Te sientes como si hubieras tenido suficiente. Todas las noticias recientes, desde el error de Cambridge Analytica de Facebook hasta varios abusos de las vulnerabilidades de Twitter, me preguntan: ¿Debo eliminarme de las redes sociales?

Las redes sociales tienen sus aspectos positivos. Puede mantenerse en contacto con familiares lejanos (o no), ser incluido en la planificación de eventos sociales dentro de su círculo de amigos, recibir actualizaciones en tiempo real de noticias regionales y nacionales, y promover su empresa, contenido u otras empresas personales. Además, puedes experimentar todos los memes geniales  dos semanas después de haber sido publicados en Reddit.

Por otra parte, hay bastantes razones, que abarcan la seguridad, la privacidad y las prácticas comerciales sombrías en general, para irse. Solo en 2018, Facebook experimentó una brecha de seguridad que afectó a 50 millones de cuentas , fue responsable de  un genocidio incitado mediante el uso de su plataforma, mantuvo los datos del usuario que dijo que eliminó y se descubrió que estaba abusando de las aplicaciones de desarrollo de Apple para probar en niños. Twitter, mientras tanto, no solo ha estado en el extremo final de los errores de contraseña , los piratas informáticos y las violaciones de datos , sino que algunos podrían decir que estos días es un incendio general de las cuentas de bots.

Instagram y Snapchat tampoco carecen de defectos. Los piratas informáticos están apuntando a las cuentas de personas influyentes en Insta, mientras que Snapchat ha recibido ataques de suplantación de identidad y violaciones de seguridad .

Desafortunadamente, no podemos tomar la decisión de dejar las redes sociales por ti. En su lugar, le recomendamos que haga una lista de pros y contras. Considere qué datos podrían perderse. Considere qué tiempo y paz mental se puede ganar. Sopesar las recompensas contra los riesgos. Si se retira con ganas de dar un paso atrás, pero no del todo sin dejar de fumar, podemos ayudarlo a mejorar la configuración de seguridad y privacidad. Y si eso no es suficiente, le mostraremos cómo eliminar sus cuentas.

Vamos a empezar lentamente

Si no estás listo para cortar el acorde, una buena opción para refrescarte en las redes sociales es ajustar la configuración de privacidad en todas tus cuentas. Esto es algo sensato de hacer, incluso si no está considerando irse. También tiene el efecto secundario adicional de aumentar la conciencia de cuánto compartes en las redes sociales.

En un blog anterior, discutimos cómo asegurar sus perfiles de redes sociales con gran detalle. Recomendamos a los usuarios que no se están eliminando a sí mismos, lea esto primero para comprender las complejidades. A continuación, le ofrecemos una lista rápida y sucia de enlaces a seguir para ajustar la configuración de privacidad en las cuatro plataformas de redes sociales más importantes:

• Configuraciones de privacidad de Facebook
• Configuraciones de privacidad de Twitter
• Configuraciones de privacidad de Instagram
• Configuraciones de privacidad de Snapchat

Después de ajustar la configuración, es una buena idea monitorear y hacer un seguimiento del uso de las redes sociales para avanzar, ya sea con el fin de administrar el tiempo, concentrarse o vencer la adicción a las redes sociales. A medida que más y más de nuestro consumo de medios se traslada a los teléfonos inteligentes, puede aprovechar varias aplicaciones que lo ayudarán a alcanzar estos objetivos. Éstos incluyen:

• Fiebre social (solo Android)
• Fuera de tiempo
• Momento (solo Android)
• Appdetox

¡Adiós, top cuatro!

Digamos que te sentaste, pensaste bien y decidiste que es hora de pasar de las redes sociales. Puedes comenzar por recoger los enlaces apropiados. A continuación, hemos incluido enlaces para descargar sus datos desde las plataformas más populares. Debe descargar su información personal de estos sitios de redes sociales antes de la opción nuclear, en caso de que experimente remordimientos. Además, es realmente revelador descubrir exactamente la cantidad de datos que genera y comparte en las plataformas de redes sociales.

Facebook

• Cómo eliminar permanentemente Facebook
• Cómo descargar tu información personal

Tiempo para la eliminación permanente: una  vez que hayan transcurrido 14 días, se iniciará su solicitud de eliminación. Esto puede tardar más de 90 días en completarse.

Gorjeo

• Cómo desactivar tu cuenta de Twitter
• Cómo borrar tu cuenta de Twitter
• Cómo descargar tu archivo de Twitter

Tiempo para la eliminación permanente:  Twitter tarda hasta 30 días en eliminar por completo su cuenta.

Instagram

• Cómo borrar Instagram
• Cómo descargar tu información personal

Tiempo para la eliminación permanente:  inmediatamente!

Snapchat

• Cómo borrar tu cuenta de Snapchat
• Cómo descargar tus datos

Tiempo hasta la eliminación permanente:  30 días.

Google+

Ja ja ja, ho ho ho, he he he he. Este es principalmente para las risitas. Google abandonará este esfuerzo en particular el 2 de abril de 2019. Pero si siente la necesidad de eliminarse antes de eso, esto es lo que debe hacer:

• Cómo borrar tu perfil de Google+
• Cómo borrar tu cuenta de Google

El tiempo justo

A los investigadores de seguridad les encantan las plataformas de redes sociales. Son una gran fuente de inteligencia de código abierto ( OSINT ) y nos ayudan a hacer posible la atribución (siempre que su adversario tenga una mala OPSEC ). Sin embargo, las razones por las que disfrutamos de las redes sociales también pueden ser las razones por las que los consumidores regulares deberían tomar un impulso y considerar los beneficios.

Cuando esté listo para tomar una decisión, le brindamos todos los enlaces necesarios para realizar copias de seguridad y eliminar estas cuentas, así como también algunos materiales que pueden ayudarlo a decidir cuáles conservar y cómo protegerlos adecuadamente.

Si los medios sociales están causando ansiedad, estrés o depresión; si está cansado de que sus datos se extraigan y compartan con terceros; Si está empezando a sentirse más como un trabajo para mantener en lugar de placer, entonces puede ser el momento de reforzar las defensas y tomar un descanso, o incluso alejarse para siempre. Y si ese momento llega, estamos aquí para ti.

Las campañas de publicidad maliciosa en diciembre y el nuevo año han evitado que la actividad de los kits de explotaciones hibernen en el invierno de 2019. En su mayoría observamos Fallout y RIG con la aparición ocasional y limitada de GrandSoft para una orientación geográfica más amplia.

Además, los kits de exploits con un enfoque limitado como Magnitude, Underminer y GreenFlash Sundown se mantuvieron en el mismo camino: entregar ransomware a países mayormente asiáticos, y en particular a Corea del Sur.

Resumen de invierno 2019

• Fallout EK
• RIG EK
• GrandSoft EK
• Magnitud EK
• Socavador ek
• GreenFlash Sundown EK

De Internet Explorer  CVE-2018-8174  y de flash  CVE-2018-4878  siguen siendo las vulnerabilidades más comunes en todos los ámbitos, a pesar de que un par exploits han integrado la más reciente de Flash CVE-2.018-15.982 .

Fallout EK

Fallout sigue trayendo aire fresco a una atmósfera por otra parte obsoleta mediante la introducción de nuevas funciones e incluso la adopción de nuevas vulnerabilidades. También parece ser un buen marco experimental para algunos actores que han personalizado la entrega de la carga útil. Fallout fue el segundo kit de explotación para agregar  CVE-2018-15982 , una vulnerabilidad más reciente para Flash Player.

RIG EK

Good old RIG todavía está dando vueltas, pero ha tomado un asiento trasero ante el nuevo Fallout en muchas de las cadenas de malvertising que rastreamos, excepto quizás por Fobos . No ha habido cambios notables para informar desde la última vez que lo revisamos.

GrandSoft EK

GrandSoft y su carga útil Ramnit todavía van de la mano a través de una distribución limitada vinculada a sitios web comprometidos. Es quizás uno de los kits de explotación menos sofisticados en el mercado en este momento.

