Archivo mensual octubre 2018

  • Inicio   /  2018   /  
  • octubre
    • ( Página2 ) ( Página2 )
Pormalwarebytes

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

6 maneras de mantenerse al día con la ciberseguridad sin volverte loco

Publicado: 11 de octubre de 2018 por 
Última actualización: 10 de octubre de 2018

A medida que nos sumergimos de lleno en el Mes Nacional de Concientización sobre  la Seguridad Cibernética , parece adecuado discutir formas de estar al tanto de los avances en la ciberseguridad moderna y la privacidad. ¿Cuál es la mejor manera de estar protegido? ¿Cómo puedes determinar si algo es una estafa? ¿Qué gran compañía ha sido violada ahora?

El tema de la seguridad se encuentra en gran medida en muchas industrias, blogs y canales de noticias, simplemente debido a la situación actual. Parece que todos los días nos enteramos de una nueva brecha importante de datos, que afecta a miles, si no a millones, de personas. Desde minoristas como Target hasta sitios de redes sociales como Facebook hasta agencias de crédito más importantes como Equifax,ninguna es segura.

La naturaleza incontrolada de los ataques, junto con el ciclo de noticias 24/7, hace que sea absolutamente abrumador mantenerse al día con toda la información de ciberseguridad lanzada hacia nosotros. El lanzamiento generalizado de nuevos ataques, violaciones de datos, fallas en los sistemas y uso de malware ha llevado a muchos a una sensación de fatiga por la seguridad . Básicamente, todos estamos en un punto en el que estamos hartos de escucharlo, y francamente estamos decepcionados con muchas compañías e individuos que continuamente no protegen los datos de los que son responsables.

Fatiga o no, no debemos ignorar colectivamente lo que está sucediendo en el mundo de la ciberseguridad en este momento. Todos tenemos el deber de no solo protegernos a nosotros mismos, sino también a nuestras comunidades, países y el mundo manteniéndonos al tanto. Puede contribuir manteniendo su conocimiento actualizado y empleando algunas estrategias simples para capturar la buena información y eliminar la mala.

1. Seguir a los profesionales de la seguridad y personas influyentes.

Vivimos en la era de la información, donde el conocimiento es digital, se registra y transmite para la posteridad, se almacena en servidores gigantes y está disponible a la entrada de un término de búsqueda. Puede adquirir nueva información y ampliar su conocimiento de diversas maneras, de acuerdo con sus métodos preferidos.

Por ejemplo, puede obtener información de fuentes más tradicionales, como  sitios web de noticias y blogs de expertos en seguridad , pero también puede recurrir a las redes sociales, asistir a seminarios web y conferencias, o comunicarse directamente con alguien bien versado en este campo.

Incluso podría plantearlo en el enfriador de agua de la oficina o conversando con los padres en la escuela de su hijo: la ciberseguridad está cubierta tanto en los medios de comunicación ahora que se ha convertido en el forraje de las conversaciones habituales. Muchos discutirán alegremente más que el último incumplimiento, posiblemente elaborando un debate sobre qué solución de seguridad es la mejor o ofreciendo formas en las que puede protegerse de un ataque .

Independientemente de lo que elija, querrá seguir a algunos de los mejores profesionales de seguridad para obtener la mejor orientación. Algunos de mis favoritos incluyen:

2. Navegar por temas de redes sociales relacionados con la seguridad.

La mayoría de las redes sociales son excelentes recursos para desenterrar contenido adicional, como noticias (reales), videos, opiniones y otras publicaciones. Además, son el hogar de un tesoro de información complementaria sobre eventos locales, nacionales y mundiales, oportunidades profesionales, las principales empresas de ciberseguridad y más. Por supuesto, las redes sociales no son el único lugar del que querrá obtener información, pero puede servir como complemento de algunos de los otros canales en esta lista.

Twitter es especialmente útil si sabes qué tendencias y hashtags buscar, así como a quién seguir . Le permite ver discusiones sobre eventos actuales en tiempo real para que pueda estar justo allí, en el momento, cuando las cosas se desarrollan.

Las listas de Twitter también son excelentes para crear un canal de contenido. Puede especificar qué proveedores de seguridad, influenciadores y desarrolladores le gustaría estar en su lista (o listas), y filtrar los Tweets en consecuencia. Las listas tienen el beneficio adicional de eliminar el ruido que no es pertinente para un grupo en particular; puede enfocarse en un solo tema o comunidad.

3. Asistir a eventos en vivo.

Lo creas o no, hay un gran mercado para eventos de ciberseguridad en persona y en vivo. Esto incluye mucho más que conferencias o «contras». También puede asistir a conferencias, debates, talleres, eventos de redes, cursos educativos o reuniones patrocinadas.

Los eventos basados ​​en la Web presentan otra gran avenida, como los seminarios web y las llamadas de conferencia de la comunidad en línea. Algunos de los mejores oradores de ciberseguridad en vivoasistirán a tales eventos o se les pedirá que participen, y es lógico que pueda aprender mucho de cualquiera de ellos.

Entonces, ¿cómo encontrar tales eventos? Tienes que mantenerte pulsado cuándo, dónde y qué sucede a tu alrededor. Los periódicos locales son excelentes recursos para los listados de eventos. Y, por supuesto, siempre hay Google de confianza. Afortunadamente, algunos de los otros canales mencionados en este artículo también lo ayudarán a mantenerse informado.

4. Revisar las alertas de vulnerabilidad y riesgo.

Uno no puede exagerar la necesidad de permanecer al tanto de las vulnerabilidades de seguridad descubiertas en tecnologías nuevas y antiguas, especialmente para los propietarios de negocios. Los navegadores web, aplicaciones, software, sistemas operativos y una variedad de herramientas personales o profesionales que usa pueden haber sido comprometidos o atacados.

Debe hacer un hábito de verificar las alertas de vulnerabilidad y los sitios de asesoramiento para garantizar la protección de sus datos personales y corporativos. Aquí hay una lista rápida:

Si el control regular de estas fuentes resulta abrumador, otro enfoque sería simplemente mantener sus programas actualizados en todo momento para que no haya ninguna posibilidad de que un ciberdelincuente pueda explotar la vulnerabilidad y acceder a su máquina.

5. Escuchar un podcast

Todos llevamos vidas ocupadas, tal vez no tenga tiempo para leer artículo tras artículo. Pero, ¿qué pasa con el tiempo que pasas conduciendo, caminando o viajando? Los podcasts llenan muy bien este tiempo, ya que puedes escucharlos en movimiento y realizar múltiples tareas mientras lo haces.

Los podcasts se pueden encontrar, y escuchar, a través de una variedad de canales, incluidas aplicaciones multimedia, bibliotecas de música como iTunes o Spotify, Amazon o incluso YouTube.

6. Personaliza tus propias alertas en tiempo real.

Al utilizar una herramienta como IFTTT, que significa Si esto es así, puede configurar alertas personalizadas para todo lo relacionado con la ciberseguridad.

El subreddit r / netsec , por ejemplo, es uno de los foros más populares para noticias e información sobre ciberseguridad. Puede configurar IFTTT para que le envíe notificaciones automáticas o correos electrónicos cuando algo gana popularidad en el subreddit. Los titulares aparecerán en la barra de tareas de su dispositivo móvil, lo que le permitirá evaluar si la historia vale su tiempo o no.

