Analizando un nuevo ladrón escrito en Golang

Analizando un nuevo ladrón escrito en Golang

Analizando un nuevo ladrón escrito en Golang

Publicado: 30 de enero de 2019 por 

Golang (Go) es un lenguaje de programación relativamente nuevo, y no es común encontrar malware escrito en él. Sin embargo, las nuevas variantes escritas en Go están emergiendo lentamente, presentando un desafío para los analistas de malware. Las aplicaciones escritas en este idioma son voluminosas y se ven muy diferentes en un depurador de las compiladas en otros idiomas, como C / C ++.

Recientemente, se observó una nueva variante del malware Zebocry  que se escribió en Go (análisis detallado disponible aquí ).

Capturamos otro tipo de malware escrito en Go en nuestro laboratorio. Esta vez, fue un simple ladrón detectado por Malwarebytes como Trojan.CryptoStealer.Go . Esta publicación proporcionará detalles sobre su funcionalidad, pero también mostrará métodos y herramientas que se pueden aplicar para analizar otros programas maliciosos escritos en Go.

Muestra analizada

Malwarebytes detecta a este ladrón como Trojan.CryptoStealer.Go:

Analisis de comportamiento

Bajo el capó, Golang llama a WindowsAPI, y podemos rastrear las llamadas usando herramientas típicas, por ejemplo, marcadores de PIN. Vemos que el malware busca archivos en las siguientes rutas:

"C: \ Users \ tester \ AppData \ Local \ Uran \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Amigo \ User \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Torch \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Chromium \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Nichrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Google \ Chrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ 360Browser \ Browser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Maxthon3 \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Comodo \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ CocCoc \ Browser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Vivaldi \ User Data \"
"C: \ Users \ tester \ AppData \ Roaming \ Opera Software \"
"C: \ Users \ tester \ AppData \ Local \ Kometa \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Comodo \ Dragon \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Sputnik \ Sputnik \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Google (x86) \ Chrome \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Orbitum \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ Yandex \ YandexBrowser \ User Data \"
"C: \ Users \ tester \ AppData \ Local \ K-Melon \ User Data \"

Esos caminos apuntan a los datos almacenados de los navegadores. Un hecho interesante es que uno de los caminos apunta al navegador Yandex, que es popular principalmente en Rusia.

La siguiente ruta buscada es para el escritorio:

"C: \ Users \ tester \ Desktop \ *"

Todos los archivos encontrados allí se copian en una carpeta creada en% APPDATA%:

La carpeta «Escritorio» contiene todos los archivos TXT copiados del Escritorio y sus subcarpetas. Ejemplo de nuestra máquina de prueba:

Una vez completada la búsqueda, los archivos se comprimen:

Podemos ver este paquete enviado a C&C (cu23880.tmweb.ru/landing.php):

Dentro

Los binarios compilados de Golang suelen ser grandes, por lo que no es sorprendente que la muestra se haya empaquetado con UPX para minimizar su tamaño. Podemos descomprimirlo fácilmente con el UPX estándar . Como resultado, obtendremos ir binario. La tabla de exportación revela la ruta de compilación y algunas otras funciones interesantes:

En cuanto a esas exportaciones, podemos tener una idea de las bibliotecas estáticas utilizadas en su interior.

Muchas de esas funciones (relacionadas con el trampolín) se pueden encontrar en el módulo sqlite-3: https://github.com/mattn/go-sqlite3/blob/master/callback.go .

La función crosscall2 proviene del tiempo de ejecución de Go y está relacionada con la llamada a las aplicaciones de Go / C ++ ( https://golang.org/src/cmd/cgo/out.go ).

Herramientas

Para el análisis, utilicé IDA Pro junto con los scripts IDAGolangHelper escritos por George Zaytsev. Primero, el ejecutable Go tiene que ser cargado en IDA. Luego, podemos ejecutar el script desde el menú (Archivo -> archivo de script). Luego vemos el siguiente menú, dando acceso a características particulares:

Primero, necesitamos determinar la versión de Golang (el script ofrece algunas heurísticas útiles). En este caso, será Go 1.2. Luego, podemos cambiar el nombre de las funciones y agregar tipos de Go estándar. Después de completar esas operaciones, el código parece mucho más legible. A continuación, puede ver la vista de las funciones antes y después de usar los scripts.

Antes (solo se nombran las funciones exportadas):

Después (la mayoría de las funciones tienen sus nombres resueltos y agregados automáticamente):

Muchas de esas funciones provienen de bibliotecas enlazadas estáticamente. Por lo tanto, debemos enfocarnos principalmente en funciones anotadas como main_*– que son específicas para el ejecutable en particular.

Descripción del código

En la función «main_init», podemos ver los módulos que se utilizarán en la aplicación:

Está enlazado estáticamente con los siguientes módulos:

Analizar esta función puede ayudarnos a predecir la funcionalidad; Es decir, al mirar las bibliotecas anteriores, podemos ver que se comunicarán a través de la red, leerán las bases de datos SQLite3 y generarán excepciones. Otros inicializadores sugieren usar expresiones regulares, formato zip y leer variables ambientales.

Esta función también es responsable de inicializar y mapear cadenas. Podemos ver que algunos de ellos son descodificados primero en base64:

En la inicialización de cadenas, vemos referencias a carteras de criptomonedas.

Ethereum:

Monero

La función principal del binario de Golang está anotada «main_main».

Aquí, podemos ver que la aplicación está creando un nuevo directorio (usando una función os.Mkdir). Este es el directorio donde se copiarán los archivos encontrados.

Después de eso, hay varios Goroutines que han comenzado a usar runtime.newproc. (Los goroutines se pueden usar de manera similar a los hilos, pero se manejan de manera diferente. Se pueden encontrar más detalles  aquí ). Esas rutinas son responsables de buscar los archivos. Mientras tanto, el módulo Sqlite se utiliza para analizar las bases de datos con el fin de robar datos.

Luego, el malware lo guarda todo en un solo paquete y, finalmente, el paquete se carga en el C&C.

¿Qué fue robado?

Para ver exactamente en qué datos está interesado el atacante, podemos ver más de cerca las funciones que realizan consultas SQL y ver las cadenas relacionadas.

Las cadenas en Golang se almacenan de forma masiva, en forma concatenada:

Más tarde, una sola porción de dicho volumen se recupera a pedido. Por lo tanto, ver desde qué lugar en el código se hizo referencia a cada cadena no es tan fácil.