Magnitud EK

Mientras tanto, Magnitude EK está activa y servida a través de cadenas de publicidad maliciosa, con un enfoque en algunos países APAC como Corea del Sur. Magnitude continúa entregando su carga útil de ransomware Magniber sin archivos.

Socavador ek

Los esquemas de encriptación over-the-top de Underminer para ocultar sus proezas nos mantienen a los investigadores honestos cuando intentamos identificar exactamente qué hay debajo del capó. Vale la pena señalar que solo unos pocos días después de la publicación de Flash day-day y Proof of Concept (PoC) ( CVE-2018-15982 ), Underminer ya lo estaba implementando  .

GreenFlash Sundown EK

GreenFlash Sundown, también un kit de exploits geográfico específico, ha estado entregando varias razas de ransomware a objetivos en Asia. En nuestra última captura, lo vimos soltar el ransomware Seon en usuarios de Corea del Sur.

Mitigación

Si bien los parches oportunos y la evitación de Internet Explorer como navegador web ofrecerían protección contra los kits de explotación mencionados anteriormente, la realidad es que muchos usuarios (especialmente en entornos corporativos) todavía están detrás. Además, mientras que el IE se está eliminando gradualmente en América del Norte, todavía es muy adoptado en los países asiáticos, lo que explica por qué están siendo atacados actualmente.

La tecnología anti-exploit de Malwarebytes bloquea cada uno de estos kits de exploits (Fallout, RIG, GrandSoft, Magnitude, Underminer y GreenFlash Sundown) antes de que tengan la oportunidad de reducir su carga útil.

A medida que avanzamos en 2019, podemos decir que los kits de exploits, aunque no se acercan a su actividad máxima en 2017, aún se mantienen, y se utilizan principalmente en campañas de distribución de publicidad maliciosa. En términos de actividad global, Fallout lidera la carga, proporcionando las campañas y la carga útil más diversas. Mientras tanto, los EK específicos de Asia continúan en su mayor parte con su patrón habitual de impulsar la innovación (hasta cierto punto) y distribuir ransomware.

Se supone que la mensajería segura es solo eso: segura. Eso significa que no hay puertas traseras, cifrado sólido, mensajes privados que permanecen privados y, para algunos usuarios, la capacidad de comunicarse de forma segura sin entregar toneladas de datos personales.

Por lo tanto, cuando se produjera la noticia, el paria de privacidad en línea y escándalo de Facebook expandiría la mensajería segura a través de sus aplicaciones Messenger, WhatsApp e Instagram, una amplia comunidad de criptógrafos, legisladores y usuarios preguntaron: ¿Espere, qué?

La tecnología no solo es difícil de implementar, sino que la compañía que la implementa tiene un historial deficiente tanto en la privacidad del usuario como en la seguridad en línea.

El 25 de enero, el New York Times informó que el CEO de Facebook, Mark Zuckerberg, había comenzado los planes para integrar las tres plataformas de mensajería de la compañía en un solo servicio, permitiendo a los usuarios comunicarse entre ellos a través de aplicaciones móviles separadas. Según el New York Times, Zuckerberg “ordenó que todas las aplicaciones incorporen cifrado de extremo a extremo”.

La respuesta inicial fue dura.

En el extranjero, la Comisión de Protección de Datos de Irlanda, que regula Facebook en la Unión Europea, solicitó de inmediato una “sesión informativa urgente” de la compañía, advirtiendo que las propuestas anteriores de intercambio de datos plantearon “problemas importantes de protección de datos”.

En los Estados Unidos, el senador demócrata Ed Markey de Massachusetts dijo en una declaración : “No podemos permitir que la integración de la plataforma se convierta en una desintegración de la privacidad”.

Los tecnólogos de seguridad cibernética oscilaron entre el optimismo cauteloso y la simple cautela.

Algunos profesionales se enfocaron en los beneficios claros de habilitar el cifrado de extremo a extremo en las plataformas de mensajería de Facebook, enfatizando que cualquier cifrado de extremo a extremo es mejor que ninguno.

El ex ingeniero de software de Facebook Alec Muffet, quien dirigió el equipo que agregó el cifrado de extremo a extremo a Facebook Messenger , dijo en Twitter que el plan de integración “claramente maximiza la privacidad que se brinda a la mayor cantidad de personas y es una buena idea”. ”

Otros cuestionaron los motivos y la reputación de Facebook, examinando el modelo de negocios establecido por la compañía de la recolección de cantidades masivas de datos de usuarios para entregar anuncios dirigidos.

El profesor asociado y criptógrafo de la Universidad John Hopkins, Matthew Green, dijo en Twitter que “este movimiento podría ser bueno o malo para la seguridad / privacidad. Pero dada la historia reciente y las motivaciones financieras de Facebook, no apostaría el dinero de mi almuerzo en “bueno”.

El 30 de enero, Zuckerberg confirmó el plan de integración durante una llamada trimestral de ganancias. La compañía espera completar el proyecto este año o a principios de 2020.

Va a ser una batalla cuesta arriba.

Tres aplicaciones, una mala reputación.

Fusionar tres aplicaciones de mensajería separadas es más fácil decirlo que hacerlo.

En una entrevista telefónica, Green dijo que el obstáculo tecnológico inmediato de Facebook será la integración de “tres sistemas diferentes, uno que no tenga ningún cifrado de extremo a extremo, uno donde sea predeterminado y otro con una función opcional”.

Actualmente, los servicios de mensajería en WhatsApp, Facebook Messenger e Instagram tienen diversos grados de encriptación de extremo a extremo. WhatsApp proporciona cifrado de extremo a extremo predeterminado, mientras que Facebook Messenger proporciona cifrado de extremo a extremo opcional si los usuarios activan las “Conversaciones secretas”. Instagram no ofrece cifrado de extremo a extremo en su servicio de mensajería.

Además, Facebook Messenger, WhatsApp e Instagram tienen características separadas, como la capacidad de Facebook Messenger para admitir más de un dispositivo y el soporte de WhatsApp para conversaciones grupales, junto con clientes de escritorio o web independientes.

Green dijo que se imagina que alguien utilice el cliente web de Facebook Messenger, que actualmente no admite el cifrado de extremo a extremo, iniciando una conversación con un usuario de WhatsApp, donde el cifrado se establece de forma predeterminada. Estos lapsos en el cifrado predeterminado, dijo Green, podrían crear vulnerabilidades. El desafío está en reunir todos esos sistemas con todas esas variables.

“Primero, es probable que Facebook tenga que crear una plataforma y luego mover todos esos sistemas diferentes a un sistema un tanto compatible, que, por lo que puedo decir, incluiría la centralización de servidores clave, usando el mismo protocolo y un montón de desarrollo técnico. Eso tiene que pasar ”, dijo Green. “No es imposible. Solo duro “.

Pero hay más en el éxito de Facebook que el conocimiento técnico de sus ingenieros. También está su reputación, que, en los últimos tiempos, presenta a la empresa como un barón de los datos de hoy en día, planteándose en fallas en la privacidad después de una falla en la privacidad.

Después de las elecciones presidenciales de los Estados Unidos de 2016, Facebook se negó a calificar la ” subrepticia colección de información personal de 50 millones de usuarios ” cuando fue presentada ante el Congreso para testificar sobre el papel de su compañía en una potencial campaña internacional de desinformación. La empresa no “vende” datos de usuario a los anunciantes. Pero menos de un año después, un comité parlamentario británico publicó documentos que mostraban cómo Facebook dio a algunas compañías, entre ellas Airbnb y Netflix, acceso a su plataforma a cambio de favores, sin necesidad de venta.

Hace cinco meses, la aplicación Onavo de Facebook se inició desde la App Store de Apple para recopilar datos, y a principios de este año, se dice que Facebook les pagó a usuarios de tan solo 13 años para que instalaran la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada estrictamente para el uso de los empleados de Facebook. Facebook retiró la aplicación, pero Apple tenía en mente repercusiones adicionales: eliminó el certificado empresarial de Facebook, en el que la empresa confiaba para ejecutar sus aplicaciones internas de desarrollador.

Estas repetidas fallas en la privacidad son suficientes para que algunos usuarios eviten por completo el experimento de encriptación de extremo a extremo de Facebook.

