicidad en el ordenador. Con esto, los cibercriminales pueden alterar la navegación del usuario forzando a que entren en páginas web de los propios hackers con el objetivo de que hagan clicken varios anuncios que dan dinero a los atacantes. Esta técnica es conocida como Click-Fraud y es una de las más utilizadas por los cibercriminales para ganar dinero junto con el ransomware.

viknok-infección-529x500

Afecta a Windows XP, 7 y 8, tanto 32 como 64 bits

Este peligroso malware afecta exclusivamente al sistema operativo de Microsoft en sus versiones XP, 7 y 8, tanto en 32 como en 64 bits. Lleva activo desde abril del año pasado, pero no ha sido hasta un año después cuando ha comenzado a infectar ordenadores significativamente, con un apogeo en las últimas semanas. Symantec ha señalado que es conveniente extremar las precauciones con los correos electrónicos que recibimos, ya que al parecer el troyano utiliza las direcciones de correo guardadas en el ordenador infectado para extenderse. Cuando llega a un ordenador, lo primero que hace es intentar obtener permisos de administrador del equipo utilizando la herramienta de gestión de usuarios del propio sistema operativo. Con esto, lo que busca que poder empezar a modificar las DLL necesarias para llevar a cabo su tarea. Si estas DLL no están en el ordenador, es capaz dedescargarlas desde los servidores propios del malware y, también, provocará que el malware esté siempre presente aunque reiniciemos el ordenador. Por suerte, la mayoría de antivirus, tanto gratuitos como de pago, son capaces de detectar la amenaza, pero eso sí, es totalmente recomendable extremar la precaución, además de actualizar la base de datos del antivirus.

¿Alguna vez has tenido problemas con este tipo de malware?

Los mercados negros cibernéticos presentan un crecimiento sin predecentes

cibercriminal_2Un estudio de RAND Corporation afirma que los mercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una sólida infraestructura y organización social, y que, al igual que cualquier otra economía, seguirá evolucionando y reaccionando a la ley de la oferta y la demanda.

Los mercados negros cibernéticos tienen una economía madura con características similares a las de una ciudad metropolitana próspera, con diversas comunidades, industrias e interacciones. Así lo sugiere un estudio encargado por Juniper Networks RAND Corporation, cuyas revelaciones demuestran que los mercados negros cibernéticos han alcanzado niveles de madurez y de crecimiento sin precedentes.

El informe titulado “Mercados de Herramientas del Cibercrimen y Robo de Datos: Bazar de Hackers Maliciosos”, examina por primera vez estos mercados en su totalidad, aplicando el análisis económico para comprender mejor cómo funcionan. RAND encontró niveles significativos de sofisticación económica, fiabilidad y accesibilidad a los productos en estos mercados, así como en los canales de distribución y los actores que intervienen en los mismos, confirmando la sospecha de Juniper Research de que losmercados negros cibernéticos son una economía de millones de dólares madura y en crecimiento, con una robusta infraestructura y organización social.

Torec.a, troyano para Android que usa TOR para robar tus datos

android_torCómo plataforma cada vez más popular, Android se ha posicionado en el ojo del huracán en cuanto a ciberataques. Nada del otro mundo, pero acaba de hacerse un nuevo descubrimiento del ingenio al que llegan los cibercriminales (no confundir con hackers) para crear un troyano que utiliza la red TOR para enviar datos.

Descubierto el pasado mes de febrero, el Backdoor.AndroidOS.Torec.a es el primer malware de este tipo para el sistema Android. Usando la red TOR permite al atacante actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.

torec-a

Torec.a está basado en Orbot, una plataforma de código abierto del cliente TOR para Android, y utiliza un dominio .onion como un C&C para enviar sus comandos.

Alguna de las capacidades de Torec.a son las siguientes:
• Iniciar/detener la interceptación entrante de SMS
• Robo de SMS salientes
• Realizar una petición USSD

 

Página siguiente »