A continuación hay un fragmento en el código donde se abre una base de datos «sqlite3» (se recuperó una cadena de la longitud 7):

Otro ejemplo: esta consulta se recuperó del trozo completo de cadenas, con el desplazamiento y la longitud dados:

Echemos un vistazo a los datos que esas consultas intentaban obtener. Al recuperar las cadenas a las que hacen referencia las llamadas, podemos recuperarlas y listarlas todas:

seleccione name_on_card, expiration_month, expiration_year, card_number_encrypted, billing_address_id FROM credit_cards
seleccione * FROM autofill_profiles
seleccione el correo electrónico DE autofill_profile_emails
seleccione el número de autofill_profile_phone
seleccione first_name, middle_name, last_name, full_name FROM autofill_profile_names

Podemos ver que la base de datos de cookies del navegador se consulta en los datos de búsqueda relacionados con transacciones en línea: números de tarjetas de crédito, fechas de vencimiento, así como datos personales como nombres y direcciones de correo electrónico.

Las rutas a todos los archivos que se buscan se almacenan como cadenas base64. Muchos de ellos están relacionados con carteras de criptomonedas, pero también podemos encontrar referencias al mensajero de Telegram.

Software \\ Classes \\ tdesktop.tg \\ shell \\ open \\ command
\\ AppData \\ Local \\ Yandex \\ YandexBrowser \\ Datos del usuario \\
\\ AppData \\ Roaming \\ Electrum \\ wallets \\ default_wallet
\\ AppData \\ Local \\ Torch \\ Datos del usuario \\
\\ AppData \\ Local \\ Uran \\ Datos del usuario \\
\\ AppData \\ Roaming \\ Opera Software \\
\\ AppData \\ Local \\ Comodo \\ Datos del usuario \\
\\ AppData \\ Local \\ Chromium \\ Datos del usuario \\
\\ AppData \\ Local \\ Chromodo \\ Datos del usuario \\
\\ AppData \\ Local \\ Kometa \\ Datos del usuario \\
\\ AppData \\ Local \\ K-Melon \\ Datos del usuario \\
\\ AppData \\ Local \\ Orbitum \\ Datos del usuario \\
\\ AppData \\ Local \\ Maxthon3 \\ Datos del usuario \\
\\ AppData \\ Local \\ Nichrome \\ Datos del usuario \\
\\ AppData \\ Local \\ Vivaldi \\ Datos del usuario \\
\\ AppData \\ Roaming \\ BBQCoin \\ wallet.dat
\\ AppData \\ Roaming \\ Bitcoin \\ wallet.dat
\\ AppData \\ Roaming \\ Ethereum \\ keystore
\\ AppData \\ Roaming \\ Exodus \\ seed.seco
\\ AppData \\ Roaming \\ Franko \\ wallet.dat
\\ AppData \\ Roaming \\ IOCoin \\ wallet.dat
\\ AppData \\ Roaming \\ Ixcoin \\ wallet.dat
\\ AppData \\ Roaming \\ Mincoin \\ wallet.dat
\\ AppData \\ Roaming \\ YACoin \\ wallet.dat
\\ AppData \\ Roaming \\ Zcash \\ wallet.dat
\\ AppData \\ Roaming \\ devcoin \\ wallet.dat

Malware grande pero poco sofisticado

Algunos de los conceptos utilizados en este malware nos recuerdan a otros ladrones, como Evrial, PredatorTheThief y  Vidar . Tiene objetivos similares y también envía los datos robados como un archivo ZIP a C&C. Sin embargo, no hay pruebas de que el autor de este ladrón esté vinculado de alguna manera con esos casos.

Cuando echamos un vistazo a la implementación, así como a la funcionalidad de este malware, es bastante simple. Su gran tamaño proviene de muchos módulos compilados estáticamente. Posiblemente, este malware se encuentra en las primeras etapas de desarrollo; es posible que su autor haya empezado a aprender Go y esté experimentando. Estaremos atentos a su desarrollo.

Al principio, el análisis de una aplicación compilada por Golang puede parecer abrumador, debido a su enorme base de código y su estructura desconocida. Pero con la ayuda de herramientas adecuadas, los investigadores de seguridad pueden navegar fácilmente por este laberinto, ya que todas las funciones están etiquetadas. Como Golang es un lenguaje de programación relativamente nuevo, podemos esperar que las herramientas para analizarlo maduren con el tiempo.

¿El malware escrito en Go es una tendencia emergente en el desarrollo de amenazas? Es un poco demasiado pronto para decirlo. Pero sí sabemos que el conocimiento del malware escrito en nuevos idiomas es importante para nuestra comunidad.

Entrevista a un cazador de malware: Jérôme Segura.

Entrevista a un cazador de malware: Jérôme Segura.

Entrevista a un cazador de malware: Jérôme Segura.

Publicado: 29 de enero de 2019 por 
Última actualización: 28 de enero de 2019

En nuestra serie » Entrevista con un cazador de malware «, nuestra función principal hoy es para Jérôme Segura , Jefe de Inteligencia de amenazas de Malwarebytes e investigador de kits de explotación de renombre mundial. El objetivo de esta serie es presentar a nuestros lectores a nuestro equipo de inteligencia de malware al involucrarlos en estas sesiones de preguntas y respuestas. Entonces empecemos.

¿De dónde eres y dónde vives ahora?

Nací y crecí en Francia. Después de graduarme de la universidad, me mudé a América del Norte, donde vivo actualmente.

Eres el más famoso por tu kit de búsqueda de exploits. ¿Cómo te involucraste en ese campo?

Creo que primero entré en los kits de exploits alrededor de 2007. Estaba trabajando para una pequeña empresa y mi trabajo era encontrar nuevas muestras de malware. Recuerdo que aprendí acerca de las descargas de drive-by y leí un libro importante: Virtual Honeypots: desde el rastreo de redes de bots hasta la detección de intrusiones por Niels Provos y Thorsten Holz.

Después de leer este libro, escribí un prototipo muy básico para un honeypot que capturaría las cargas útiles de los ataques drive-by.

Esto ocurre casi al mismo tiempo que descubrí la herramienta de depuración web Fiddler que he usado casi a diario desde entonces.

¿Hay algún otro campo que tenga su interés especial?

A lo largo de los años, he sentido curiosidad por los diferentes campos que han surgido, principalmente por casualidad. Por ejemplo, cuando comencé a trabajar de forma remota, una vez recibí una llamada telefónica de estafadores de asistencia técnica. Si bien podría haberlo olvidado, me impresionó tanto que me llevó a escribir más de 30 publicaciones de blog sobre el tema y trabajar con la FTC para cerrar una operación multimillonaria en los Estados Unidos.