“Si no confías en Facebook, el lugar de preocupación no es si arruinan el cifrado”, dijo Green. “Quieren saber quién está hablando con quién y cuándo. El cifrado no protege eso en absoluto “.

Si no es Facebook, ¿entonces quién?

Reputacionalmente, hay al menos dos compañías que los usuarios buscan tanto para un cifrado de extremo a extremo sólido y un respaldo sólido para la privacidad y seguridad del usuario: Apple y Signal, que ejecutan respectivamente las aplicaciones iMessage y Signal Messenger.

En 2013, Open Whisper Systems desarrolló el protocolo de señal. Este protocolo de encriptación proporciona encriptación de extremo a extremo para llamadas de voz, videollamadas y mensajería instantánea, y es implementado por WhatsApp, Facebook Messenger, Allo de Google y Skype de Microsoft en diversos grados. Periodistas, defensores de la privacidad, criptógrafos e investigadores de seguridad cibernética elogian habitualmente a Signal Messenger, Signal Protocol y Open Whisper Systems.

“Use cualquier cosa de Open Whisper Systems”, dijo el ex contratista de defensa de la NSA y el denunciante del gobierno Edward Snowden.

“[Signal es] mi primera opción para una conversación encriptada”, dijo el investigador en seguridad cibernética y defensor de la privacidad digital Bruce Schneier.

Por otra parte, Apple ha demostrado su compromiso con la privacidad y seguridad del usuario a través de declaraciones hechas por ejecutivos de la compañía, actualizaciones para solucionar vulnerabilidades y acciones legales tomadas en los tribunales de EE. UU.

En 2016, Apple contraatacó una solicitud del gobierno de que la compañía diseñara un sistema operativo capaz de permitir que el FBI descifre un iPhone individual. Un argumento así, argumentó Apple, sería demasiado peligroso de crear. A principios del año pasado, cuando una empresa estadounidense comenzó a vender dispositivos para descifrar el iPhone, llamado GrayKey, Apple solucionó la vulnerabilidad a través de una actualización de iOS.

En repetidas ocasiones, el CEO de Apple, Tim Cook, ha apoyado la seguridad y privacidad del usuario, y dijo en 2015: “Creemos que las personas tienen un derecho fundamental a la privacidad. El pueblo estadounidense lo exige, la constitución lo exige, la moral lo exige ”.

Pero incluso con estas reputaciones esterlinas, la verdad es que la seguridad cibernética es difícil de hacer bien.

El año pasado, los investigadores de ciberseguridad encontraron una vulnerabilidad crítica en la aplicación de escritorio de Signal que permitía a los actores de amenazas obtener los mensajes de texto sin formato de los usuarios. Los desarrolladores de Signal arreglaron la vulnerabilidad dentro de las cinco horas reportadas .

La semana pasada, la aplicación FaceTime de Apple, que encripta las videollamadas entre usuarios, sufrió un error de privacidad que permitió a los actores de amenazas espiar brevemente a las víctimas . Apple corrigió el error luego de que se difundiera la noticia de la vulnerabilidad.

De hecho, varias aplicaciones de mensajería seguras, incluyendo Telegram , Viber , Confide , Allo y WhatsApp, han reportado vulnerabilidades de seguridad, mientras que otras, incluyendo Wire , se han visto afectadas por las prácticas de almacenamiento de datos.

Pero las vulnerabilidades no deben asustar a las personas para que no utilicen el cifrado de extremo a extremo. Por el contrario, deberían alentar a las personas a que encuentren la aplicación de mensajería cifrada de extremo a extremo adecuada para ellas.

No hay una talla única para todos, y eso está bien

No existe tal cosa como una aplicación de mensajería segura perfecta, de talla única, dijo la Directora Asociada de Investigación de Electronic Frontier Foundation, Gennie Gebhart, porque no existe una definición de seguridad perfecta, de talla única. .

“En la práctica, para algunas personas, seguro significa que el gobierno no puede interceptar sus mensajes”, dijo Gebhart. “Para otros, seguro significa que un socio en su espacio físico no puede tomar su dispositivo y leer sus mensajes. Esas son dos tareas completamente diferentes para una aplicación ”.

Al elegir la aplicación de mensajería segura adecuada para ellos, Gebhart dijo que las personas deberían preguntar qué necesitan y qué quieren . ¿Están preocupados de que los gobiernos o los proveedores de servicios intercepten sus mensajes? ¿Están preocupados de que las personas en su entorno físico obtengan acceso a sus mensajes? ¿Están preocupados por dar su número de teléfono y perder el anonimato?

Además, vale la pena preguntar: ¿Cuáles son los riesgos de un accidente, como, por ejemplo, el envío erróneo de un mensaje no cifrado que debería estar cifrado? Y, por supuesto, ¿qué aplicación están usando los amigos y la familia?

En cuanto a las constantes noticias de vulnerabilidades en las aplicaciones de mensajería segura, Gebhart aconsejó no reaccionar de forma exagerada. La buena noticia es que, si está leyendo acerca de una vulnerabilidad en una herramienta de mensajería segura, entonces las personas que crean esa herramienta también conocerán la vulnerabilidad. (De hecho, los desarrolladores solucionaron la mayoría de las vulnerabilidades de seguridad enumeradas anteriormente). El mejor consejo en esa situación, dijo Gebhart, es actualizar su software.

“Ese es el número uno”, dijo Gebhart, explicando que, aunque esta línea de defensa es “tediosa y quizás aburrida”, a veces los consejos aburridos simplemente funcionan. “Cepille sus dientes, cierre su puerta, actualice su software”.

La ciberseguridad es muchas cosas. Es difícil, es complejo, y es un deporte de equipo. Ese equipo te incluye a ti, el usuario. Antes de utilizar un servicio de mensajería, o conectarse en línea, recuerde seguir los consejos aburridos. Será mejor que se asegure su privacidad.

“Gobreadygook ilegible” es una forma de describir las URL hoy como las conocemos, y Google ha intentado rehacer su aspecto durante años. En su último movimiento para mejorar la forma en que Chrome, y por supuesto, cómo la compañía espera que otros navegadores sigan su ejemplo, muestra la URL en su omnibox (la barra de direcciones), el equipo de Google Chrome ha hecho públicos dos proyectos que los llevan en esta dirección.

Primero, lanzaron Trickuri (pronunciado como “truco”) a tiempo para una charla que tenían previsto presentar en la Conferencia Enigma 2019 . En segundo lugar, están trabajando en la creación de advertencias de direcciones URL potencialmente falsas para los usuarios de Chrome.

¡Cuidado! Algunos engaños y phishing por delante.

Trickuri es una herramienta de código abierto donde los desarrolladores pueden probar si sus aplicaciones muestran las URL de forma precisa y coherente en diferentes escenarios. Las nuevas advertencias de Chrome, por otro lado, todavía están en pruebas internas. Emily Stark, líder de seguridad de usabilidad de Google Chrome, confiesa que el desafío radica en crear reglas heurísticas que marquen adecuadamente las URL maliciosas y eviten falsos positivos.

“Nuestra heurística para detectar URLs engañosas consiste en comparar caracteres que se parecen entre sí y dominios que varían entre sí solo por una pequeña cantidad de caracteres”, dijo Stark en una entrevista con WIRED . “Nuestro objetivo es desarrollar un conjunto de heurísticas que alejen a los atacantes de las URL extremadamente confusas, y un desafío clave es evitar marcar dominios legítimos como sospechosos. Es por eso que lanzamos esta advertencia lentamente, como un experimento ”.

Estos esfuerzos son parte del enfoque actual del equipo, que es la detección y el marcado de URL aparentemente dudosas.

El objetivo más grande de Google Chrome

La URL se utiliza para identificar entidades en línea. Es el primer lugar donde los usuarios buscan evaluar si están en un buen lugar o no. Pero no todos conocen los componentes que componen una URL, y mucho menos lo que significan en la sintaxis. El impulso de Google para que los propietarios de sitios web utilicen HTTPS ha afectado a los desarrolladores de navegadores y, en consecuencia, ha cambiado las preferencias de los usuarios para favorecer dichos sitios. En efecto, al presionar HTTPS, Google cambió el juego para brindar al usuario una experiencia en línea generalmente más segura.