El ejemplo de r / netsec es solo uno de muchos, por supuesto. Puede configurar cualquier sitio de confianza o foro de la comunidad para que le envíe alertas a través de fuentes RSS como mejor le parezca.

Solo sigue consumiendo

Si desea permanecer lo más cerca posible de la seguridad cibernética, siga consumiendo contenido, ya sea leyendo, escuchando, hablando, viendo videos o asistiendo a eventos en vivo. Comprenda que a medida que aprende, la industria continuará evolucionando, por lo que mantenerse al tanto de los desarrollos de ciberseguridad significa adaptarse a un panorama en constante cambio. Lamentablemente, ya no es suficiente echar un vistazo a un artículo y llamarlo un día.

Si bien, comprensiblemente, no tendrá el tiempo ni la inclinación para invertir cada hora de vigilia en sus actividades de ciberseguridad, puede permanecer informado sin perder la cabeza al curar y agilizar la información en línea y recurrir a fuentes en las que confía. Hay muchas maneras de volverte loco. Aprender más sobre la ciberseguridad no debería ser uno de ellos.

Pormalwarebytes

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Cuando la detección y respuesta de punto final (EDR) no es suficiente

Publicado: 9 de octubre de 2018 por 
Última actualización: 8 de octubre de 2018

A medida que los ciberdelincuentes continúan validando la realidad de que ningún control de seguridad basado en la prevención detendrá todas las amenazas cada vez, las compañías se están expandiendo más allá de los enfoques de solo prevención y están cerrando la brecha con las soluciones de detección y respuesta de puntos finales.

Pero al considerar esta estrategia, una pregunta urgente es: ¿Qué tan grande es la brecha? Si la seguridad de la prevención no es 100% efectiva, ¿cuán efectiva es? Una percepción popular de las empresas es que la seguridad de la prevención es aproximadamente un 98 por ciento efectiva, con solo un 2 por ciento de las amenazas que pasan. Sin embargo, la realidad es mucho peor.

Debido a que nuestro producto se utiliza con mayor frecuencia para la reparación de malware en puntos finales de negocios, contamos con una amplia telemetría en esta brecha en la que las tecnologías de protección de puntos finales actuales no logran mantener a las organizaciones seguras. Nuestros datos muestran que el software actual del proveedor de la plataforma de protección de puntos finales es aproximadamente un 40 por ciento efectivo, basado en los puntos finales que usan Malwarebytes para la limpieza. Eso significa que se descubrió que el 60 por ciento de esos puntos finales albergan amenazas ocultas, incluidos troyanos, puertas traseras y rootkits.

Enmarcar el tamaño de la brecha es importante porque ayuda a las organizaciones a priorizar las capacidades que necesitan en su solución de detección y respuesta de puntos finales (EDR), es decir, remediación automática y completa.

Hasta hace poco, las organizaciones han recurrido a EDR para obtener una mayor visibilidad de lo que está sucediendo en los puntos finales. Si bien es útil e importante, la visibilidad no proporciona una solución de éxito para una reparación rápida y efectiva. Los equipos de respuesta a incidentes (IR) aún enfrentan desafíos cuando administran múltiples plataformas, persiguen alertas falsas y manejan manualmente el proceso de remediación.

La falta de visibilidad y la rápida remediación de amenazas conducen a largos tiempos de permanencia de la infección. De hecho, según los equipos de IR entrevistados para la encuesta de respuesta a incidentes SANS 2017, el 28 por ciento informa que el tiempo desde la detección hasta la remediación es de 6 a 24 horas. El panorama es mucho más sombrío en el Informe de Investigaciones de Incumplimiento de Datos de Verizon de 2018 , donde más del 70 por ciento de las organizaciones se vieron conformadas por una brecha en cuestión de minutos, pero el descubrimiento de esa brecha tomó meses  para el 60 por ciento de los encuestados. Un 30 por ciento adicional tardó días en contener una violación después del descubrimiento y un 10 por ciento aún sólido tomó meses adicionales para controlar su brecha.

Además de tiempo de permanencia, la propia reparación manual es, a menudo con un proceso de re-imagen prolongada para los equipos de IR, que consume muchos recursos y mucha pérdida de productividad de los empleados, por no mencionar la tediosa reinstalación de aplicaciones de usuario final y la personalización de configuraciones personales.

Hay una manera mejor

Las rupturas son inevitables, y el verdadero tamaño de la brecha de prevención es mucho más grande de lo que muchos creen. Como tal, las capacidades de remediación son esenciales para las organizaciones de hoy. Para cerrar realmente la brecha y remediar las amenazas ocultas, la parte de «respuesta» de las soluciones EDR debe ir más allá de la alerta para corregir realmente el punto final.

Y eso es lo que pretendemos hacer con Malwarebytes Endpoint Protection and Response. Al utilizar un único agente unificado para brindar protección, detección y respuesta de puntos finales, nuestra solución alivia eficazmente los desafíos de la experiencia y elimina la brecha de resolución. Nuestro producto consta de tres componentes clave:

1. Prevenir

Malwarebytes Endpoint Protection and Response utiliza un enfoque de siete capas, Multi-Vector Protection (MVP), que incluye técnicas de detección tanto estáticas como dinámicas , para buscar una amplia gama de amenazas emitidas a través de diferentes vectores de ataque.

2. Detectar

Nuestra solución proporciona monitoreo y visibilidad de los puntos finales utilizando la detección de anomalías de aprendizaje automático combinada con una puntuación agresiva de detección de anomalías, que se integra con nuestra detonación de la caja de arena en la nube.

3. responder

Malwarebytes va más allá de alertar y, de hecho, soluciona el problema con una remediación completa e incluso un retroceso para las infecciones de ransomware. Nuestra respuesta rápida y efectiva incluye la eliminación completa de infecciones y artefactos, todo con un impacto mínimo para el usuario final.

El resultado son capacidades de protección avanzadas más capacidades de EDR, empaquetadas no solo con visibilidad de las amenazas, sino también con la capacidad de remediar rápidamente esas amenazas y corregir los puntos finales.

Malwarebytes no es como otras compañías de seguridad. Con remediación en nuestro ADN, hacemos todo lo que está a nuestro alcance para detener los ataques antes de que ocurran, pero nunca asumimos que los cibercriminales no encontrarán la manera de hacerlo. Es por eso que nos hemos centrado en ser los mejores en encontrar y eliminar amenazas conocidas y desconocidas.

Obtenga más información sobre cómo remediar amenazas con Malwarebytes Endpoint Protection and Response .

Pormalwarebytes

Malware sin archivo: obtener información sobre esta amenaza insidiosa Parte 1

Malware sin archivo: obtener información sobre esta amenaza insidiosa

Malware sin archivo: obtener información sobre esta amenaza insidiosa

Publicado: 29 de agosto de 2018 por 
Última actualización: 5 de octubre de 2018

Tradicionalmente, los ataques de malware, como siempre los hemos conocido, son archivos escritos en disco de una forma u otra que requieren ejecución para llevar a cabo su alcance malicioso. El malware sin archivo, por otra parte, está destinado a ser residente de la memoria, idealmente sin dejar rastro después de su ejecución. La carga maliciosa existe de forma dinámica y pura en la memoria RAM, lo que significa que nunca se escribe nada directamente en el HD.