¿Se especializó en ciencias de la computación? ¿O se cambió a la ciberseguridad más tarde?

Me gradué con una maestría en sistemas de información, que en ese momento no era específica de informática (por cierto, obtuve mi primera computadora a los 18 años de edad), pero también incluía derecho, economía e incluso cosas como contabilidad. La ciberseguridad surgió mucho más tarde.

¿Cuánto tiempo has sido investigador de seguridad?

jerome avatar

He hecho investigación de malware durante unos 12 años.

¿Cómo terminaste trabajando para Malwarebytes?

Después de trabajar para la misma compañía durante varios años, me encontré necesitando una nueva oportunidad. A pesar de que los sitios de redes sociales no eran tan grandes en ese momento, fue a través del mensaje de Twitter del malwarenaut Mieke [Director de Investigación de Malwarebytes] que llegué aquí.

¿Cuál es el descubrimiento más interesante / impactante que has hecho como investigador?

Eso es difícil de decir. Hay un trabajo que he hecho que fue muy interesante y al que le dediqué mucho tiempo, pero tal vez no tuvo tanto impacto o no se publicó.

¿Cuál es el mayor “fracaso” de ciberseguridad que has presenciado?

Todos los días suceden muchas fallas, pero creo que lo que más me impactó fue ver las malas prácticas de seguridad en persona. Por ejemplo, al ver que las computadoras en el hospital quedaron desbloqueadas, ejecutando software obsoleto. Los mismos donde los médicos almacenan sus registros personales y de salud.

Al mismo tiempo, entiendo que la falta de conciencia o los presupuestos pequeños son algunas de las razones por las que esto está sucediendo, y las personas individuales no siempre tienen la culpa.

¿Puede darnos una idea de cómo es una jornada laboral típica para usted?

Lo interesante de nuestro trabajo es que hay un elemento inesperado que se refleja en gran medida en el calendario del día. Podría estar revisando los registros o respondiendo a los correos electrónicos cuando surja algo y necesite su atención inmediata.

De lo contrario, gran parte del trabajo consiste en verificar varios indicadores para tener una idea de lo que está sucediendo y luego profundizar cuando algo parece nuevo.

¿Qué tipo de habilidades necesita una persona para ser un investigador de inteligencia de malware?

Hay muchos conjuntos de habilidades diferentes que se pueden aplicar para ser un investigador de inteligencia de malware. Nuestro campo es vasto y pocas personas pueden afirmar que poseen todas las habilidades diversas que existen. Personalmente, diría que la atención a los detalles y la persistencia son cualidades realmente valiosas para tener. Muchas otras habilidades se pueden enseñar más adelante.

¿Qué consejo tienes para las personas que quieren entrar en el campo?

Hay algunos jóvenes que han acudido a mí en el pasado pidiéndome consejos sobre cómo entrar en este campo. Siempre les digo que mantengan la curiosidad, sigan aprendiendo y publiquen su trabajo y descubrimientos. Una de las mejores cosas que puede hacer es exponerse mostrando su oficio a personas externas. Si te mantienes en ello, eventualmente dará sus frutos.

Una semana en seguridad informática (21 – 27 de enero)

Una semana en seguridad (21 - 27 de enero)

Una semana en seguridad informatica (21 – 27 de enero)

Publicado: 28 de enero de 2019 por 

La semana pasada, en el blog Malwarebytes Labs, echamos un vistazo a Modlishka , el último obstáculo en la autenticación de dos factores (2FA) , el potencial de abuso de notificaciones push , una combinación de malware y phishing con el nombre de CryTekk ransomware , y por qué detectar PUP, pero hacer cumplir el poder de elección de los usuarios.

También publicamos el informe 2019 State of Malware, que puede descargar fácilmente aquí .

Otras noticias de ciberseguridad.

  • Quincena, el videojuego muy popular, utiliza la moneda del juego. Y esto, según ha descubierto The Independent , está alimentando los planes de lavado de dinero . (Fuente: PYMNTS.com)
  • Gracias a la nueva ley de privacidad del Reglamento General de Protección de Datos (GDPR), un regulador francés impuso multas a Google por un monto de € 50 millones ($ 56.8 millones) por no obtener el consentimiento suficiente del usuario para la recopilación de datos y la publicidad dirigida. (Fuente: The Wall Street Journal)
  • Un inteligente dispositivo malicioso móvil que afecta a los dispositivos Android es capaz de eludir los emuladores , herramientas que los investigadores de seguridad utilizan para estudiar aplicaciones potencialmente maliciosas, ejecutándose solo cuando detecta el dispositivo en el que está instalado. (Fuente: Ars Technica)
  • Una lista recientemente lanzada de las principales aplicaciones obsoletas (también conocidas como vulnerables) instaladas en sistemas informáticos incluye varios productos de Adobe, Skype, Firefox y VLC. Si tiene alguno de estos instalados, ahora es un buen momento para actualizarlos. (Fuente: Help Net Security)
  • El reconocimiento automático de matrículas (ALPR), o el reconocimiento automático de matrículas (ANPR) en el Reino Unido, son cámaras que rastrean las matrículas. Y algunos de ellos están conectados a Internet , filtrando datos confidenciales y vulnerables a los ataques. (Fuente: TechCrunch)
  • Debido a las debilidades de autenticación en GoDaddy , el registro de nombres de dominio más grande del mundo, el spam disruptivo, el malware y las campañas de phishing que aprovechan los sitios web inactivos que son propiedad de marcas confiables son posibles. (Fuente: KrebsOnSecurity)
  • El fabricante japonés de automóviles, Mitsubishi, ha creado su propia tecnología de ciberseguridad para automóviles , que está inspirada en defensas diseñadas para sistemas en infraestructuras críticas. (Fuente: Semana de la Seguridad)
  • Investigadores de la Universidad de Tecnología de Chipre, la Universidad de Alabama en Birmingham, Telefónica Research y la Universidad de Boston, escribieron un artículo y crearon un algoritmo de clasificación de aprendizaje profundo que protege a los niños de los videos en YouTube al detectar contenido perturbador . (Fuente: Bleeping Computer)
  • Una nueva campaña de phishing de correo de voz que utiliza mensajes grabados adjuntos a correos electrónicos está engañando a los destinatarios para que verifiquen sus contraseñas dos veces para confirmar la legitimidad de las credenciales. (Fuente: Bleeping Computer)
  • Un nuevo ataque convincente que abusa del motor de aplicaciones Google Cloud Platform (GCP) sale a la luz, que se encuentra dirigido principalmente a organizaciones del sector financiero . El grupo Cobalt Strike está detrás de esta campaña. (Fuente: Dark Reading)

Notificaciones push del navegador: una característica que solicita ser abusada

Notificaciones push del navegador: una característica que solicita ser abusada

Notificaciones push del navegador: una característica que solicita ser abusada

Publicado: 22 de enero de 2019 por 

«Estoy viendo un montón de anuncios apareciendo en la esquina de mi pantalla, y el escaneo de Malwarebytes no muestra que haya algo mal. Dice que mi computadora está limpia. ¿Entonces que esta pasando?»

