EnHacke
>

Ayudan a FBI a capturar al creador del troyano SpyEye

panin_skyeye_malware-150El líder mundial de seguridad de datos Trend Micro colaboró con el FBI en la identificación y posterior aprehensión del hacker ruso Aleksandr Andreevich Panin, quien se declaró culpable del desarrollo y distribución del software malicioso conocido como SpyEye.

De acuerdo con estimaciones de la industria informática, el malware SpyEye ha infectado a más de 1.4 millones de computadoras en el mundo.

Gracias al equipo de investigación de Trend Micro, el FBI (Oficina Federal de Investigación), de EU, logró identificar al hacker también conocido como “Gribodemon” o “Harderman”, quien además se considera culpable de la conspiración para cometer falsificación y fraude bancario.

Presuntamente, el cibercriminal operó al menos un servidor de comando y control (C&C) para SpyEye, código informático sofisticado que está diseñado para automatizar el robo de información personal y financiera confidencial, como las credenciales de banca en línea, información de tarjetas de crédito, nombres de usuario, contraseñas, números PIN y otros tipos de información de identificación personal.

El director de Innovación de Tren Micro México Juan Pablo Castro señaló que “el malware SpyEyefacilitó este robo de información mediante la infección en secreto de las computadoras de las víctimas en la que los ciberdelincuentes controlaron de forma remota los equipos infectados a través de los servidores C&C”.

“Una vez –continúa-  que el ordenador era infectado y estaba bajo el control  de los “ciberdelincuentes”, lograban acceder de forma remota a los equipos infectados, sin autorización, para robar la información personal y financiera de las víctimas, a través de una variedad de técnicas, incluyendo monitoreo de teclado y de tarjetas de crédito. Los datos personales y financieros de las víctimas  eran transmitidos de forma discreta a los servidores de C&C, el cual se utilizaba para robar dinero de las víctimas de sus cuentas financieras”.

 El equipo de investigación de Trend Micro inició la investigación desde hace cuatro años. Durante el periodo de intervención, su equipo estudió la infraestructura utilizada para apoyar al malware, donde se identificaron los puntos débiles en la misma y se siguió un importante número de pistas que condujeron a las identidades de los  individuos detrás de este peligroso troyano bancario.

Cuando Trend Micro obtuvo la suficiente información involucró a las fuerzas de seguridad, en este caso al FBI, que concluyó con  éxito la operación.

Dentro de la investigación se destaca que las contraseñas más utilizadas por las víctimas fueron  “love me”, “kiss me” (“ámame”, “bésame” en inglés), lo que facilitó aún más el robo financiero.

Filezilla advierte que circulan versiones de su software con malware

filezilla-logoFilezilla es uno de los mejores clientes FTP del mercado. Al parecer, un grupo de hackers maliciosos han modificado esta aplicación de código abierto con el objetivo de robar datos y hay versiones modificadas circulando por Internet. No es la primera vez que sucede pero, según los responsables de la compañía, es una de las mayores campañas de malware que han visto hasta ahora.

“No toleramos este tipo de acciones y estamos trabajando para solucionar el problema lo antes posible” comenta Filezilla a la edición norteamericana de PCWorld. Al tiempo, reconocen que “es difícil controlar las versiones modificadas de nuestro software dado que el Proyecto Filezilla promueve la libre distribución, el espíritu del software libre bajo una licencia de código abierto”

Los expertos en seguridad de Avast advierte que las versiones modificadas son prácticamente idénticas a las originales, incluyendo iconos, imágenes y nombres de los archivos que forman el paquete. La única pista es el tamaño del ejecutable, ligeramente menor al real, como comentan en el blog de la compañía.

488x307xpayload-630x397.jpg.pagespeed.ic.0fHkJxnXEI

Los hackers han conseguido que Filezilla robe y envíe los datos como el nombre de usuario, la contraseña, el servidor FTP o el puerto codificados con un algoritmo base 64 a un servidor situado en Alemania conocido por albergar actividades relacionadas con el malware y el spam.

Filezilla recomiendan borrar cualquier versión que tengamos instalada y descargar la última disponible desde su sitio web oficial o desde SourceForge, uno de los socios que ayudan a distribuir la aplicación. También es interesante comprobar los valores has SHA256 de la versión que vayamos a instalar con los valores publicados en su web.

Quantum, malware en páginas de Linkedin y Slashdot para entrar en redes internas de telecos y la OPEP

 

650_1000_gchq.mynoc_-640x494

 

¿Se acuerdan de Quantum? Lo explicamos cuando salió a la luz el método que usaba la NSA para espiar a los usuarios de Tor. Quantum era una red de servidores colocados estratégicamente en los puntos centrales de la red Internet, de tal forma que podían responder mucho más rápido que cualquier otro servidor.