Sin embargo, Google quiere ir más allá de esto y está preparado para aumentar el conocimiento de los usuarios sobre partes relevantes de la URL (para que puedan tomar decisiones rápidas de seguridad). Como resultado, están refinando Chrome para presentar estas partes y, al mismo tiempo, mantienen la vista de los usuarios lejos de las incoherencias irrelevantes.

En una entrevista aparte con WIRED, Adrienne Porter Felt, Gerente de Ingeniería de Google Chrome, dice esto acerca de cómo los usuarios perciben la URL : “A las personas les cuesta mucho entender las URL. Son difíciles de leer, es difícil saber en qué parte de ellos se debe confiar, y en general no creo que las URL funcionen como una buena manera de transmitir la identidad del sitio. Así que queremos avanzar hacia un lugar donde todos puedan entender la identidad web: saben con quién están hablando cuando están utilizando un sitio web y pueden razonar si pueden confiar en ellos. Pero esto significará grandes cambios en cómo y cuándo Chrome muestra las URL. Queremos cuestionar cómo se deben mostrar las URL y cuestionarlas, ya que estamos descubriendo la forma correcta de transmitir la identidad “.

Si bien todo esto puede sonar bien, nadie, ni siquiera Google, sabe cómo será la nueva URL final en este momento.

Una breve cronología de los esfuerzos de Google para cambiar la URL

A continuación se muestra una breve línea de tiempo de los intentos que Google ha realizado para que Chrome muestre la URL en el omnibox:

• Abril de 2010: Google elimina “HTTP ” de la barra de direcciones.
• Mayo de 2014: Google comenzó a probar una función que se conoce internamente como el “chip de origen” , su primer intento de evolucionar (o “matar” la URL como la conocemos) la visualización de la URL. Sin embargo, esto fue puesto en espera .
• Enero de 2017: Google comienza a marcar algunos sitios web HTTP como “no seguro”.
• Octubre de 2017: Google comienza a marcar los sitios web HTTP con un cuadro de búsqueda como “no seguro”.
• Julio de 2018: Google comienza a marcar todos los sitios web HTTP como “no seguro”.
• Septiembre de 2018: Google elimina el indicador ‘Seguro’ de las páginas HTTPS.
• Septiembre de 2018: Google elimina ‘www’ en las URL y la ‘m’ (lo que indica que es una dirección de sitio web diseñada para usuarios móviles).
• Septiembre de 2018: Google elimina el esquema ‘file: //’ .
• Septiembre de 2018: Google comienza a mostrar una advertencia roja “No seguro” a los usuarios cuando comienzan a ingresar datos en las páginas HTTP.
• Enero de 2019: Google presenta Trickuri para desarrolladores.
• [fecha aún desconocida]: Google presentará nuevas advertencias de phishing a los usuarios de Chrome.

“… solo plantea demasiadas preguntas”.

Con el nuevo esfuerzo de Google, ¿cómo afectará a los esquemas de redirección? SEO? URLs acortadas?

¿Afectará esto, con el tiempo, el comportamiento de los nuevos usuarios de Internet que ingresan URL en la barra de direcciones? Por ejemplo, ¿qué sucede si no saben que ciertos elementos de la URL están borrados (de manera predeterminada) pero ahora deben escribirse (como ingresar ‘www’) para ir a su destino deseado? ¿Comprenderán el significado de .com o .org si estos elementos se borran de la vista?

¿Cómo pueden los desarrolladores web, propietarios de negocios y consumidores prepararse para estos cambios de URL?

En este momento, hay más incertidumbre que respuestas, ya que Google admite que todavía hay mucho trabajo por hacer. Y basándose en el tono de varios portavoces en las entrevistas, la compañía también espera cierto rechazo y un cierto grado de controversia que pueda surgir de sus esfuerzos. El cambio nunca es fácil.

Vamos a vigilar este URL en la sala , ¿ vale ? Y también sigamos dando comentarios y planteando preguntas. Después de todo, esta es la forma que tiene Google de mantener a los usuarios de Chrome alejados de las amenazas basadas en URL. Si los cambios no se implementan con una precisión cuidadosa, entonces los actores de amenazas pueden encontrar una manera de evitarlos, o al menos confiar en la confusión que resulta de un despliegue deficiente de nuevos procesos.

Si bien el futuro de las URL aún es turbio, una cosa es cierta: los malos saben cómo explotar las debilidades. Por lo tanto, esperamos que, para Google y para todos los usuarios, los cambios en la visualización de URL solo sirvan para fortalecer la postura de seguridad en línea de todos.

Este Día de Internet más seguro, nos unimos a Detectify, la compañía de seguridad de aplicaciones web y piratería ética,  para brindar consejos de seguridad tanto a los usuarios de Internet como a los desarrolladores web. Este artículo está dirigido a empleados de todos los niveles. Si eres un programador que busca crear sitios web seguros, visita el blog de Detectify para leer su guía de encabezados de seguridad HTTP para desarrolladores web .

Cada vez más empresas se están volviendo conscientes de la seguridad y la privacidad, como deberían ser. Cuando en años pasados, los pedidos de los departamentos de TI para un mayor presupuesto de seguridad cibernética cayeron en oídos sordos, este año, las cosas comenzaron a mejorar. De hecho, no hay nada como una serie de violaciones de seguridad para atraer la atención de las personas y los ejecutivos.

Puramente reaccionar a los eventos es un mal horrible enfoque, y las organizaciones que manejan y almacenan información confidencial del cliente han aprendido de la manera difícil. No solo pone a las empresas en modo de extinción de incendios constante, sino que también es una señal de que su actual postura de ciberseguridad puede ser inadecuada y necesita una evaluación y mejora adecuadas.

Parte de mejorar la postura de ciberseguridad de una organización tiene que ver con aumentar la conciencia de sus empleados. Al ser su primera línea de defensa, es lógico educar a los usuarios sobre las mejores prácticas de ciberseguridad , así como sobre las últimas amenazas y tendencias. Además, al  proporcionar a los usuarios un conjunto de estándares para cumplir y mantener esos estándares, las organizaciones pueden  crear una cultura de seguridad intencional .

El desarrollo de estos regímenes de entrenamiento requiere mucho tiempo, esfuerzo y quizás un brazo y una pierna metafóricos. No se desanime. Las empresas pueden comenzar a mejorar su postura de seguridad ahora compartiendo con los empleados una guía útil y útil sobre cómo navegar de forma segura por Internet en el trabajo, ya sea en una computadora de escritorio, una computadora portátil o un teléfono móvil.

Navegación segura por Internet en el trabajo: una guía

Tenga en cuenta que es posible que parte de lo que se enumera a continuación ya esté en la Política de seguridad de Internet para empleados de su empresa, pero en caso de que no tenga una política vigente (aún), la lista a continuación es un buen punto de partida.

Asegúrese de que sus navegadores instalados en la máquina de su trabajo estén actualizados. El departamento de TI puede ser responsable de actualizar los sistemas operativos (SO) de los empleados en dispositivos remotos e internos, así como otros programas críticos para el negocio. Sin embargo, puede que no sea su trabajo actualizar el software que ha instalado usted mismo, como su navegador preferido. La regla número uno cuando se navega por Internet es asegurarse de que su navegador esté actualizado. Amenazas como sitios web maliciosos, anuncios maliciososy kits de explotación pueden encontrar su camino a través de las vulnerabilidades que los navegadores obsoletos dejan atrás.

Mientras lo hace, la actualización de otro software en sus dispositivos de trabajo evita que las amenazas basadas en el navegador encuentren otras formas en su sistema. Si TI no lo cubre, actualice su compresor de archivos, programa anti-malware , aplicaciones de productividad e incluso reproductores de medios. Es una tarea tediosa y, a menudo, lenta, pero, digamos, la actualización es parte de poseer un software. Puede usar un programa de actualización de software para que la prueba sea más manejable. Pero no olvides actualizar tu actualizador, también.