El objetivo de todo esto para el atacante es hacer difícil la investigación forense posterior a la infección. Además, esta forma de ataque hace que sea casi imposible que las firmas antivirus activen una detección. En algunos casos específicos, al igual que con SamSam , la única forma de recuperar una muestra para analizar sería atrapar el ataque en vivo. Este es uno de los mayores desafíos cuando se trata de malware sin archivos.

Malware sin archivo: la serie

En esta serie de artículos, analizaremos en profundidad los detalles técnicos de todos los tipos de malware sin archivos y sus ataques relacionados. Cubriremos una breve descripción de los problemas y las características generales del malware sin archivos, sentando las bases para el análisis técnico en profundidad específico de varias muestras que emplean métodos sin archivos. Finalmente, terminaremos con algunas condiciones y ataques teóricos sin archivos.

Evolución de los ataques sin archivo.

Antes de continuar, sería beneficioso echar un vistazo a un artículo que escribimos hace un par de años, que cubre los aspectos básicos de los ataques sin archivo.

Ahora, los ataques sin archivos no son necesariamente algo nuevo, ya que vimos el malware residente en la memoria en la naturaleza hace más de 15 años. Un ejemplo es el Lehigh Virus , en el que “llena una parte no utilizada del código del archivo del host en su espacio de pila, sin causar un aumento en el tamaño del host. Puede infectar otro archivo COMMAND.COM si se inserta un disco DOS mientras el virus está en la memoria «.

Sin embargo, a medida que pasa el tiempo, las técnicas y herramientas utilizadas para llevar a cabo estos ataques son cada vez más avanzadas. De hecho, esta evolución es lo que ha hecho que el malware sin archivos reciba mucha atención entre los expertos en seguridad en los últimos años.

La progresión a lo largo de los años ha sido interesante:

  • Como se mencionó con Lehigh, el infector de virus en realidad contenía el código malicioso y la carga útil que se ejecuta en la memoria.
  • Avanzando en el tiempo, un malware como Poweliks  usó una Runkey “NULL” (que hace que el contenido sea invisible) en el registro para ejecutar JavaScript y usó PowerShell para ejecutar un script codificado oculto en otras partes del registro. Esencialmente, la carga útil se almacenó en el registro, recuperando, decodificando y ejecutando solo durante el tiempo de ejecución.
  • Los kits de exploits de hoy en día, como Magnitude EK , pueden transmitir la carga útil y ejecutarse sin dejarla caer en el disco primero.
  • Malware como DNSMessenger  recupera el script malicioso de PowerShell de un servidor C2.
  • SamSam  escribe una carga útil de malware cifrada en el disco, y solo se desencripta cuando el atacante ejecuta manualmente un script que alimenta la contraseña de descifrado.

El problema con el malware sin archivos.

Cuando un equipo de SOC o un ingeniero de seguridad interno supervisa la red de una empresa y recibe una alerta de actividad sospechosa durante la búsqueda de amenazas, solo pueden esperar que exista un malware tradicional basado en archivos. ¿Por qué? Es mucho más fácil para ellos poder rastrear qué daño se ha hecho, así como el alcance del ataque.

Tener rastros de un malware basado en archivos en la red le da al equipo de SOC un punto de partida definitivo para revisar. Estos archivos permiten a los ingenieros rastrear los orígenes del malware y, por lo general, dan una idea clara de cómo se violó la red. Ya sea a través del correo electrónico vinculado a una descarga malintencionada o al compromiso del sitio web, tener el historial de archivos proporciona una línea de tiempo clara que hace que el trabajo sea mucho más fácil. Aún más, tener el binario permite a los equipos de SOC analizar el código y ver exactamente qué sucedió, y qué sistemas y datos fueron seleccionados.

Me gusta hacer la comparación de malware sin archivos con un ataque manual que un pirata informático podría realizar si obtiene acceso directo a una máquina remota. El malware sin archivos es, en muchos sentidos, idéntico al enfoque de piratería manual, pero en lugar de tener que rastrear a la víctima remota, el malware sin archivos se puede ejecutar automáticamente. En muchos casos, el malware sin archivos utiliza exactamente las mismas herramientas que utiliza el pirata informático.

Por ejemplo, un ataque que usa la ejecución del script de PowerShell usa herramientas integradas de Windows para realizar actividades maliciosas. Dado que las herramientas como PowerShell suelen estar en la lista blanca (ya que se utilizan a diario para actividades no maliciosas), tanto los atacantes manuales como el malware sin archivos tienen una herramienta gratuita a su disposición para llevar a cabo el ataque. Esto hace que la actividad maliciosa sea mucho más difícil de rastrear para un equipo SOC. No hay ningún archivo para rastrear la historia de. El ingeniero de seguridad ahora debe mirar otros artefactos y eventos registrados para intentar llegar a una conclusión. Ya sea un ataque sin archivo o una violación manual, deja al ingeniero de seguridad con el mismo problema.

Mitigación

Ahora, hay maneras de ayudar a combatir esto. Sigo llamándolo un problema porque el manejo y la prevención de este tipo de ataques son un proceso continuo. La diferencia entre el uso benigno de PowerShell y el uso malicioso a veces puede ser mínima. Un ojo no entrenado puede mirar la ejecución y la actividad de PowerShell y no darse cuenta de que es malicioso en absoluto.

Alternativamente, ocurre exactamente lo contrario. El observador puede mirar un registro de actividad benigno y pensar que es sospechoso. El hecho de que discernir entre estas dos condiciones sea difícil incluso para los expertos en seguridad es la razón por la cual este problema es increíblemente difícil de resolver con la tecnología moderna. Estos tipos de ataques crean un escenario donde la solución no es una ciencia exacta. Es un problema que está en curso y se siguen realizando avances.

Como mencioné antes, algunos de estos ataques crean un escenario de «vivir fuera de la tierra» en el sentido de que aprovechan las herramientas integradas de Windows. Debido a esto, un método para evitar este ataque sería identificar la amenaza en su punto de entrega, antes de que entre en el sistema.

Déjame elaborar un poco. En el ejemplo de la explotación sin archivos / en el navegador, es importante primero intentar y bloquear el ataque antes de que comience. Es por esto que Malwarebytes desarrolló tecnología como la mitigación de explotaciones en sus programas de software . Supervisar la memoria y examinar la cadena de ejecución es un gran primer paso para poder bloquear genéricamente estos ataques. Nuestra tecnología de mitigación de explotaciones ha demostrado históricamente ser efectiva contra este tipo de ataque. Sin embargo, incluso si el código puede infectar el sistema, una buena solución de protección de punto final puede identificar la actividad anómala, rastrear el código oculto y eliminarlo del sistema, lo que interrumpirá la capacidad del malware para reiniciarse después del reinicio.

Como expliqué, la lucha continúa, por lo que una gran parte de asegurarse de que estas amenazas no puedan causar daño es también responsabilidad del equipo de SOC. La aplicación de parches y la habilitación del registro y el control de acceso son una precaución necesaria. El mantenimiento a veces puede hacer toda la diferencia como la primera y última línea de defensa. Esto también ayudará a acelerar el tiempo de reacción en caso de un compromiso.