Pues bien, según ha filtrado hoy Der Spiegel, el GCHQ (el equivalente británico a la NSA) usó esos servidores para entrar en las redes de Comfone y Mach, dos GRX (entidades encargadas de interconectar redes móviles para permitir el roaming) y de la OPEP (Organización de Países Exportadores de Petróleo).

Según el periódico alemán, el GCHQ preparó versiones modificadas de páginas de LinkedIn y Slashdot que contenían malware. Cuando los empleados objetivo de esas entidades intentaban visitarlas, los servidores Quantum respondían con esas versiones modificadas antes de que llegase la respuesta legítima de LinkedIn y Slashdot.

De esta forma, el malware se introducía en sus equipos (no se especifica cómo), dando acceso al GCHQ a las redes internas. No sabemos qué hizo el GCHQ una vez dentro de las redes, pero probablemente se usase para obtener más información que les resultase útil.

Lo más preocupante de estas filtraciones es que demuestran cómo no ha habido sólo escuchas pasivas, sino también espionaje más agresivo con intrusiones en redes privadas (recordemos el caso de Google y Yahoo) de entidades importantes, no sólo de particulares o sospechosos. Es posible que estas revelaciones acaben poniendo en un aprieto a la NSA y al GCHQ.

INTECO alerta de un malware que roba las imágenes del sistema para publicarlas

El INTECO ha alertado hoy de un virus que afecta a la plataforma Windows y que roba “todas las imágenes” que encuentra en los discos duros y unidades extraíbles del sistema infectado para publicarlas en Internet en un servidor de fácil acceso.

Según esta alerta de Instituto Nacional de Tecnologías de la Comunicación (INTECO), que aparece en su boletín semanal de seguridad, se trata de un troyano denominado Malware.Multi/Pixsteal y apunta que no tiene una forma específica de propagación.

Detalla que el virus abre un terminal de línea de comandos y ejecuta tres comandos que recaban las imágenes del sistema, para posteriormente enviarlas a un servidor que se encuentra alojado en Irak.

Añade que este servidor utiliza una contraseña “bien conocida”, por lo que las imágenes robadas son públicamente accesibles y cualquiera puede verlas.

Pese a que el virus ha tenido por el momento “poco impacto” en España, INTECO, que tiene su sede en León, hace hincapié en que se tenga cuidado con las páginas que se visitan y con los ficheros que se descargan.

El Malware.Multi/Pixsteal es uno de los catorce virus documentados esta semana por INTECO, que además ha agregado a su base de datos 77 vulnerabilidades.

Gataka, un nuevo malware bancario en la red

Investigadores de seguridad de Eset han publicado un completo análisis sobre las características y la peligrosidad de Win32/Gataka. Se trata de un nuevo troyano bancario capaz de utilizar y manipular los servicios de banca online.

Win32/Gataka es un malware con una arquitectura similar al peligroso SpyEye. Desarrollado en C++, Gataka es una pieza de malware que se lanzó en 2011 y que ha pasado desapercibida hasta la actualidad. Se trata de un virus que se une a Zeus y SpyEye como los troyanos bancarios más destacados.

Desde Eset han explicado que Win32/Gataka se inyecta en explorer.exe y se instala para infectar los equipos. Una vez conseguido, el virus es peligroso porque es capaz de incrementar sus funcionalidades con la instalación de plugins, que hacen que sea más compleja de identificación y que sus posibilidades aumenten. Una vez instalado, el troyano mantiene contacto con un servidor, desde el que los ciberdelincuentes pueden enviar los plugins o las actualizaciones para Win32/Gataka.

Los distintos plugins permiten a los ciberdelincuentes realizar distintas acciones una vez que el troyano ha sido infectado. En Eset han publicado una lista completa con dichos plugins y han comentado varios casos descubiertos en sus investigaciones. Básicamente, los ciberdelincuentes han utilizado el troyano para engañar a los usuarios y conseguir transacciones fraudulentas a través de sus servicios de banca online.

Entre los casos descubiertos, se han detallado campañas contra usuarios de un banco alemán y otro holandés. “La primera campaña de infección estaba enfocada a los usuarios de un banco Alemán, donde trataban de convencerlos para que ingresaran un número de autorización de transacción (TAN) para luego hacer una transferencia fraudulenta simulando una transferencia de prueba”, han explicado los investigadores de Eset. En los otros casos el procedimiento fue muy similar.

Desde la compañía de seguridad han destacado la peligrosidad del troyano, principalmente por su variedad y sus posibilidades al instalar plugins. Los investigadores de Eset han asegurado que Win32/Gataka es tan peligroso como SpyEye o Zeus, por lo que hay que extremar las precauciones.