Si tiene programas de software que ya no usa o necesita, desinstálelos. Seamos prácticos: realmente no hay razón para mantener el software si ha dejado de usarlo o si es solo una parte del software que viene con su computadora. También es probable que, dado que no estás usando ese software, está increíblemente desactualizado, por lo que es una vía fácil de explotar para los malos. Así que hazte un favor y deshazte. Ese es un programa menos para actualizar.

Conoce tu navegador y aprovecha al máximo sus funcionalidades.  Los navegadores modernos como Brave, Vivaldi y Microsoft Edge se han lanzado de forma bastante diferente a sus predecesores. Aparte de sus atractivos esquemas de personalización, también presumen de ser seguros (o privados) de forma predeterminada. Por el contrario, los navegadores que han existido durante mucho tiempo siguen mejorando estos aspectos, así como su versatilidad y rendimiento.

Independientemente del navegador que utilice, asegúrese de revisar sus configuraciones (si aún no lo ha hecho) y configúrelas teniendo en cuenta la seguridad y la privacidad. El US-CERT tiene información más detallada sobre cómo proteger los navegadores, que puede leer aquí .

Abstenerse de visitar sitios que sus colegas o jefes desaprueban si miran por encima de su hombro.  La mayoría de los empleados saben que visitar y navegar a sitios que no son seguros para el trabajo (NSFW) es un no-no, pero aún así lo hacen. El problema es que esto no solo da la bienvenida al malware y otras amenazas que se dirigen a los visitantes de dichos sitios, sino que también puede resultar en ser acusado, legítimamente o no, de acoso sexual . La navegación en sitios de naturaleza pornográfica podría hacer que los compañeros de trabajo sean incómodos y, si el comportamiento es generalmente tolerado por los latones, la empresa podría ser objeto de un reclamo de entorno hostil . Así que si los hackers no te asustan, tal vez una demanda lo hará.

Utilice un administrador de contraseñas. Puede parecer que este consejo está fuera de lugar, pero lo incluimos por una razón. Los administradores de contraseñas no solo almacenan una multitud de contraseñas y las mantienen seguras. También pueden impedir que su navegador complete previamente los campos en sitios aparentemente legítimos, pero en última instancia, maliciosos, lo que lo convierte en un improbable protector contra los intentos de phishing. Por lo tanto, la próxima vez que reciba un correo electrónico de su “banco” informándole que hay una infracción y debe actualizar su contraseña, y su administrador de contraseñas se niega a completar esa información, examine la URL en la barra de direcciones con cuidado. Puede que estés en un sitio en el que no quieras estar.

---

Lee: ¿Por qué no necesitas 27 contraseñas diferentes?

---

Considere instalar aplicaciones que actúen como otra capa de protección. Hay un montón de fantásticas aplicaciones de navegador por las que un empleado consciente de la privacidad y la seguridad puede beneficiarse enormemente. Los bloqueadores de anuncios, por ejemplo, pueden eliminar anuncios en sitios que han sido utilizados por actores maliciosos antes en campañas de publicidad maliciosa. Los bloqueadores del rastreador permiten bloquear los rastreadores en los sitios que controlan su comportamiento y recopilan información sobre ellos sin su consentimiento. Los bloqueadores de secuencias de comandos deshabilitan o impiden la ejecución de secuencias de comandos del navegador, que los delincuentes pueden utilizar incorrectamente. Otras aplicaciones, como HTTPS Everywhere , obligan al navegador a dirigir a los usuarios a las versiones HTTPS disponibles de los sitios web.

Considere la posibilidad de sandboxing. Un sandbox es un software que emula un entorno en el que se puede navegar por Internet y ejecutar programas independientemente del punto final real. Normalmente se usa para probar y analizar archivos para verificar si son seguros de implementar y ejecutar.

No estamos diciendo que los empleados deben saber cómo analizar los archivos (aunque con felicitaciones, si puede). Solo los empleados que normalmente abren archivos adjuntos de sus correos electrónicos personales, se topan con sitios que pueden considerarse imprecisos en el mejor de los casos , o que desean revisar los programas de proveedores externos, lo hacen en una configuración segura y aislada de la red de su oficina. Aquí hay una lista de software gratuito de sandbox  que puede leer más sobre si está interesado en probar uno.

Supongamos que eres un objetivo. No muchos empleados quisieran admitir esto. De hecho, puede que no haya cruzado sus mentes hasta ahora. A muchas empresas pequeñas, por ejemplo, les gustaría pensar que no pueden ser blanco de ataques cibernéticos porque los delincuentes no persiguen a “el pequeño”. Pero varias encuestas, inteligencia e investigación cuentan una historia diferente.

Los empleados necesitan cambiar su forma de pensar. Cada vez que nos conectamos al trabajo, ya sea por razones válidas o no, estamos poniendo en riesgo a nuestras empresas. Por lo tanto, debemos tomar la iniciativa de navegar de manera segura, adoptar las mejores prácticas de seguridad cibernética y aceptar sesiones de capacitación con mentes abiertas. Tenga en cuenta que hay mucho en juego en el entorno de la oficina, y que un solo clic del mouse en un enlace defectuoso puede hacer que todo un negocio se caiga. ¿Quieres ser la persona responsable?

Estamos todos juntos en esto

Cuando se trata de evitar que las amenazas en línea se infiltren en la red de su organización y mantengan seguros los datos confidenciales de la empresa y los clientes, es cierto que ya no son solo preocupaciones de TI. La seguridad cibernética y la privacidad son y deberían ser la preocupación de todos los empleados, desde el rango y el archivo hasta el nivel gerencial y ejecutivo .

De hecho, nadie debe estar exento de la capacitación continua en seguridad cibernética, ni los funcionarios de alto rango deben seguir pensando que las políticas de la empresa no se aplican a ellos. Si todos los empleados pueden adherirse a la sencilla guía anterior, creemos que las organizaciones de todos los tamaños ya están en una mejor posición de seguridad que antes. Sin embargo, este es solo el primer paso. Todavía existe la necesidad de que las organizaciones evalúen sus necesidades de ciberseguridad y privacidad, para que puedan invertir efectivamente en herramientas y servicios que ayuden a proteger mejor su entorno de trabajo único. Independientemente de los cambios que decidan implementar que requieran la participación de los empleados, los funcionarios de TI y de alto rango deben asegurarse de que todos participen juntos.

¡Mantenerse a salvo!

Más publicaciones del blog del Día de Internet más seguro:

• Safer Internet Day 2018: bloqueadores de anuncios y anti-trackers
• Celebre un día de Internet más seguro

La semana pasada, publicamos otra en nuestra entrevista con una serie de cazadores de malware , explicamos una vulnerabilidad de FaceTime y nos sumergimos profundamente en un nuevo ladrón . También arrojamos algo de luz   sobre una violación de datos de Houzz , y lo que sucedió exactamente entre Apple y Facebook .

Otras noticias de ciberseguridad.

• Kwik Fit golpeado por malware: especialista en servicio de automóviles se encuentra con problemas cuando los sistemas se desconectan . (Fuente: BBC)
• Mozilla publica una política de seguimiento : Mozilla expande su visión de lo que es y no es aceptableen el seguimiento de la tierra. (Fuente: Mozilla)
• Distracción de los parlantes inteligentes : cómo puede ahogar de manera efectiva a su interlocutor inteligente con un poco de distracción. (Fuente: El Registro)
• Ataque de privacidad dirigido a usuarios de 3/4 / 5G : torres móviles falsas teóricas están de vuelta en el negocio, con una inversión en el monitoreo de las actividades del propietario del dispositivo . (Fuente: Help Net Security)
• Cómo piratearon mi Instagram : una buena advertencia sobre los peligros de la reutilización de la contraseña . (Fuente: Naked Security)
• Ladrones de identidad en las redes sociales : los estafadores no se detendrán ante nada para atraer el corazón y ganar un poco de dinero en el trato. (Fuente: ABC news)
• Otra casa inteligente hackeada : una familia relata su horror al ver que partes de su casa se abren para la diversión de alguien . (Fuente: Komando)
• Mashup de Facebook : los planes para combinar Whatsapp, Instagram y Facebook Messenger se revelancon preguntas de seguridad planteadas. (Fuente: New York Times)
• Los ataques de suplantación de identidad (phishing) continúan aumentando : las preocupantes estadísticas a través de los expertos de seguridad encuestados que coinciden en un gran número en que el phishing está en el mismo nivel o más alto que antes. (Fuente: Mashable)
• Los investigadores descubren un servicio de hospedaje amigable con el malware : después de un aumento en las infecciones, los investigadores rastrean las cosas hasta un host que parecía un ” nido de malware de avispón ” . ”(Fuente: TechCrunch)

Houzz es una plataforma en línea dedicada a la renovación y el diseño de casas. Hoy (1 de febrero de 2019), notificaron a sus clientes sobre una violación de datos que supuestamente ocurrió en diciembre de 2018.