Series futuras: tipos sin archivos y semi-sin archivos.

El enfoque del resto de esta serie será cubrir los tipos de malware sin archivos y los ataques de los últimos cinco años. Las técnicas utilizadas en este grupo son las más comunes y proporcionan una mejor preparación y un conocimiento útil al tratar con futuros ataques de malware sin archivos.

Además, veremos no solo el malware sin archivos, sino también algunos ataques sin archivos. Por ejemplo,  Kovter usa caracteres no ASCII para crear claves de registro ilegibles que contienen JavaScript confuso. En este caso, el script malicioso técnicamente existe en el disco como claves de registro, sin embargo, no es un archivo en el disco en el sentido tradicional.

SamSam  es otro tipo de malware que considero casi sin archivos, ya que después de obtener los archivos involucrados en el ataque, todavía no tiene suficiente información para analizar la carga útil. Si bien hay algunos archivos en el disco, como los cargadores y las cargas útiles cifradas, la carga útil es inaccesible a menos que intercepte el script que inició toda la cadena de eventos.

Sintonice la segunda parte de esta serie, en la que cubriremos los detalles técnicos de las diversas tácticas y técnicas utilizadas en los ataques sin archivos de la actualidad a través de algunas demostraciones personalizadas.

Pormalwarebytes

LoJack el Malware para ordenadores utilizados para atacar organismos gubernamentales europeos.

LoJack para ordenadores utilizados para atacar organismos gubernamentales europeos.

LoJack para ordenadores utilizados para atacar organismos gubernamentales europeos.

Publicado: 4 de octubre de 2018 por 
Última actualización: 3 de octubre de 2018

Los investigadores de seguridad han detectado la primera instancia conocida de un kit de arranque UEFI que se utiliza en campañas dirigidas contra entidades gubernamentales en Europa Central y Oriental. El ataque se enfoca en computadoras habilitadas para UFEI y se basa en un mecanismo de persistencia que ha sido robado de un software legítimo, pero a menudo cuestionado , llamado Computrace que viene de forma predeterminada en muchos sistemas informáticos.

Este agente Computrace de Absolute Software es un servicio diseñado para recuperar computadoras perdidas o robadas, cuya tecnología subyacente se basa en el Sistema de recuperación de vehículos robados LoJack . En 2005, Absolute Software obtuvo la licencia del nombre LoJack y la tecnología de seguimiento posterior para ayudar en los esfuerzos de recuperación de las computadoras robadas. Después de las negociaciones con los fabricantes, el agente Computrace de Absolute Software, o LoJack para computadoras, ahora viene precargado en una gran cantidad de máquinas.

El software Computrace utiliza un método novedoso para mantener la persistencia en las computadoras. Esta metodología permite que el código permanezca a través de una reinstalación del sistema operativo o el reemplazo del disco duro. El software hace esto al integrarse estrechamente en las operaciones de bajo nivel que se almacenan en los módulos de memoria flash SPI ubicados en la placa base física de la computadora. Estos módulos de memoria se encuentran donde se almacenan los recursos pertinentes del sistema, como los procedimientos de BIOS y UFEI.

Un  informe de Eset  detalla cómo las versiones troyanas del agente Computrace se han comprometido para permitir a los atacantes la capacidad de ejecutar código arbitrario en máquinas vulnerables. Este código se puede almacenar dentro de los módulos flash SPI, lo que impide la detección fácil de muchas soluciones de seguridad. Esta capacidad de ejecución de código, junto con las capacidades de persistencia y seguimiento del software Computrace, crea una combinación extremadamente efectiva que es difícil de detectar o remediar. Eset está llamando a esta amenaza el malware LoJax.

A partir de este escrito, el uso de esta metodología de ataque particular parece tener un alcance limitado. La investigación indica que el propósito de este nuevo vector de ataque ha sido instalar el troyano de acceso remoto XAgent , que otros en la industria de la seguridad han vinculado al grupo de hacking ruso que tiene muchos nombres, entre ellos: APT28, Fancy Bear y Sednit.

La ejecución exitosa de la carga útil de malware depende de un sistema informático que se haya configurado para deshabilitar las protecciones de arranque seguro que vienen de serie en las computadoras Windows más nuevas.

El arranque seguro es una función de seguridad de las computadoras habilitadas con UFEI, y requiere una firma digital legítima antes de que el sistema pueda ejecutar cualquier código almacenado en el módulo de memoria flash SPI. Esta es una limitación actual del malware LoJax, ya que el código no tiene una firma digital. Esto evita la ejecución de código en entornos donde el inicio seguro está habilitado, como Windows 8 y Windows 10.

Los usuarios de Linux u otros sistemas operativos no compatibles no tendrán las protecciones integradas de arranque seguro debido a la incompatibilidad con esos dispositivos. Los usuarios que deben desactivar dichas protecciones para poder utilizar el software necesario o deseado deberán permanecer diligentes.

Aunque actualmente su alcance es limitado, anticipamos ver este vector de ataque empleado por otras familias de malware y atacantes en el futuro.

Pormalwarebytes

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Trae tu propia seguridad (BYOS): ¿buena idea o no?

Publicado: 2 de octubre de 2018 por 
Última actualización: 3 de octubre de 2018

Hemos hablado sobre el concepto de Bring Your Own Device, o BYOD,  en el blog anterior. BYOD es una política popular por la cual los empleados pueden traer dispositivos de propiedad personal, como computadoras portátiles, tabletas o teléfonos inteligentes, para trabajar y usarlos para acceder a datos y aplicaciones. Ayuda a reducir costos y puede aumentar la productividad, pero trae consigo muchas preocupaciones e implicaciones de seguridad.

Similar en teoría a BYOD es BYOS, o Traiga su propia seguridad. Este método permite a los empleados elegir qué solución de seguridad les gustaría ejecutar en sus dispositivos. ¿Es esta teoría una evolución natural de BYOD o conlleva más preocupaciones? ¿Importan esas preocupaciones si el dispositivo que se sumergirá en la red de la empresa tiene instalado su propio software de seguridad?

Preocupaciones de BYOS

Las diferencias en el software de seguridad que se ejecuta en los sistemas corporativos y los dispositivos BYOS pueden causarle un dolor de cabeza a su departamento de TI, especialmente si dichos dispositivos tienen acceso a los recursos de la empresa, como las unidades compartidas. ¿Hay algún conflicto entre el software en los dispositivos y las soluciones de seguridad que se ejecutan en el entorno corporativo ? Ciertamente es posible.

Podría haber brechas entre los programas de seguridad de los dispositivos y los sistemas corporativos que los atacantes podrían aprovechar. De hecho, agregar software de seguridad a una configuración existente no siempre mejora la seguridad, especialmente si son del mismo tipo, como dos grandes conjuntos de antivirus o dos herramientas de remediación gratuitas. Peor aún, podrías terminar más débil que antes.

Además, los conceptos erróneos pueden llevar a los propietarios de dispositivos a una falsa sensación de seguridad. Por ejemplo, algunos pueden creer que están protegidos por el firewall de la compañía tan pronto como se conectan al Wi-Fi corporativo, o incluso tan pronto como entran por la puerta. ¿Pero es eso cierto?

Veamos algunos escenarios que involucran tanto a BYOD como a BYOS, sus ventajas y desventajas, y las implicaciones de seguridad que conlleva cada escenario.