Nuestro equipo de soporte se encuentra con preguntas como esta regularmente, pero el volumen parece estar aumentando últimamente. En la mayoría de estos casos, es útil mirar los «Permisos de notificación» del navegador que muestra este comportamiento molesto. Una buena limpieza en ese departamento puede ser justo lo que necesita para deshacerse de esos «elementos emergentes».

El problema es que los mensajes que ven los usuarios no son ventanas emergentes en absoluto, sino que de hecho son «notificaciones push», a menudo denominadas simplemente «notificaciones». Entendemos que nombrarlos de manera diferente no hace que sean menos molestos. Pero sí cambia nuestra clasificación de tales mensajes.

no tan inofensivo

Algunas notificaciones no son simples publicidades, sino mensajes engañosos sobre la seguridad de su computadora.

¿Qué son estas notificaciones?

Desde las páginas de desarrolladores de Mozilla :

La API de notificaciones permite que una página web o aplicación envíe notificaciones que se muestran fuera de la página a nivel del sistema; esto permite que las aplicaciones web envíen información a un usuario, incluso si la aplicación está inactiva o en segundo plano. Este artículo analiza los conceptos básicos del uso de esta API en sus propias aplicaciones.

Lo que podemos aprender de esto es que las notificaciones pueden originarse desde un sitio web o desde una aplicación. Vamos a centrarnos en el caso en que un sitio web esté causando el problema. Cualquier aplicación que muestre sus mensajes comerciales fuera de la ventana de un navegador se detectará como adware por parte de Malwarebytes, por lo que no se escapará a una exploración.

Sin embargo, las notificaciones del sitio web se pueden mostrar fuera de la ventana del navegador. Espera, ¿cuál es la diferencia entre notificaciones y ventanas emergentes de nuevo? Una ventana emergente es una nueva ventana o pestaña del navegador, mientras que las notificaciones son más como información sobre herramientas. Son mensajes que son independientes de cualquier sitio web abierto.

Las notificaciones muestran el dominio desde el que se originan, por lo que podría darle una pista sobre la respuesta a otra pregunta importante, que es:

¿Cómo los conseguí?

Para recibir notificaciones del navegador, un usuario debe haberlas permitido primero. En Firefox, el diálogo para permitir que se vea así:

Firefox permite aviso

Si bien eso parece bastante sencillo, hay sitios más complicados que utilizan un poco de ingeniería social para permitirle permitir sus notificaciones.

Ingeniería social

A los visitantes del sitio web se les hace creer que tienen que hacer clic en «Permitir» para ver el video. De hecho, si hacen clic en el botón «Permitir», serán redirigidos a otro sitio web, a veces pidiendo una vez más que permita las notificaciones, pero mientras tanto, su clic ha permitido a este sitio mostrarles notificaciones. Y, claro, el sitio no tiene que estar abierto en el navegador para que aparezcan las notificaciones. Como puede ver, el hecho de que esté permitiendo notificaciones es un poco menos claro en el indicador de Chrome que en Firefox.

¿Cómo los deshabilito?

Hay algunas opciones para desactivar las notificaciones. Puede deshabilitarlos por completo o puede deshabilitar las notificaciones para dominios específicos, eliminándolos de su lista de «Permitir». Incluso puedes agregarlos a tu lista de «Bloqueados».

notificaciones de ejemplo

Para cada navegador, las notificaciones se ven ligeramente diferentes y los métodos para deshabilitarlas también son ligeramente diferentes. Para hacerlos más fáciles de encontrar, los he dividido por navegador.

Cromo

Para desactivar completamente las notificaciones, incluso desde una extensión:

  • Haga clic en el botón de tres puntos en la esquina superior derecha del menú de Chrome para ingresar al menú de Configuración .
  • Desplácese hacia abajo en el menú Configuración y haga clic en Avanzado.
  • En Privacidad y seguridad,  seleccione Configuración de contenido.
  • En este menú, seleccione Notificaciones.
  • De forma predeterminada, el control deslizante está establecido en Preguntar antes de enviar (recomendado),  pero puede moverlo a Bloquear si desea bloquear las notificaciones por completo.

Configuración de notificaciones Chrome

Para un control más granular, puede usar este menú para manipular los elementos individuales. Tenga en cuenta que los elementos con una pieza de rompecabezas se aplican mediante una extensión, por lo que primero tendría que averiguar qué extensión y luego eliminarla. Pero para los que tienen los tres puntos detrás de ellos, puede hacer clic en los puntos para abrir este menú contextual:

opciones de notificaciones

Al seleccionar Bloquear se moverá el elemento a la lista de bloqueos. Al seleccionar Eliminar se eliminará el elemento de la lista. Le pedirá permiso para mostrar las notificaciones nuevamente si visita su sitio (a menos que haya configurado el control deslizante en Bloquear ).

Atajo: otra forma de ingresar al menú de Notificaciones que se mostró anteriormente es haciendo clic en el ícono del engranaje en las notificaciones.

icono de configuración de notificación

Esto lo llevará directamente a la lista detallada.

Firefox

Para activar completamente las notificaciones en Firefox:

  • Haga clic en las tres barras horizontales en la esquina superior derecha de la barra de menú y seleccione Opciones en el menú de configuración.
  • En el lado izquierdo, seleccione Privacidad y seguridad.
  • Desplácese hasta la sección Permisos y haga clic en el botón Configuración detrás de Notificaciones.

Permisos de notificaciones de Firefox.

  • En el menú resultante, coloque una marca de verificación en el  cuadro Bloquear nuevas solicitudes solicitando permitir notificaciones en la parte inferior.

Control de notificaciones granulares de Firefox.

En el mismo menú, puede aplicar un control más granular configurando los elementos enumerados en Bloquear o Permitir utilizando el menú desplegable detrás de cada elemento.

Ópera

En lo que respecta a las notificaciones push, puede ver qué tan estrechamente relacionados están Opera y Chrome.