Las violaciones de datos desafortunadamente se han convertido en un evento común. De hecho, apodamos 2018 el año del tsunami de brecha de datos . Además, Houzz no es una corporación gigante con millones de clientes. Entonces, ¿por qué estamos escribiendo sobre esto, puede preguntar? Principalmente porque creemos que hay algunas corporaciones gigantes que pueden aprender de este evento como un ejemplo sobre cómo manejar una violación de datos de manera adecuada.

Giro de vuelta

Descubrir e informar a sus clientes sobre una violación que ocurrió hace menos de dos meses es mucho mejor que lo que hemos visto recientemente. No esperaron a que se terminara la investigación sobre cómo ocurrió la violación. Tan pronto como supieron lo que fue robado, decidieron informar a los afectados. Por supuesto, es imperativo que obtenga esta información en las manos de sus clientes tan pronto como sea posible. Probablemente, este sea el motivo por el cual una investigación forense líder está llevando a cabo la investigación. La policía también ha sido notificada.

Informar a los clientes

Houzz informó a sus clientes directamente por correo electrónico, así como en su sitio web, sobre la violación. Ellos dijeron:

Houzz supo recientemente que un tercero no autorizado había obtenido un archivo que contenía algunos de nuestros datos de usuario.

El correo comienza con esta divulgación, continúa explicando qué sucedió y qué información fue robada. También contiene un enlace a su sitio web, donde puede encontrar más información .

La información proporcionada es concisa y precisa, no solo una observación general de que no se robó información financiera, lo que afortunadamente no fue robada. Houzz incluyó una lista de información que fue robada.

Los siguientes tipos de información podrían haber sido afectados por este incidente:

• Cierta información públicamente visible del perfil Houzz de un usuario solo si el usuario hizo pública esta información (por ejemplo, nombre, apellido, ciudad, estado, país, descripción del perfil)
• Ciertos identificadores internos y campos que no tienen un significado discernible para nadie fuera de Houzz (por ejemplo, país del sitio utilizado, si un usuario tiene una imagen de perfil)
• Cierta información de cuenta interna (p. Ej., ID de usuario, nombres de usuario anteriores de Houzz, contraseñas cifradas unidireccionadas con un nombre único por usuario, dirección IP, ciudad y código postal deducidos de la dirección IP) y cierta información de cuenta disponible públicamente (p. Ej., Nombre de usuario actual de Houzz y si un usuario inicia sesión en Houzz a través de Facebook, la ID pública de Facebook del usuario)

Es importante destacar que este incidente no involucra números de Seguro Social, tarjetas de pago, cuentas bancarias u otra información financiera.

En el sitio web, los clientes pueden encontrar información detallada sobre cómo cambiar su contraseña. Y, como hemos hecho en el pasado, recomiendan a sus clientes que usen una contraseña única para cada servicio,  que no tiene por qué ser una molestia tan grande como cabría esperar.

Mejoras

Houzz anunció mejoras de seguridad sin entrar en detalles. Si bien los clientes pueden encontrar esto vago, tiene sentido retener los detalles, ya que la investigación está en curso, y no querrían que los actores de amenazas sean  más sabios. Al ver que ya estaban usando contraseñas cifradas unidireccionales con una sal única para cada usuario fue ciertamente alentador.

Tratar con las violaciones de datos

Las infracciones de datos ocurren todo el tiempo. Sucede lo mejor de las empresas. Es la forma en que esas organizaciones tratan con ellos lo que puede salvar la cara. Lo que otros negocios pueden quitar de este ejemplo:

• Informe a los clientes tan pronto como tenga sentido y sea preciso sobre la información robada.
• Acércate a tus clientes directamente. No dejes que lo lean en los periódicos o en las redes sociales.
• Involucrar a la policía y una firma especializada en investigaciones forenses.
• Aprende de lo que salió mal y mejora en eso.

Golang (Go) es un lenguaje de programación relativamente nuevo, y no es común encontrar malware escrito en él. Sin embargo, las nuevas variantes escritas en Go están emergiendo lentamente, presentando un desafío para los analistas de malware. Las aplicaciones escritas en este idioma son voluminosas y se ven muy diferentes en un depurador de las compiladas en otros idiomas, como C / C ++.

Recientemente, se observó una nueva variante del malware Zebocry  que se escribió en Go (análisis detallado disponible aquí ).

Capturamos otro tipo de malware escrito en Go en nuestro laboratorio. Esta vez, fue un simple ladrón detectado por Malwarebytes como Trojan.CryptoStealer.Go . Esta publicación proporcionará detalles sobre su funcionalidad, pero también mostrará métodos y herramientas que se pueden aplicar para analizar otros programas maliciosos escritos en Go.

Muestra analizada

Malwarebytes detecta a este ladrón como Trojan.CryptoStealer.Go:

• 992ed9c632eb43399a32e13b9f19b769c73d07002d16821dde07daa231109432
• 513224149cd6f619ddeec7e0c00f81b55210140707d78d0e8482b38b9297fc8f
• 941330c6be0af1eb94741804ffa3522a68265f9ff6c8fd6bcf1efb063cb61196 – HyperCheats.rar (paquete original)
  • 3fcd17aa60f1a70ba53fa89860da3371a1f8de862855b4d1e5d0eb8411e19adf – HyperCheats.exe (paquete UPX)
    • 0bf24e0bc69f310c0119fc199c8938773cdede9d1ca6ba7ac7fea5c863e0f099 – sin empaquetar

Analisis de comportamiento

Bajo el capó, Golang llama a WindowsAPI, y podemos rastrear las llamadas usando herramientas típicas, por ejemplo, marcadores de PIN. Vemos que el malware busca archivos en las siguientes rutas:

"C: \ Users \ tester \ AppData \ Local \ Uran \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Amigo \ User \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Torch \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Chromium \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Nichrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Google \ Chrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ 360Browser \ Browser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Maxthon3 \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Comodo \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ CocCoc \ Browser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Vivaldi \ User Data \"
"C: \ Users \ tester \ AppData \ Roaming \ Opera Software \"
"C: \ Users \ tester \ AppData \ Local \ Kometa \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Comodo \ Dragon \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Sputnik \ Sputnik \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Google (x86) \ Chrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Orbitum \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Yandex \ YandexBrowser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ K-Melon \ User Data \"

Esos caminos apuntan a los datos almacenados de los navegadores. Un hecho interesante es que uno de los caminos apunta al navegador Yandex, que es popular principalmente en Rusia.

La siguiente ruta buscada es para el escritorio:

"C: \ Users \ tester \ Desktop \ *"

Todos los archivos encontrados allí se copian en una carpeta creada en% APPDATA%:

La carpeta “Escritorio” contiene todos los archivos TXT copiados del Escritorio y sus subcarpetas. Ejemplo de nuestra máquina de prueba:

Una vez completada la búsqueda, los archivos se comprimen:

Podemos ver este paquete enviado a C&C (cu23880.tmweb.ru/landing.php):

Dentro

Los binarios compilados de Golang suelen ser grandes, por lo que no es sorprendente que la muestra se haya empaquetado con UPX para minimizar su tamaño. Podemos descomprimirlo fácilmente con el UPX estándar . Como resultado, obtendremos ir binario. La tabla de exportación revela la ruta de compilación y algunas otras funciones interesantes:

En cuanto a esas exportaciones, podemos tener una idea de las bibliotecas estáticas utilizadas en su interior.