Los escenarios

Para comenzar a saltar a los siguientes escenarios, primero establezcamos el escenario presentando cuatro formas posibles en que se podría implementar la política de BYOS, ya sea que los dispositivos sean de propiedad personal o sean emitidos por la organización. Incluyen:

  • El empleado es propietario del dispositivo y tiene instalado su propio software de seguridad.
  • El empleado recibe un dispositivo de la empresa que también puede usar para fines personales. Puede elegir e instalar cualquier software de seguridad que desee.
  • El empleado es el propietario del dispositivo, pero para que se le permita usarlo para asuntos de la empresa, debe instalar el software de seguridad que elija la empresa.
  • La compañía emite un dispositivo que viene con su elección de software de seguridad instalado.

Antes de que hablemos de estos escenarios uno por uno, primero establezcamos una cosa por adelantado: un empleado que ejecute un software de seguridad que no eligió, ni está familiarizado con él, es probablemente una mala idea. A menos que se trate de un producto basado en la nube que pueda administrarse desde una ubicación central, el empleado debe recibir cierta capacitación sobre cómo utilizar la solución de manera óptima. No hay seguridad más fuerte para los lugares de trabajo que la conciencia del usuario. De hecho, nosotros lo haríamos , y lo haríamos, sin importar el escenario.

Escenario 1: Todo sobre el usuario

En el primer escenario, en el que el empleado utiliza su propio dispositivo y software de seguridad, podría decir que es bueno para la empresa mantenerse al margen y confiar en sus usuarios. Sin embargo, cuando se trata de cuestiones de seguridad para datos de propiedad exclusiva, nunca es una buena idea dejar que todo vuele al viento.

Es fácil decir que sería un problema para el empleado si algo le pasara a los datos en su dispositivo, pero ¿para qué serviría la compañía? La información ya estaría disponible, y la pérdida de datos, puntos finales, productividad y reputación costaría mucho más que un solo salario.

En cuanto al empleado: ¿Se daría cuenta de la filtración si la empresa no tuviera control sobre su dispositivo en primer lugar? Probablemente no. La compañía podría ser capaz de rastrear la infección hasta su dispositivo, pero ¿después de cuánto tiempo? ¿Durante cuánto tiempo permanecieron y se propagaron los programas maliciosos de robo de información en la red? ¿Qué tipo de secretos expondrá a quienes estén dispuestos a pagar el mejor precio en el mercado negro?

Este escenario sería la peor idea de BYOS si no fuera por …

Escenario 2: Un escenario raro

En este escenario, la organización emite un dispositivo a su empleado, pero espera que ella elija su propio programa de seguridad.

Este es un escenario raro por una buena razón. Quizás el propio departamento de TI de una empresa podría hacer que sus empleados prueben diferentes proveedores. Tal vez un usuario solo haga llamadas telefónicas o escriba documentos en su dispositivo, y no necesite Internet para hacer su trabajo. Sin embargo, en cualquier otro caso, tendría que tener una organización de confianza y una fuerza laboral extremadamente inteligente.

De lo contrario, los empleados pueden optar por la opción más barata si necesitan gastar su propio dinero o, en su lugar, utilizar una versión gratuita y limitada. O, si facturan a la empresa, pueden simplemente tomar el único nombre que saben sin investigar si es un buen ajuste para el dispositivo o el usuario. La única otra explicación es que la compañía se preocupa tan poco por la seguridad de sus dispositivos y redes, que están dispuestos a tirarles dinero.

Escenario 3: Sobre todo pro, un poco con

Esta situación requiere que el empleado seleccione el dispositivo, pero la compañía prescriba la configuración de seguridad.

En este caso, la empleada puede comprar o recibir un reembolso por el dispositivo que le gusta con la advertencia de que debe instalar un software de seguridad que cumpla con las pautas corporativas. Este es principalmente un escenario en el que todos ganan, ya que la empleada puede usar el dispositivo que ella prefiere, pero la compañía puede estar segura de que el dispositivo es seguro y de uso seguro en el entorno corporativo. En una situación ideal, el dispositivo puede incluso ser monitoreado por el SIEMcorporativo o la consola en la nube.

Una nota en este escenario: si bien es una configuración ideal para dispositivos suplementarios o empleados remotos, puede que no tenga más sentido para las máquinas primarias de los usuarios. Esto se debe a que la administración de una flota de diferentes dispositivos con diferentes sistemas operativos podría ser tediosa para los equipos de TI, incluso con los mismos protocolos de seguridad seguidos.

gestión de la nube

Escenario 4: La elección de la empresa.

El cuarto escenario, donde la compañía decide sobre el dispositivo y el software de seguridad, es la solución más fácil para las organizaciones, pero definitivamente no es BYOD ni BYOS. Esto suena más como lo que un trabajador de la sede central espera recibir del departamento de TI el primer día de empleo.

Aunque es más fácil de controlar, también es costoso, ya sea que la compañía ofrezca una sola computadora portátil o un teléfono inteligente suplementario. En este caso, las empresas deben estar preparadas para defenderse contra las amenazas encontradas por los empleados que realizan un trabajo legítimo u ocasionalmente usan el dispositivo por motivos personales, como compras en línea o redes sociales. Las compañías esencialmente deben tratar esto más o menos como cuando un empleado ocasionalmente lleva un portátil de la empresa a casa para hacer algún trabajo.

Instalación de software de seguridad en una máquina corporativa.

Un escenario completamente diferente es aquel en el que ningún dispositivo externo desempeña un papel. En cambio, los empleados aportan su propia seguridad al entorno laboral. Esto sucede a veces: las personas instalan su software de seguridad preferido en las computadoras de su trabajo por iniciativa propia. Por ejemplo, nuestra telemetría nos dice que nuestro producto gratuito de remediación para el consumidor se descarga y se ejecuta en muchas máquinas corporativas, que se utiliza para limpiar el malware que se ha escapado de las grietas de la configuración de seguridad oficial de su lugar de trabajo.

Lo que no podemos ver en nuestra telemetría es si esto lo hacen los propios usuarios o alguien del equipo de TI como un método improvisado para tratar una infección. Aunque el uso de un producto de consumo gratuito en un entorno empresarial es técnicamente contra las reglas, no representa un riesgo directo para la seguridad. Sin embargo, plantea una pregunta para el departamento de TI de la empresa, a quién le gustaría saber qué amenaza logró sortear su red y cómo.

En cualquier caso, existe una diferencia entre los empleados que instalan herramientas de reparación gratuitas solo con fines de limpieza y los que instalan una protección activa y de pago por encima de la seguridad de la red. En este último caso, la seguridad activa del punto final entra en conflicto con el software de red activo que controla el entorno corporativo. Como dos perros peleando por un hueso, y nadie gana, porque el hueso (malware) se escapa.