  • Abra el menú haciendo clic en la O en la esquina superior izquierda.
  • Haga clic en Configuración (en Windows) / Preferencias (en Mac).
  • Haga clic en Avanzado y seleccione Privacidad y seguridad.
  • En Configuración de contenido (escritorio) / Configuración del sitio (Android,) seleccione Notificaciones.

Configuración de Opera en Android

En Android, puedes eliminar todos los elementos a la vez o uno por uno. En los equipos de escritorio, funciona exactamente igual que en Chrome. Lo mismo es cierto para acceder al menú desde las notificaciones en sí. Haga clic en el ícono del engranaje en la notificación, y se lo llevará al menú de Notificaciones .

Borde

Para deshabilitar las notificaciones web en Windows:

  • Haga clic en el botón Inicio en Windows (icono de Windows).
  • Seleccione Ajustes (icono de engranaje).
  • Seleccione Sistema.
  • Seleccione Notificaciones y acciones.
  • Desplácese hacia abajo y seleccione Microsoft Edge en la lista de remitentes.
  • Aquí, configura el interruptor para Notificaciones en Desactivado o cambia las propiedades de notificación.

También puede administrar las notificaciones sitio por sitio en Edge:

  • Haga clic en el botón de tres puntos en la esquina superior derecha y seleccione Configuración.
  • Desplácese hacia abajo y haga clic en Ver configuración avanzada.
  • En Notificaciones,  haga clic en Administrar.
  • Aquí, puede desactivar las notificaciones de un sitio web específico.

Safari

Inicie Safari y vaya a Safari> Preferencias,  o presione Comando-Coma. Haga clic en la pestaña Notificaciones . Desde allí, puede deshabilitar / habilitar manualmente notificaciones de sitios seleccionados, eliminar todas las notificaciones o acceder a sus Preferencias de notificación en todo el sistema.

¿Son estas notificaciones útiles en absoluto?

Si bien podemos concebir algunos casos en los que las notificaciones push pueden resultar útiles, no lo haremos en contra de usted si decide desactivarlas por completo.

Las notificaciones web push no solo molestan a los usuarios de Windows. Android, Chromebook, MacOS e incluso los usuarios de Linux pueden verlos si utilizan uno de los navegadores participantes: Chrome, Firefox, Opera, Edge y Safari. En algunos casos, el navegador ni siquiera tiene que abrirse, y aún puede mostrar notificaciones push.

Tenga cuidado y piense dos veces antes de hacer clic en «Permitir».

Informe del estado del Malware en 2019: los troyanos y los cryptominers dominan el panorama de amenazas

Informe de 2019 sobre el estado del malware: los troyanos y los cryptominers dominan el panorama de amenazas

Informe del estado del Malware en 2019: los troyanos y los cryptominers dominan el panorama de amenazas

Publicado: 23 de enero de 2019 por 
Última actualización: 21 de enero de 2019

Cada trimestre, el equipo de Malwarebytes Labs se reúne para compartir información, estadísticas y análisis de las tácticas y técnicas que los ciberdelincuentes hicieron populares en los últimos tres meses. Al final del año, sintetizamos estos datos en un informe que abarca todo (el informe del Estado de Malware) que apunta a seguir las amenazas más importantes, los métodos de distribución y otras tendencias que dieron forma al panorama de amenazas.

Nuestro informe de 2019 sobre el estado del malware está aquí, y es muy bueno.

En nuestra investigación, que abarca de enero a noviembre de 2018 y la compara con el período anterior en 2017, encontramos que dos categorías principales de malware dominaron la escena, con criptadores que empaparon positivamente a los usuarios al final de 2017 y en la primera mitad de 2018. y ladrones de información en forma de troyanos que se hacen cargo de la segunda mitad del año.

Pero eso no es todo lo que descubrimos.

El informe 2019 State of Malware sigue las 10 principales amenazas globales para consumidores y empresas, así como las principales amenazas por región y por sectores verticales de la industria corporativa. Además, seguimos las notables técnicas de distribución del año, así como las estafas populares. Algunos de nuestros hallazgos incluyen:

  • En 2018, vimos un cambio en las técnicas de ataque de ransomware de malvertising y exploits que ofrecen ransomware como una carga útil para ataques dirigidos y manuales. El enfoque de la escopeta se reemplazó con fuerza bruta, como se vio en las campañas SamSam más exitosas del año.
  • Los autores de programas maliciosos giraron en la segunda mitad de 2018 para apuntar a las organizaciones sobre los consumidores, reconociendo que la mayor recompensa fue hacer víctimas de las empresas en lugar de individuos. Las detecciones generales de malware en los negocios aumentaron significativamente en el último año (79% para ser exactos) y principalmente debido al aumento de las puertas traseras, los mineros, el software espía y los ladrones de información.

  • Las consecuencias de la filtración de los ataques de la NSA por parte de los ShadowBrokers en 2017 continuaron, ya que los cibercriminales utilizaron las vulnerabilidades de las pymes EternalBlue y EternalRomance para propagar troyanos peligrosos y sofisticados, como Emotet y TrickBot. De hecho, los ladrones de información fueron la principal amenaza para los consumidores y las empresas en 2018, así como la principal amenaza regional para América del Norte, América Latina y Europa, Oriente Medio y África (EMEA).

Finalmente, nuestro equipo de Labs observó su bola de cristal y predijo las mejores tendencias para 2019. De particular interés son las siguientes:

  • Los ataques diseñados para evitar la detección, como los registradores de sonido, se deslizarán en la naturaleza.

  • La inteligencia artificial será utilizada en la creación de ejecutables maliciosos.

  • Los movimientos como Traer tu propia seguridad (BYOS) al trabajo crecerán a medida que la confianza disminuya.

  • Las botnets IoT llegarán a un dispositivo cerca de ti.

Para obtener más información sobre las principales amenazas y tendencias en 2018 y nuestras predicciones para 2019, descargue nuestro informe del siguiente enlace.

Informe 2019 Estado del Malware

Una semana en seguridad informatica (14 al 20 de enero).

Una semana en seguridad (14 al 20 de enero).

Una semana en seguridad (14 al 20 de enero).

Publicado: 21 de enero de 2019 por 

La semana pasada, en el blog Malwarebytes Labs, examinamos cómo el cierre del gobierno está influyendo en los trabajos de seguridad cibernética, el grupo de amenazas persistentes avanzadas APT10 , el regreso de  Fallout EK , el alojamiento de sitios maliciosos en servidores legítimos y la violación de datos de la  Colección 1 .