Muchas de esas funciones (relacionadas con el trampolín) se pueden encontrar en el módulo sqlite-3: https://github.com/mattn/go-sqlite3/blob/master/callback.go .

La función crosscall2 proviene del tiempo de ejecución de Go y está relacionada con la llamada a las aplicaciones de Go / C ++ ( https://golang.org/src/cmd/cgo/out.go ).

Herramientas

Para el análisis, utilicé IDA Pro junto con los scripts IDAGolangHelper escritos por George Zaytsev. Primero, el ejecutable Go tiene que ser cargado en IDA. Luego, podemos ejecutar el script desde el menú (Archivo -> archivo de script). Luego vemos el siguiente menú, dando acceso a características particulares:

Primero, necesitamos determinar la versión de Golang (el script ofrece algunas heurísticas útiles). En este caso, será Go 1.2. Luego, podemos cambiar el nombre de las funciones y agregar tipos de Go estándar. Después de completar esas operaciones, el código parece mucho más legible. A continuación, puede ver la vista de las funciones antes y después de usar los scripts.

Antes (solo se nombran las funciones exportadas):

Después (la mayoría de las funciones tienen sus nombres resueltos y agregados automáticamente):

Muchas de esas funciones provienen de bibliotecas enlazadas estáticamente. Por lo tanto, debemos enfocarnos principalmente en funciones anotadas como main_*– que son específicas para el ejecutable en particular.

Descripción del código

En la función “main_init”, podemos ver los módulos que se utilizarán en la aplicación:

Está enlazado estáticamente con los siguientes módulos:

• Solicitudes (https://github.com/levigross/grequests)
• go-sqlite3 (https://github.com/mattn/go-sqlite3)
• prueba (https://github.com/manucorporat/try)

Analizar esta función puede ayudarnos a predecir la funcionalidad; Es decir, al mirar las bibliotecas anteriores, podemos ver que se comunicarán a través de la red, leerán las bases de datos SQLite3 y generarán excepciones. Otros inicializadores sugieren usar expresiones regulares, formato zip y leer variables ambientales.

Esta función también es responsable de inicializar y mapear cadenas. Podemos ver que algunos de ellos son descodificados primero en base64:

En la inicialización de cadenas, vemos referencias a carteras de criptomonedas.

Ethereum:

Monero

La función principal del binario de Golang está anotada “main_main”.

Aquí, podemos ver que la aplicación está creando un nuevo directorio (usando una función os.Mkdir). Este es el directorio donde se copiarán los archivos encontrados.

Después de eso, hay varios Goroutines que han comenzado a usar runtime.newproc. (Los goroutines se pueden usar de manera similar a los hilos, pero se manejan de manera diferente. Se pueden encontrar más detalles  aquí ). Esas rutinas son responsables de buscar los archivos. Mientras tanto, el módulo Sqlite se utiliza para analizar las bases de datos con el fin de robar datos.

Luego, el malware lo guarda todo en un solo paquete y, finalmente, el paquete se carga en el C&C.

¿Qué fue robado?

Para ver exactamente en qué datos está interesado el atacante, podemos ver más de cerca las funciones que realizan consultas SQL y ver las cadenas relacionadas.

Las cadenas en Golang se almacenan de forma masiva, en forma concatenada:

Más tarde, una sola porción de dicho volumen se recupera a pedido. Por lo tanto, ver desde qué lugar en el código se hizo referencia a cada cadena no es tan fácil.

A continuación hay un fragmento en el código donde se abre una base de datos “sqlite3” (se recuperó una cadena de la longitud 7):

Otro ejemplo: esta consulta se recuperó del trozo completo de cadenas, con el desplazamiento y la longitud dados:

Echemos un vistazo a los datos que esas consultas intentaban obtener. Al recuperar las cadenas a las que hacen referencia las llamadas, podemos recuperarlas y listarlas todas:

seleccione name_on_card, expiration_month, expiration_year, card_number_encrypted, billing_address_id FROM credit_cards
seleccione * FROM autofill_profiles
seleccione el correo electrónico DE autofill_profile_emails
seleccione el número de autofill_profile_phone
seleccione first_name, middle_name, last_name, full_name FROM autofill_profile_names

Podemos ver que la base de datos de cookies del navegador se consulta en los datos de búsqueda relacionados con transacciones en línea: números de tarjetas de crédito, fechas de vencimiento, así como datos personales como nombres y direcciones de correo electrónico.

Las rutas a todos los archivos que se buscan se almacenan como cadenas base64. Muchos de ellos están relacionados con carteras de criptomonedas, pero también podemos encontrar referencias al mensajero de Telegram.

Software \\ Classes \\ tdesktop.tg \\ shell \\ open \\ command
\\ AppData \\ Local \\ Yandex \\ YandexBrowser \\ Datos del usuario \\
\\ AppData \\ Roaming \\ Electrum \\ wallets \\ default_wallet

\\ AppData \\ Local \\ Torch \\ Datos del usuario \\
\\ AppData \\ Local \\ Uran \\ Datos del usuario \\
\\ AppData \\ Roaming \\ Opera Software \\
\\ AppData \\ Local \\ Comodo \\ Datos del usuario \\
\\ AppData \\ Local \\ Chromium \\ Datos del usuario \\
\\ AppData \\ Local \\ Chromodo \\ Datos del usuario \\
\\ AppData \\ Local \\ Kometa \\ Datos del usuario \\
\\ AppData \\ Local \\ K-Melon \\ Datos del usuario \\
\\ AppData \\ Local \\ Orbitum \\ Datos del usuario \\
\\ AppData \\ Local \\ Maxthon3 \\ Datos del usuario \\
\\ AppData \\ Local \\ Nichrome \\ Datos del usuario \\
\\ AppData \\ Local \\ Vivaldi \\ Datos del usuario \\
\\ AppData \\ Roaming \\ BBQCoin \\ wallet.dat
\\ AppData \\ Roaming \\ Bitcoin \\ wallet.dat
\\ AppData \\ Roaming \\ Ethereum \\ keystore
\\ AppData \\ Roaming \\ Exodus \\ seed.seco
\\ AppData \\ Roaming \\ Franko \\ wallet.dat
\\ AppData \\ Roaming \\ IOCoin \\ wallet.dat
\\ AppData \\ Roaming \\ Ixcoin \\ wallet.dat
\\ AppData \\ Roaming \\ Mincoin \\ wallet.dat
\\ AppData \\ Roaming \\ YACoin \\ wallet.dat
\\ AppData \\ Roaming \\ Zcash \\ wallet.dat
\\ AppData \\ Roaming \\ devcoin \\ wallet.dat

Malware grande pero poco sofisticado

Algunos de los conceptos utilizados en este malware nos recuerdan a otros ladrones, como Evrial, PredatorTheThief y  Vidar . Tiene objetivos similares y también envía los datos robados como un archivo ZIP a C&C. Sin embargo, no hay pruebas de que el autor de este ladrón esté vinculado de alguna manera con esos casos.

Cuando echamos un vistazo a la implementación, así como a la funcionalidad de este malware, es bastante simple. Su gran tamaño proviene de muchos módulos compilados estáticamente. Posiblemente, este malware se encuentra en las primeras etapas de desarrollo; es posible que su autor haya empezado a aprender Go y esté experimentando. Estaremos atentos a su desarrollo.

Al principio, el análisis de una aplicación compilada por Golang puede parecer abrumador, debido a su enorme base de código y su estructura desconocida. Pero con la ayuda de herramientas adecuadas, los investigadores de seguridad pueden navegar fácilmente por este laberinto, ya que todas las funciones están etiquetadas. Como Golang es un lenguaje de programación relativamente nuevo, podemos esperar que las herramientas para analizarlo maduren con el tiempo.

¿El malware escrito en Go es una tendencia emergente en el desarrollo de amenazas? Es un poco demasiado pronto para decirlo. Pero sí sabemos que el conocimiento del malware escrito en nuevos idiomas es importante para nuestra comunidad.