Consideraciones importantes

La forma más segura y eficiente de implementar la seguridad en el lugar de trabajo tanto para la empresa como para sus empleados es crear una política corporativa . Cuando se trata de decidir sobre una política de seguridad de BYOD, hay algunos puntos que al menos deben considerarse. Incluyen:

  • ¿Qué sistemas operativos permitirá? No todos los programas pueden cubrir todos los sistemas operativos, y si desea optar por la uniformidad o la administración central, este es un tema importante.
  • ¿Qué software permitirás? Y si va a utilizar restricciones, ¿usará una lista negra o una lista blanca?
  • ¿Qué tan detallado desea que sea su política de seguridad? ¿Le va a dar a sus empleados un resumen general o realmente va a profundizar en detalles como los requisitos mínimos para contraseñas o cómo identificar correos electrónicos de phishing?
  • ¿Desea poder monitorear dispositivos que se encuentran en la configuración de BYOD desde su consola de administración central? ¿Y eso requiere que los dispositivos cumplan ciertas especificaciones?
  • ¿Qué pasa con los dispositivos cuando el empleado abandona la empresa? O mejor aún, ¿qué sucede con la información, el software y otros datos relacionados con la compañía en el dispositivo?

Mejores prácticas

La lista de las mejores prácticas para convertir cualquier traer su propia configuración de seguridad en un esfuerzo exitoso y seguro se parece mucho a la lista de las directrices de seguridad, pero queremos repetir el consejo de todos modos:

  • Capacite a su personal sobre higiene básica de computadoras, como evitar fraudes de soporte técnico, evitar enlaces a fuentes desconocidas y nunca abrir archivos adjuntos de correos electrónicos sospechosos. Además, asegúrese de que saben qué hacer y qué no hacer en caso de una infracción.
  • Cree una política justa que se haya comunicado claramente para que los empleados entiendan qué es aceptable y cuáles podrían ser las consecuencias si no cumplen.
  • Cifre el almacenamiento de archivos y las comunicaciones para disminuir las posibilidades de que información o datos vitales caigan en las manos equivocadas.
  • Asegurar actualizaciones de software oportunas para todos. ¿Cuál es el uso de un administrador del sistema que se apresura a verificar, verificar e instalar actualizaciones cuando hay algunos dispositivos en itinerancia con algunos parches detrás?
  • Use una VPN para las comunicaciones fuera del sitio para descartar los ataques ocultos y los  ataques de intermediarios .

La mayoría de los escenarios BYOS y BYOD tienen ventajas y desventajas; sin embargo, si el equipo de TI de la empresa y la fuerza laboral están preparados, muchas de estas situaciones tienen una buena oportunidad de trabajar en el mejor interés de todos los involucrados.

La conciencia de las posibles implicaciones es siempre un buen punto de partida. La vigilancia es la mejor mitad de la seguridad.

Pormalwarebytes

Malware sin archivo Parte 2

Malware sin archivo: parte deux

Malware sin archivo:

Publicado: 5 de octubre de 2018 por 

En la primera parte de esta serie, nos enfocamos en una introducción a los conceptos de malware sin archivos, y brindamos ejemplos de los problemas que enfrentamos en la industria de la seguridad al tratar con este tipo de ataques. 

En la segunda parte, caminaré a través de algunas demostraciones de ataques de malware sin archivos que he creado. Estos laboratorios demuestran los problemas que enfrentamos cuando intentamos detectar malware sin archivos.

Primero comenzaré con una demostración de malware que se detecte estrictamente con firmas estáticas. El archivo que usaré es un binario personalizado, que creé desde cero y no realiza actividades maliciosas. Es completamente benigno.

La razón para usar un archivo benigno para la demostración es que no quiero que ninguno de los otros componentes más avanzados del AV inicie y trate de detectar este archivo. Quiero mostrar lo que sucede cuando confiamos puramente en firmas estáticas. Simplemente hemos creado una firma estática para este binario específico para que cuando se ejecute o escanee en cualquier computadora que ejecute Malwarebytes, se detecte.

Después de esta prueba, probaré un malware legítimo a través de los mismos métodos sin archivos para ilustrar la tecnología de detección necesaria que debe implementarse para detectar la amenaza.

Antes de comenzar, primero cubriré cómo funcionan las detecciones estáticas para aclarar qué es exactamente lo que se está evadiendo con estos métodos sin archivos. Luego cubriré algunos métodos de detección más sofisticados, que en esta era moderna de la seguridad son los componentes más importantes para detectar las amenazas nuevas y desconocidas.

Detección estática

Hay algunas formas de detectar malware de forma estática. Lo más básico, y francamente, el método de detección más inútil en la actualidad es el hashing del archivo. En este caso, existe una tasa de detección de firma de uno a uno para el malware.

Para que una única firma cubra mucho más terreno, los motores modernos de detección estática extraen áreas clave del binario y permiten que se realicen firmas en códigos de operación o cadenas de caracteres específicos dentro de las secciones del binario. El mejor ejemplo de código abierto de esto serían las reglas de YARA . Si no está familiarizado con YARA , tómese un minuto para buscarlo, ya que es una herramienta valiosa para el análisis de malware.

A continuación se muestra un ejemplo de una detección utilizando YARA. La regla de ejemplo es completamente aleatoria y no está hecha para detectar ningún malware.

regla ExampleDetection
{ 
     instrumentos de cuerda: 
          $ hex_string = {AA (BB | CC) [3] FF [2-4] 00} 
          $ string1 = "malString" amplia ascii fullword
          $ hex2 = {CC DD 33 DD}
     condición: 
          $ hex_string y # string1> 3 y $ hex2 en el punto de entrada y tamaño de archivo> 200 KB
}

Una sola regla similar a esta, aunque en la categoría de firmas estáticas, puede detectar cientos o miles de malware que tienen características similares.  Una buena firma estática aún le permite ser dinámico y detectar malware incluso cuando un escritor modifica su código.

Pero, a pesar de que  estos métodos de detección estática son bastante efectivos en ciertos casos, hay algunos inconvenientes importantes. La primera caída, y la más obvia, es que si los códigos binarios y las cadenas se cambian más allá de lo que el autor de la firma tomó en consideración, la detección ya no se activará. Esta es la razón principal por la que los antivirus han agregado métodos más dinámicos para detectar malware sofisticado en sus soluciones. Estas incluyen firmas de comportamiento, detecciones de comportamiento, heurísticas, emuladores autocontenidos, aprendizaje automático e inteligencia artificial.

Algunas de estas tecnologías están incluidas en los productos de consumo y de negocios de Malwarebytes, y se enumeran a continuación:

La segunda caída a las firmas estáticas es lo que ilustraré en este primer laboratorio. Si no hay ningún binario en el disco para ejecutar una firma estática, entonces la firma estática no tiene nada que detectar. Entonces, en definitiva, falla. Aquí es donde los ataques sin archivo tienen éxito.

En un mundo perfecto, con capacidad de computación ilimitada, teóricamente podríamos extraer cada bit de datos de la memoria en todo momento y ejecutar firmas estáticas para luego superar esta caída. Pero como el rendimiento siempre es un problema, esto no es posible y las firmas estáticas fallarán en este escenario. Dicho esto, procederé al primer laboratorio.

Laboratorio 1: Bypass solo estático

Primero, ejecutaré el archivo de detección de prueba  manualmente en un sistema con Malwarebytes para que podamos ver la parte de firmas estáticas que captura el archivo.

Como puede ver, el archivo fue detectado como Trojan.Vhioureas.POC. Nuevamente, esto se debe a que creé una detección de prueba en una cadena única que hice usando este sencillo programa. Si el programa tiene éxito, aparecerá una aplicación de calculadora.