Otras noticias de ciberseguridad.

  • El intercambio de criptomonedas con sede en Nueva Zelanda Cryptopia se ha desconectado después de sufrir una violación de seguridad, lo que resultó en pérdidas significativas. Cryptonia ha notificado e involucrado a agencias gubernamentales relevantes, incluida la policía de Nueva Zelanda y la Unidad de Delitos de Alta Tecnología. (Fuente: Coindesk)
  • Un ex empleado  de una compañía británica se declaró culpable de un cargo por obtener acceso no autorizado a una red con la intención de cometer más delitos, y un cargo de cometer actos no autorizados con la intención de impedir el funcionamiento de una computadora dentro de una red. Se le ordenó al empleado pagar 20,000 libras de compensación. (Fuente: Leamington Observer)
  • Un juez de California dictaminó que los policías estadounidenses no pueden obligar a las personas a desbloquear un teléfono móvil con la cara o los dedos. La sentencia protege aún más la vida privada de las personas de las búsquedas del gobierno, y está siendo considerada como una decisión potencialmente histórica. (Fuente: Forbes)
  • La Oficina del Director de Información Estatal del Departamento de Servicios Administrativos del Estado de Oregon pagó en exceso los servicios por $ 400 millones a $ 1,600 millones durante el período de 2015 a 2017, según una auditoría realizada por la División de Auditoría del Secretario de Estado de Oregón que analizó $ 8 mil millones de gasto. (Fuente: CioDive)
  • El reciente parche de seguridad de Windows CVE-2019-0543 ha introducido un cambio importante en un escenario remoto de PowerShell . Es un escenario de ámbito estrecho que debería tener un bajo impacto para la mayoría de los usuarios, ya que el cambio de ruptura solo afecta la comunicación remota local. (Fuente: Blog del equipo PowerShell)
  • El Hombre de Hielo viene, su reloj inteligente le dijo a la policía: Hitman fue encarcelado después de que Gizmo lo vincula con los asesinatos de Gran Bretaña. El corredor de Avid y el asesino a sueldo Mark Fellows fue declarado culpable de asesinato esta semana luego de que su reloj Garmin le atacara . (Fuente: El Registro)
  • Se descubrieron fallas de seguridad en ThreadX , un sistema operativo en tiempo real (RTOS) desarrollado por Express Logic. El proveedor afirma en su sitio web que ThreadX tiene más de 6,2 mil millones de implementaciones, siendo uno de los chips de Wi-Fi más populares de software. (Fuente: BleepingComputer)
  •  Se descubrió que el chatter descifrado de  Telegram es un nuevo malware de Windows, denominado GoodSender, que utiliza la plataforma de mensajería para escuchar y esperar los comandos. El atacante puede usar Telegram para comunicarse con el malware y enviar instrucciones protegidas por HTTPS. (Fuente: SC Media)
  • Una  falla de seguridad de Fortnite podría haber expuesto las cuentas de los jugadores. Los investigadores de seguridad encontraron vulnerabilidades en el sitio de Epic que podrían haber permitido a los hackers acceder a las cuentas. Pudieron escuchar a los miembros de la escuadra de Fortnite hablar entre ellos y podrían haber comprado la moneda virtual de V-Bucks utilizando los datos de la tarjeta de crédito almacenados de los jugadores. (Fuente: Engadget)
  • Las bromas y los desafíos siempre han sido populares en YouTube , pero ahora la compañía propiedad de Google ha establecido pautas más estrictas para dicho contenido. Una nueva página de soporte de YouTube proporciona detalles para prohibir las bromas y los desafíos que causan daño físico o emocional inmediato o duradero. (Fuente: ArsTechnica

Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan estas amenazas?

Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan los actores de amenazas?

Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan estas amenazas?

Publicado: 18 de enero de 2019 por 
Última actualización: 17 de enero de 2019

¿Cómo se las arreglan los actores de amenazas para que sus sitios y archivos se alojen en servidores de proveedores legítimos? Me he hecho esta pregunta muchas veces y muchas veces pensé: «Los actores de la amenaza pagan por ello, y para algunas empresas, el dinero es todo lo que importa».

Pero, ¿es realmente así de simple? Decidí averiguarlo.

Le pregunté a algunas compañías, así como a algunos de mis compañeros de trabajo que están involucrados regularmente en el retiro de sitios, sobre sus experiencias.

Conversé con William Tsing, quien es responsable, entre otros, de las infracciones de la marca Malwarebytes; Steven Burn, nuestro líder del equipo de protección de sitios web; y con un portavoz de International Card Services BV (ICS), la compañía detrás de las conocidas tarjetas de crédito Visa y Mastercard. También envié consultas a algunos bancos internacionales, pero a la fecha de publicación, no respondieron. Al recibir las solicitudes de eliminación, pregunté a los proveedores sobre sus métodos y motivos.

Antecedentes de la investigación.

Para brindarle información sobre por qué participamos en las reducciones: a pesar de que protegemos a nuestros clientes al agregar dominios e IP maliciosos a nuestras listas de bloqueo, también informamos de esos sitios y tratamos de desconectarlos. Esto no siempre resulta en un derribo exitoso, pero si existe la posibilidad de proteger a todos contra sitios maliciosos (y no solo a nuestros clientes), siempre aprovecharemos la oportunidad.

Veamos este problema desde algunos ángulos, comenzando con los iniciadores de derribos.

Protegiendo tu marca y tus clientes.

Los impostores pueden darle a su empresa una mala reputación inmerecida y causar daños financieros. Muchas compañías financieras son responsables de las pérdidas debidas a correos de phishing y copias falsas de sus sitios web. Por lo tanto, generalmente están bien organizados cuando se trata de lidiar con las quejas de abuso. En el sector financiero, uno de los mayores problemas son los correos de phishing que enlazan con sitios de imitación. Estas imitaciones pueden ser convincentes, completas con  candados verdes y advertencias irónicas sobre el phishing.

Las corporaciones financieras en general y los bancos en particular están bien preparados para casos de abuso. La mayoría de ellos tienen los siguientes en su lugar:

  • Páginas educativas en su sitio sobre cómo reconocer y tratar los intentos de phishing.
  • Obtenga instrucciones sobre qué hacer si hace clic en un vínculo o ingresa sus credenciales en un sitio falso.
  • Una dirección de correo electrónico de abuso donde los clientes e investigadores pueden reenviar correos de phishing y donde puede reportar sitios falsos.
  • Un departamento de abusos que está luchando constantemente para que los sitios se desconecten y estén dirigidos a sus marcas.