Descubren un nuevo y desconocido lenguaje de programación empleado en la creación de Duqu

Este nuevo lenguaje de programación demuestra la alta cualificación de los desarrolladores implicados, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.

Expertos anti-malware de Kaspersky Lab han descubierto que parte del sofisticado Troyano Duqu, cuyos creadores son los mismos que los del gusano Stuxnet, se escribió en un lenguaje de programación hasta ahora desconocido.
La finalidad principal de Duqu era actuar como backdoor en el sistema para facilitar el robo de información privada y se detectó por primera vez en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro relacionado con el malware se remonta a agosto de 2007. Los expertos de la compañía han captado más de una docena de incidentes que involucran a Duqu, y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus actividades muestra que el principal objetivo de los ataques era robar información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes
El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus).

Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido. Los expertos de Kaspersky Lab han nombrado a esta sección se desconocida ” Duqu Framework”.

A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.

El lenguaje de Duqu Framework es altamente especializado. Permite que el Payload DLL opere de forma independiente al resto de módulos Duqu y lo conecta a su C&C a través de varias vías, incluyendo Windows HTTP, conexiones de red y servidores proxy. También permite que Payload DLL procese peticiones HTTP del servidor de C&C directamente, transmitiendo copias de forma sigilosa de la información robada de la máquina infectada a la de C&C. Incluso puede distribuir carga maliciosa adicional a otras máquinas en la red, lo cual crea un entorno controlado y una discreta forma de propagación de infecciones a otros equipos.

“Dado el tamaño del proyecto Duqu, es posible que un equipo completamente diferente fuese responsable de crear Duqu Framework”, afirma Alexander Gostev, experto jefe de seguridad de Kaspersky Lab. “Con el altísimo nivel de personalización y exclusividad utilizado para crear el lenguaje de programación, es posible que se haya hecho no sólo para evitar que detectaran la operación de ciber-espionaje y las interacciones con el C&C, sino también para separar otros equipos internos de Duqu que han sido los responsables de escribir las partes adicionales del programa malicioso”.

De acuerdo con Alexander Gostev, la creación de un lenguaje de programación dedicado demuestra lo altamente cualificados que están los desarrolladores que trabajan en el proyecto, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.

A Kaspersky Lab le gustaría hacer un llamamiento a toda la comunidad de programadores por si alguien reconoce al nuevo framework, herramientas o lenguaje de programación que pueda generar construcciones similares de código. Para ello pueden contactar con los expertos se la compañía para poder solucionar este profundo misterio de la saga Duqu ( stopduqu@kaspersky.com ).

La versión completa del análisis del Duqu Framework de Igor Soumenkov y Raiu Costin se puede encontrar en Securelist www.securelist.com

Nueva versión de OpenSSL soluciona 6 vulnerabilidades

OpenSSL ha publicado un aviso de seguridad con las vulnerabilidades que se han parcheado en sus últimas versiones, la 1.0.0f y 0.9.8s. 

OpenSSL es un conjunto de herramientas de código abierto destinadas a implementar los protocolos SSL v2 y v3 y TLS v1, además de una librería de criptográfica de propósito general.

 

  • CVE-2011-4108: Se trata de un ataque contra la implementación de DTLS (Datagram TLS). Permite una recuperación eficiente del texto plano a través de la medición del tiempo de descifrado. Importante señalar que el problema se encuentra en la implementación de DTLS realizada en OpenSSL, no el protocolo en sí.
  • CVE-2011-4109: Cuando el flag ‘X509_V_FLAG_POLICY_CHECK’ se encontraba activado, un fallo podría incurrir en un error de doble liberación de memoria. Los usuarios de la rama 1.0.0 no se ven afectados.
  • CVE-2011-4576: Esta vulnerabilidad afecta tanto al cliente como al servidor de OpenSSL. El error se encontraba al no limpiar correctamente las zonas de memoria utilizadas para servir de relleno en los cifrados por bloque.
  • CVE-2011-4577: Las instalaciones de OpenSSL que permitiesen la utilización del RFC 3779 (desactivada por defecto) podrían ser objetivo de ataques de denegación de servicio al incluir datos especialmente manipulados.
  • CVE-2011-4619: En caso de que ‘Server Gated Cryptograpy’ (SGC) permitiese el reinicio de ‘handshake’, podría ser aprovechado con el fin de causar una denegación de servicio.
  • CVE-2012-0027: Los usuarios del motor GOST de OpenSSL a los que se conectase un cliente TLS malicioso podrían ser objetivo de un ataque de denegación de servicio. El método utilizado sería el envío de parámetros GOST incorrectos al servidor aprovechando una falta de las comprobaciones de error.

 

Todas estas vulnerabilidades se han solucionado en las versiones 1.0.0f y 0.9.8s de OpenSSL, a las cuales se recomienda actualizar.

http://openssl.org/source/