Ahora cargaré el mismo archivo de prueba utilizando el marco inicial: un marco de ejecución sin archivos.

Como puede ver, el archivo vhioureasPOC no activó ninguna detección, y Calc apareció. La razón es que el marco de inicio transmitió la fuente de malware completamente desde un servidor y la ejecutó únicamente dentro de la memoria.

Puede ver esto en el parámetro de comando a UpdateService.exe, que es el binario inicial del cargador de clientes. Extrajo el código fuente de vhioureasPOC del servidor que configuré en la dirección en la URL. El método de transmisión sin archivos evadió el motor de firma estática de la AV.

Marco de inicio

Antes de continuar con el Laboratorio 2, analizaré el marco de inicio  y cómo se puede usar para cargar cualquier archivo .NET en la memoria.  Comenzaremos con el lado del servidor.

El lado del servidor de inicio tiene dos componentes principales: el generador de carga útil y el servidor de malware real. El generador de carga útil toma como entrada, un archivo de código fuente de C #, y le proporciona un token de URL personalizado para buscar en el lado del cliente.

Después de que hayamos generado la carga útil, cuando ejecutamos el componente del servidor de malware, podemos recuperar el código fuente en forma codificada a través de cualquier solicitud http. Por ejemplo, si navegamos a la URL generada en un navegador en nuestra máquina cliente, veremos una cadena larga de base 64 en la ventana del navegador. Esta es la carga útil.

Ahora moviéndose hacia el lado del cliente de inicio.  El cliente en sí mismo es benigno. No contiene ningún código malicioso. Es simplemente una herramienta de línea de comandos que toma una URL como entrada. Obtiene lo que está al final de esa URL e intenta leerlo como texto, específicamente buscando el formato correcto del código fuente de C #. Luego toma el texto C # y, utilizando el compilador nativo del sistema operativo, realiza la compilación en tiempo de ejecución únicamente en la memoria. Luego ejecuta el código generado.

Así es como pudimos evadir el motor de detección de estática. Nunca hay ningún punto en el que exista el código de malware del servidor en el disco duro. Debido a este hecho, no hay ningún archivo para que el motor estático pueda escanear.

Como nota al margen, me gustaría agregar que, en general, ningún AV detecta el código fuente del lenguaje compilado. La razón aquí es que el código fuente nunca puede ejecutarse sin ser compilado, y por lo tanto nunca puede causar daño. Este es un punto interesante porque incluso una firma de red, como snort o cualquier IDS, es poco probable que lo detecte. El binario malicioso nunca se transmite, solo se transmite el código fuente. Por lo tanto, evade todas las firmas estáticas, incluso en el lado de la red.

Luchando contra esta amenaza

Como evitamos el motor estático, los antivirus de hoy en día, como mencioné anteriormente, deben contener tecnología para detectar dinámicamente la actividad maliciosa en el sistema en lugar de simplemente detectar firmas maliciosas.

Para probar que esta tecnología existe y funciona correctamente, volveremos a ejecutar inception contra la máquina víctima, solo que esta vez será con una carga útil que realmente realiza una función maliciosa para la víctima. Debemos esperar que el motor AV tenga la capacidad de determinar que la ejecución en el sistema es maliciosa en función de su actividad. Esto es exactamente lo que probaremos en el laboratorio 2.

Laboratorio 2: ransomware sin archivo

Para este laboratorio, cargaré un código fuente de una muestra de ransomware a través de inicio. Esencialmente, nada cambia de los pasos anteriores. Solo ahora, la generación de carga útil en el lado del servidor apunta a un archivo de código fuente de ransomware en lugar de la prueba POC.

Como puede ver, esta vez se activó una detección. Aunque el motor estático no detectó el malware, la parte del comportamiento de la aplicación del motor intervino y determinó que había una actividad maliciosa en el sistema que se comportaba como un ransomware y provocó la detección. Es por eso que lo ve detectado como Ransom.Agent.Generic.

Estático vs dinámico

He creado estas demostraciones para mostrar algunos de los problemas que puede causar el malware sin archivos, principalmente porque pudieron evitar fácilmente los motores estáticos. Esto no significa que creo que las firmas estáticas no tienen su lugar en la detección de malware. Simplemente estoy mostrando su debilidad cuando se trata de un ataque sin archivo.

Las firmas estáticas ayudan a los investigadores a clasificar correctamente las familias de malware y proporcionar detecciones más detalladas. Esto suele ser porque, detrás de una firma, hay un analista de malware que ha dedicado tiempo a investigar y comprender las características del malware. He visto muchas situaciones en las que una buena firma ha detectado un malware que el motor de aprendizaje automático no pudo identificar. Sin embargo, cuando la detección estática falla, la detección dinámica debe tomar el control. Esta simbiosis es clave.

Soy de la escuela de pensamiento de que tanto la detección estática como la dinámica son necesarias, y una buena combinación de ambas sigue siendo extremadamente valiosa. Normalmente, cuando un proveedor de antimalware usa firmas además de la tecnología de próxima generación en su repertorio, es una señal de que hay analistas de malware activo en el otro lado de la pantalla.

Esto me da tranquilidad, ya que los proveedores no están abandonando la lucha contra el malware únicamente por algoritmos y tecnología. La tecnología no es lo suficientemente avanzada como para dejarla totalmente a cargo, y mientras tanto, una mezcla de humanos y tecnología, analista de malware y máquina, sigue siendo la mejor opción.

Manténgase atento a la tercera parte de esta serie, donde proporcionaré un análisis detallado de varias familias de malware sin archivos.

Pormalwarebytes

Fortnite jugadores atacados por el malware de robo de datos

Fortnite jugadores atacados por el malware de robo de datos

Fortnite jugadores atacados por el malware de robo de datos

Publicado: 2 de octubre de 2018 por 
Última actualización: 3 de octubre de 2018

La nueva temporada del increíblemente popular videojuego Fortnite está sobre nosotros , y también lo son las estafas. No es de extrañar que los estafadores se suban a este carro, ansiosos por vender sus falsificaciones.

Solo que esta vez, los estafadores tenían en mente algo más peligroso que sus típicas encuestas y descargas de bajo nivel que en realidad nunca se materializan. Entre toda la gula de las estafas, había un archivo malicioso listo para robar datos y enumerar las billeteras de Bitcoin, para empezar.

¿Cómo lo encontramos? Primero, examinamos una gran cantidad de seis pases gratuitos de la temporada, supuestamente versiones «gratuitas» de Fortnite para Android, que se filtraron de las narices del desarrollador, la explosión popular de «V-Bucks gratis» que solía comprar. contenido adicional en el juego, y un montón de trampas falsas, wallhacks y aimbots.

Aquí está el estado actual de YouTube, por ejemplo:

resultados de búsqueda fortnite

Click para agrandar

Estos videos pueden generar grandes números: aquí hay uno que ha sido derribado, pero logró acumular 120,000 vistas antes de que cayera el martillo:

120k vistas

Click para agrandar

Casi toda la estafa de la estafa siguió la ruta típica de la encuesta, como se esperaba. Pero enterrado en todo esto había una pequeña y desagradable porción de malware de robo de datos disfrazado de una herramienta engañosa.