El portavoz de ICS nos hizo saber que siempre intentan eliminar sitios maliciosos y tienen éxito en unos 300 casos por mes, a nivel mundial. Según su experiencia, la mayoría de los proveedores actúan con rapidez, pero a veces las diferentes zonas horarias y horarios de oficina retrasan el proceso más de lo necesario.

En Malwarebytes, también tenemos que lidiar con impostores, algunos de los cuales están vendiendo nuestro producto gratuito y otros que son estafadores de soporte técnico que pretenden ser nuestro departamento de soporte. William Tsing ha desayunado con algunos de estos muchachos, pero hay algunos casos en los que es frustrante eliminar el contenido fraudulento. Algunas de nuestras quejas son:

  • Tratar con robots automatizados que son imposibles de convencer de que hay algo fraudulento en marcha.
  • No hay respuesta del proveedor en absoluto.
  • Una cultura que preferiría recibir una queja sobre el contenido en lugar de clientes descontentos a quienes se les eliminó el contenido, sin importar cuál sea ese contenido.
Sitio web de godaddy

Este proveedor aparentemente sabe lo que debe ser eliminado.

Hosting y otros proveedores

Como se mencionó anteriormente, también enviamos algunas consultas a las empresas de alojamiento y, esto puede no ser una sorpresa: las empresas que realmente actúan a solicitud de eliminación fueron las únicas que respondieron. El resto decidió tratar mi solicitud de información de la misma manera que lo harían con una solicitud de eliminación: la ignoraron.

Según Steven Burn, responsable de las listas de bloqueo de Malwarebytes, este es un comportamiento típico. Sin embargo, en su experiencia, las empresas de alojamiento de Europa occidental y norteamericanas suelen ser mucho más cooperativas que los proveedores rusos y chinos.

Hemos preguntado a estas compañías de alojamiento qué consideran contenido malicioso y las que respondieron estuvieron de acuerdo con las siguientes razones para desconectar los sitios:

  • Contenido de phishing
  • Contenido hacking
  • Malware (como descargas)
  • Spamming

Algunos otros también especificaron:

  • Software ilegal y grietas
  • Contenido inapropiado

Todos estos proveedores estimaron que el tiempo entre la recepción de una queja y la solución del problema es de menos de ocho horas hábiles. Sé por experiencia que la mayoría son incluso más rápidos. También sabemos que los que no respondieron tienen más probabilidades de atender las solicitudes de las grandes empresas más rápido que las de los investigadores, o como dicen, «terceros no relacionados». Y es posible que algunos no respondan, o peor aún, haz que un bot automatizado te envíe respuestas que te lleven a la pared o a la desesperación.

Acortadores de URL

Hay otros proveedores en juego cuando se trata de sitios maliciosos. Tomemos, por ejemplo, los acortadores de URL. Los ciberdelincuentes a menudo utilizan los servicios de acortamiento de URL para ofuscar redireccionamientos a destinos maliciosos. Por lo tanto, si no puede eliminar el sitio web porque el proveedor de alojamiento no responde, puede intentar obtener el acortador de URL para eliminar el enlace acortado de su lista de redirecciones. En algunos casos en los que el actor de amenazas difundió el enlace solo en forma abreviada, esto podría ser igual de efectivo. La mayoría de estos servicios de acortamiento de URL proporcionan un excelente soporte, así como instrucciones detalladas en su sitio sobre cómo proceder.

poco abuso

Registradores

Un registrador de nombres de dominio es una empresa que administra la reserva de nombres de dominio de Internet. En la cadena de alojamiento de sitios web maliciosos, son al menos tan importantes como la compañía que proporciona el servidor físico. Un registrador puede detener las solicitudes de DNS para que un dominio termine en el servidor correcto. Un registrador es también el jugador que tiene que habilitar a los actores de amenazas cuando utilizan técnicas como los algoritmos de generación de dominios (DGA) . Si el actor de amenazas no puede registrar automáticamente los dominios generados por el algoritmo, la configuración completa de la DGA falla. A veces, el registrador y la empresa de alojamiento son iguales, pero no siempre es así.

Exploraciones del servidor

Otra pregunta que les hice a los proveedores es si realizan escaneos de sus servidores para detectar malware inactivo o sitios maliciosos. El malware inactivo en un servidor podría indicar que un sitio web aloja malware para descargar. El malware alojado se puede usar como una carga útil para los troyanos descargadores, o se puede ofrecer para descargarlo bajo la cortina de humo que pretende ser un archivo legítimo. Los proveedores respondieron que sus servidores están protegidos, pero no por software de seguridad que analiza en busca de malware inactivo. Un proveedor, sin embargo, indicó que analizan los sitios recién creados en busca de signos de que el sitio podría usarse con fines maliciosos para establecerlos de forma proactiva fuera de línea.

Investigadores de seguridad

Muchos investigadores de seguridad reportarán sus hallazgos a las partes interesadas. Su efectividad parece depender de lo bien que estén conectados. Esto es desafortunado, ya que las solicitudes de investigadores relativamente desconocidos pueden ser tan legítimas como las de jugadores de larga data. Creemos que todas las quejas deben tomarse en serio, ya sea que se envíen a la dirección de correo electrónico de abuso general o al jefe del departamento; ya sea que provenga de una compañía financiera, un proveedor de antivirus o un investigador de botnet independiente.

Nuestra experiencia con los proveedores varía tanto que es difícil dar orientación general. Hay un proveedor que le permite a Steven Burn desconectar los sitios y hacer preguntas más tarde. Hubo un proveedor que fue maltratado por los estafadores de soporte técnico, pero cuando se lo indiqué, buscaron y encontraron una propiedad común en todas las cuentas que los actores de amenazas registraron con ellos. Al hacerlo, pudieron eliminar todos los sitios de los estafadores, incluso los que aún no se habían publicado. Estos son algunos ejemplos de las formas en que podríamos trabajar juntos para hacer de Internet un lugar más seguro.

Pero si usted es un investigador o trabaja en un departamento de abuso, también sabe el otro extremo del espectro. Estoy hablando de los proveedores que venderían a su abuelo por un dólar o de los gigantes de las redes sociales que reciben tantas quejas, se necesitan meses para superar las respuestas automáticas.

La respuesta a mi pregunta.