En nuestra serie ” Entrevista con un cazador de malware “, nuestra función principal hoy es para Jérôme Segura , Jefe de Inteligencia de amenazas de Malwarebytes e investigador de kits de explotación de renombre mundial. El objetivo de esta serie es presentar a nuestros lectores a nuestro equipo de inteligencia de malware al involucrarlos en estas sesiones de preguntas y respuestas. Entonces empecemos.

¿De dónde eres y dónde vives ahora?

Nací y crecí en Francia. Después de graduarme de la universidad, me mudé a América del Norte, donde vivo actualmente.

Eres el más famoso por tu kit de búsqueda de exploits. ¿Cómo te involucraste en ese campo?

Creo que primero entré en los kits de exploits alrededor de 2007. Estaba trabajando para una pequeña empresa y mi trabajo era encontrar nuevas muestras de malware. Recuerdo que aprendí acerca de las descargas de drive-by y leí un libro importante: Virtual Honeypots: desde el rastreo de redes de bots hasta la detección de intrusiones por Niels Provos y Thorsten Holz.

Después de leer este libro, escribí un prototipo muy básico para un honeypot que capturaría las cargas útiles de los ataques drive-by.

Esto ocurre casi al mismo tiempo que descubrí la herramienta de depuración web Fiddler que he usado casi a diario desde entonces.

¿Hay algún otro campo que tenga su interés especial?

A lo largo de los años, he sentido curiosidad por los diferentes campos que han surgido, principalmente por casualidad. Por ejemplo, cuando comencé a trabajar de forma remota, una vez recibí una llamada telefónica de estafadores de asistencia técnica. Si bien podría haberlo olvidado, me impresionó tanto que me llevó a escribir más de 30 publicaciones de blog sobre el tema y trabajar con la FTC para cerrar una operación multimillonaria en los Estados Unidos.

¿Se especializó en ciencias de la computación? ¿O se cambió a la ciberseguridad más tarde?

Me gradué con una maestría en sistemas de información, que en ese momento no era específica de informática (por cierto, obtuve mi primera computadora a los 18 años de edad), pero también incluía derecho, economía e incluso cosas como contabilidad. La ciberseguridad surgió mucho más tarde.

¿Cuánto tiempo has sido investigador de seguridad?

He hecho investigación de malware durante unos 12 años.

¿Cómo terminaste trabajando para Malwarebytes?

Después de trabajar para la misma compañía durante varios años, me encontré necesitando una nueva oportunidad. A pesar de que los sitios de redes sociales no eran tan grandes en ese momento, fue a través del mensaje de Twitter del malwarenaut Mieke [Director de Investigación de Malwarebytes] que llegué aquí.

¿Cuál es el descubrimiento más interesante / impactante que has hecho como investigador?

Eso es difícil de decir. Hay un trabajo que he hecho que fue muy interesante y al que le dediqué mucho tiempo, pero tal vez no tuvo tanto impacto o no se publicó.

¿Cuál es el mayor “fracaso” de ciberseguridad que has presenciado?

Todos los días suceden muchas fallas, pero creo que lo que más me impactó fue ver las malas prácticas de seguridad en persona. Por ejemplo, al ver que las computadoras en el hospital quedaron desbloqueadas, ejecutando software obsoleto. Los mismos donde los médicos almacenan sus registros personales y de salud.

Al mismo tiempo, entiendo que la falta de conciencia o los presupuestos pequeños son algunas de las razones por las que esto está sucediendo, y las personas individuales no siempre tienen la culpa.

¿Puede darnos una idea de cómo es una jornada laboral típica para usted?

Lo interesante de nuestro trabajo es que hay un elemento inesperado que se refleja en gran medida en el calendario del día. Podría estar revisando los registros o respondiendo a los correos electrónicos cuando surja algo y necesite su atención inmediata.

De lo contrario, gran parte del trabajo consiste en verificar varios indicadores para tener una idea de lo que está sucediendo y luego profundizar cuando algo parece nuevo.

¿Qué tipo de habilidades necesita una persona para ser un investigador de inteligencia de malware?

Hay muchos conjuntos de habilidades diferentes que se pueden aplicar para ser un investigador de inteligencia de malware. Nuestro campo es vasto y pocas personas pueden afirmar que poseen todas las habilidades diversas que existen. Personalmente, diría que la atención a los detalles y la persistencia son cualidades realmente valiosas para tener. Muchas otras habilidades se pueden enseñar más adelante.

¿Qué consejo tienes para las personas que quieren entrar en el campo?

Hay algunos jóvenes que han acudido a mí en el pasado pidiéndome consejos sobre cómo entrar en este campo. Siempre les digo que mantengan la curiosidad, sigan aprendiendo y publiquen su trabajo y descubrimientos. Una de las mejores cosas que puede hacer es exponerse mostrando su oficio a personas externas. Si te mantienes en ello, eventualmente dará sus frutos.

La semana pasada, en el blog Malwarebytes Labs, echamos un vistazo a Modlishka , el último obstáculo en la autenticación de dos factores (2FA) , el potencial de abuso de notificaciones push , una combinación de malware y phishing con el nombre de CryTekk ransomware , y por qué detectar PUP, pero hacer cumplir el poder de elección de los usuarios.

También publicamos el informe 2019 State of Malware, que puede descargar fácilmente aquí .

Otras noticias de ciberseguridad.

• Quincena, el videojuego muy popular, utiliza la moneda del juego. Y esto, según ha descubierto The Independent , está alimentando los planes de lavado de dinero . (Fuente: PYMNTS.com)
• Gracias a la nueva ley de privacidad del Reglamento General de Protección de Datos (GDPR), un regulador francés impuso multas a Google por un monto de € 50 millones ($ 56.8 millones) por no obtener el consentimiento suficiente del usuario para la recopilación de datos y la publicidad dirigida. (Fuente: The Wall Street Journal)
• Un inteligente dispositivo malicioso móvil que afecta a los dispositivos Android es capaz de eludir los emuladores , herramientas que los investigadores de seguridad utilizan para estudiar aplicaciones potencialmente maliciosas, ejecutándose solo cuando detecta el dispositivo en el que está instalado. (Fuente: Ars Technica)
• Una lista recientemente lanzada de las principales aplicaciones obsoletas (también conocidas como vulnerables) instaladas en sistemas informáticos incluye varios productos de Adobe, Skype, Firefox y VLC. Si tiene alguno de estos instalados, ahora es un buen momento para actualizarlos. (Fuente: Help Net Security)
• El reconocimiento automático de matrículas (ALPR), o el reconocimiento automático de matrículas (ANPR) en el Reino Unido, son cámaras que rastrean las matrículas. Y algunos de ellos están conectados a Internet , filtrando datos confidenciales y vulnerables a los ataques. (Fuente: TechCrunch)
• Debido a las debilidades de autenticación en GoDaddy , el registro de nombres de dominio más grande del mundo, el spam disruptivo, el malware y las campañas de phishing que aprovechan los sitios web inactivos que son propiedad de marcas confiables son posibles. (Fuente: KrebsOnSecurity)
• El fabricante japonés de automóviles, Mitsubishi, ha creado su propia tecnología de ciberseguridad para automóviles , que está inspirada en defensas diseñadas para sistemas en infraestructuras críticas. (Fuente: Semana de la Seguridad)
• Investigadores de la Universidad de Tecnología de Chipre, la Universidad de Alabama en Birmingham, Telefónica Research y la Universidad de Boston, escribieron un artículo y crearon un algoritmo de clasificación de aprendizaje profundo que protege a los niños de los videos en YouTube al detectar contenido perturbador . (Fuente: Bleeping Computer)
• Una nueva campaña de phishing de correo de voz que utiliza mensajes grabados adjuntos a correos electrónicos está engañando a los destinatarios para que verifiquen sus contraseñas dos veces para confirmar la legitimidad de las credenciales. (Fuente: Bleeping Computer)
• Un nuevo ataque convincente que abusa del motor de aplicaciones Google Cloud Platform (GCP) sale a la luz, que se encuentra dirigido principalmente a organizaciones del sector financiero . El grupo Cobalt Strike está detrás de esta campaña. (Fuente: Dark Reading)