Ofrecer un archivo malicioso bajo el pretexto de un tramposo es tan antiguo como parece, pero eso nunca ha detenido a los cibercriminales. En este escenario, los posibles tramposos sufren un sabor de su propia medicina a través de una cadena de clics y (eventualmente) algún malware como regalo de despedida. ¿Echamos un vistazo?

Preparando la escena

La cuenta de YouTube que ofrece esta estafa tiene un poco más de 700 suscriptores, y el video en cuestión ya tenía más de 2,200 visitas el día después de haber sido subido.

fortbita aimbot video

Click para agrandar

Al hacer clic en el enlace, se envía a las posibles víctimas a una página en Sub2Unlock. Este sitio difiere de las páginas de encuestas típicas, donde normalmente haría clic en las ofertas o completaría las preguntas para obtener una recompensa teórica. En su lugar, le pide que pulse Suscribirse en el portal social de la persona que lo envía allí en primer lugar. Así que hay una diferencia, desde el principio.

sub para desbloquear

Click para agrandar

Otra diferencia interesante es que cualquier página de encuesta inicial requiere que completes físicamente una encuesta antes de avanzar. Sin hacer esto, no puedes acceder a un enlace de descarga.

Aquí, no tuvimos ninguna validación durante nuestras pruebas. Al hacer clic en el botón de suscripción, simplemente se abre la página de suscripción del canal de YouTube, pero no se comprueba nada para asegurarnos de que realmente nos suscribimos. Todo lo que teníamos que hacer en este momento era volver al sitio Sub2Unlock y hacer clic en el botón de descarga.

Desde aquí, los jugadores son llevados a un sitio ubicado en

bt-fortnite-trucos (punto) tk

sitio de trucos fortnite

Click para agrandar

Este sitio es un portal bastante atractivo que pretende ofrecer las herramientas de trucos deseadas, y tiene una buena oportunidad de convencer a los jóvenes de su legitimidad. Un poco más de clic en el botón, y las posibles víctimas son llevadas a un sitio de descarga más general que contiene lo que parece ser una gran cantidad de archivos junto con una amplia gama de anuncios.

enlace de descarga de malware fortnite

Click para agrandar

En lo que respecta al archivo malicioso en cuestión, en el momento de la redacción de este documento, se habían realizado 1.207 descargas. Eso es 1.207 descargas demasiadas.

Informacion del archivo

Malwarebytes detecta este archivo como Trojan.Malpack , una detección genérica dada a los archivos empaquetados de forma sospechosa. La carga útil real podría ser cualquier cosa, pero invariablemente no servirá de nada. En este caso, un poco de excavación nos mostró que la carga útil es un ladrón de datos.

Una vez que el archivo .EXE inicial (que pesa solo 168KB) se ejecuta en el sistema de destino, realiza una enumeración básica sobre los detalles específicos de la computadora infectada. Luego, intenta enviar datos a través de un comando POST a un archivo /index.php en la Federación Rusa, cortesía de la dirección IP 5 (punto) 101 (punto) 78 (punto) 169.

Algunas de las cosas más notables en las que se interesa son la información de la sesión del navegador, las cookies, las carteras de Bitcoin y también las sesiones de Steam.

una bolsa de mano

Click para agrandar

Curiosamente, también escribió esto a nuestro sistema de prueba:

estaciones de radio

Click para agrandar

… Grateful Dead, alguien?

La dirección IP que aparece arriba se ha visto muchas veces en relación con archivos temáticos / con nombres similares.

Muchos de los archivos contenidos en esta descarga están empaquetados de maneras completamente diferentes. Uno de ellos tiene un proceso llamado «Stealer.exe». Muchos más publican la información robada en /gate.php en lugar de index.php, que es un signo común de Zbot y algunos otros.

Si bien este archivo en particular probablemente no sea tan nuevo, aún va a hacer un poco de daño a cualquiera que entre. Combinarlo con la fiebre actual para el nuevo contenido de Fortnite es una receta para los datos robados y una gran cantidad de limpieza requerida después .

Como nota final, debemos mencionar el archivo Léame que acompaña a los anunciantes del ladrón, que pueden comprar trucos Fortnite adicionales por «$ 80 Bitcoin».

leeme

Click para agrandar

Teniendo en cuenta cómo las cosas de arriba se desarrollaron, aconsejamos a cualquier persona que tenga la tentación de hacer trampa para evitarlo. Ganar es genial, pero no vale la pena arriesgar una gran cantidad de información personal para hacer el trabajo.

Pormalwarebytes

Una semana de seguridad (del 24 al 30 de septiembre)

Una semana de seguridad (del 24 al 30 de septiembre)

Una semana de seguridad (del 24 al 30 de septiembre)

Publicado: 1 de octubre de 2018 por 

La semana pasada en Labs fue muy concurrida. Hablamos sobre cómo  los ataques de phishing SMS apuntan al mercado de trabajo , emitimos una advertencia para  TV Licensing phishes , comentamoscómo Apple confunde a los usuarios de Safari con los cambios recientes en cómo OSX maneja las extensiones de navegador y elabora  agujeros en la protección de privacidad de Mojave . También mostramos cómo se usa una  implementación defectuosa de la vulnerabilidad CVE-2018-8373 para entregar Quasar RAT , discutimos qué se necesita para luchar en la era de las llamadas no deseadas , brindamos algunos consejos sobre  cómo proteger sus datos de Magecart y otros e- ataques comerciales, y alertó a nuestros lectores que millones de cuentas se vieron afectadas en la última vulnerabilidad de Facebook .

Otras noticias de ciberseguridad:

  • Las empresas tecnológicas respaldan la ley de privacidad de los EE. UU. Para negar estados. (Fuente: The Washington Post)
  • Microsoft  implementa computación confidencial para Azure. (Fuente: Bleeping Computer)
  • Google  realizó recientemente un cambio para simplificar la forma en que Chrome maneja el inicio de sesión. (Fuente: la palabra clave)
  • VirusTotal  anuncia VirusTotal Enterprise. (Fuente: medium.com)
  • 14 años de prisión  para el hombre que ayudó a los hackers a evadir la detección por el software antivirus. (Fuente: Hot for Security)
  • Los sistemas de tecnología de la información del puerto de San Diego se ven afectados por el ransomware. (Fuente: Puerto de San Diego)
  • LoJax : el primer rootkit UEFI encontrado en la naturaleza, cortesía del grupo Sednit. (Fuente: WeLiveSecurity}
  • Telegram  filtra las direcciones IP públicas / privadas de los usuarios finales en el escritorio. (Fuente: inputzero)
  • El  hack de bypass de código de acceso de iPhone XS expone contactos y fotos. (Fuente: ThreatPost)
  • El Servicio Secreto advierte sobre el aumento de  los ataques de «escuchas telefónicas» de ATM . (Fuente: Krebs en Seguridad)
  • Astronomía Mutagen : kernel de Linux ‘dame la raíz, ahora’ agujero de seguridad avistado. (Fuente: TheRegister)

Comentarios recientes

    Entradas recientes

    Archivos

    Informacion

    Malwarebytes

    Documentacion

    Recursos

    Distribuidores de Malwarebytes

    Mayorista de Malwarebytes
    ¿Tienes alguna pregunta? Llámanos ahora

    +34 91 737 86 08

    Categorías