En un mundo ideal, los actores de amenazas tendrían que usar sus propios servidores para alojar sitios maliciosos. Esto haría mucho más fácil para los agentes de la ley descubrir quiénes son y ponerlos donde pertenecen. Hablar con algunas de las personas que tienen que lidiar con este problema a diario ha confirmado más o menos lo que ya sospechaba: el problema subyacente para el alojamiento de sitios maliciosos es sobre el dinero. Sin embargo, es quizás un poco más matizado de lo que originalmente creía. Mi revisión de mi respuesta original sería que hay dos problemas en juego:

  • Al proveedor no le importa de dónde proviene el dinero, o cómo se usará el sitio para ganar más dinero.
  • El proveedor no ha dado prioridad a gastar dinero en un departamento de abuso que funciona.

¿Hay algo que podamos hacer para cambiar estas actitudes? Hay una manera de hacer que los proveedores se sienten y escuchen. Cuando alojamos nuestros propios sitios, podemos preguntarnos con qué tipo de proveedor preferiríamos hacer negocios: ¿uno que tome en serio el abuso, o el que haga la vista gorda ante la ciberdelincuencia? Si las prácticas negligentes se convierten en pérdidas de ganancias, es probable que estas empresas de alojamiento tomen las solicitudes de retiro más en serio.

La espera de una legislación que responsabilice a los proveedores del contenido que alojan puede llevar mucho tiempo, o incluso puede que no ocurra en algunos países. Es mejor, entonces, tomar los asuntos en tus propias manos. Si ves algo, di algo. Y si posee su propio sitio web ahora o planea lanzar uno en el futuro, examine las prácticas comerciales de esas empresas de alojamiento e invierta en aquellas que están tomando en serio la seguridad de Internet.

¿Tienes experiencias de eliminación propia para compartir? ¿Alguna vez ha reportado un sitio malicioso a un proveedor? Quéjese en la sección de los comentarios.

Los archivos de amenazas persistentes avanzadas: APT10

Los archivos de amenazas persistentes avanzadas: APT10

Los archivos de amenazas persistentes avanzadas: APT10

Publicado: 16 de enero de 2019 por 
Última actualización: 15 de enero de 2019

Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo. Si bien los objetivos pueden ser cualquier persona o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy comenzamos con APT10. (Nota: estos grupos tienen una serie de nombres diferentes, pero para simplificar, vamos a tomar prestados los convenios de denominación de Mandiant para los grupos chinos).

¿Quién es APT10?

Observado por primera vez en 2009, el APT10 se atribuye más comúnmente a través de una investigación de código abierto al Ministerio de Seguridad del Estado  (MSS) de China . Los ataques de MSS son típicamente, pero no se limitan a: objetivos de inteligencia que rodean las negociaciones comerciales, investigación y desarrollo en competencia con entidades comerciales chinas, y objetivos de inteligencia de alto valor en el extranjero. Como ejemplo de una operación de negociación comercial, Fidelis Security observó un ataque en un pozo de agua en febrero de 2017 dirigido a los miembros del Consejo Nacional de Comercio Exterior, un grupo de presión del comercio estadounidense.

Una herramienta de uso común de APT10 es Scanbox, que es una forma de malware que puede ofrecer información sobre sus prioridades de orientación. Scanbox se ha observado en diversos objetivos del sector industrial en los EE. UU. Y Japón, pero también en disidentes uigures en el extranjero . Si bien esto respalda la tesis de que APT10 es un grupo de amenazas del gobierno, le advertimos a los defensores contra la asociación de cualquier pieza de malware exclusivamente con un grupo. Los países mantienen múltiples grupos de amenazas, todos los cuales son completamente capaces de colaborar y compartir TTP.

Malware implementado comúnmente

APT10 es conocido por implementar el siguiente malware:

Nota: PlugX y Poison Ivy fueron desarrollados y desplegados originalmente por actores chinos patrocinados por el estado. Desde entonces, se han vendido y revendido a actores de amenazas individuales en múltiples naciones. Al momento de escribir, no es apropiado atribuir un ataque a los actores de amenazas chinos basándose únicamente en la implementación de PlugX o Poison Ivy.

¿Debería estar preocupado?

Eso depende del tipo de organización que ejecute. Se ha observado que APT10 se dirige principalmente a las telecomunicaciones de construcción, ingeniería, aeroespacial y regional, así como a los objetivos gubernamentales tradicionales. Si su empresa existe fuera de estos verticales, es poco probable que APT10 invierta el tiempo y los recursos para dirigirse a usted. Para las empresas fuera del perfil de orientación, es mucho más rentable gastar los presupuestos de defensa en vulnerabilidades comunes que son más aprovechadas por atacantes comunes.

¿Qué podrían hacer después?

Como la mayoría de las APT, APT10 se ha dirigido tradicionalmente a gran escala cuando ataca a una empresa comercial. Sin embargo, un informe más reciente de Price Waterhouse Cooper y BAE Systems sugiere que han comenzado a dedicar una parte de sus operaciones a los proveedores de servicios gestionados (MSP), muy probablemente en un intento de filtrar datos confidenciales de los clientes. Dado que cada vez hay más conciencia de las amenazas avanzadas por parte de los objetivos de alto valor, continuar apuntando a los MSP de esta manera es un medio plausible de obtener los mismos datos deseados a un menor costo.

Recursos adicionales

Si desea leer un poco más sobre APT, y específicamente APT10, eche un vistazo a los siguientes recursos:

Perfil APT10 de FireEye

Artículo de Dark Reading: el actor de amenazas APT10 con sede en China incrementa la actividad de ciberespionaje

Resumen de PwC sobre Operación Cloud Hopper (campaña APT10)

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Publicado: 15 de enero de 2019 por 

A partir de este escrito, el cierre del gobierno de 2019 es el más largo de la historia de América . La única buena noticia sobre esta situación es que, con cada día que pasa, un nuevo grupo de personas en el país parece descubrir cuán esenciales son los servicios gubernamentales, ahora que no están disponibles.

Incluso aquellos de nosotros que no nos vemos obligados a perder el trabajo pronto sentiremos el aguijón de esta ronda de teatro político.

La próxima víctima probable es el establo de talentos de ciberseguridad del gobierno. He aquí por qué y lo que podría significar para nosotros a largo plazo.

¿Cuánto talento del gobierno está desposeído?

Algunos de nosotros nos sorprenderíamos al saber que el gobierno federal tiene una fuerza laboral dedicada exclusivamente a la ciberseguridad. Muchas de estas instituciones y equipos completamente esenciales se reducen a grupos de esqueletos, mientras que la gente en DC se da cuenta de las cosas. Esto tiene el potencial de causar daños duraderos cuando se trata de la capacidad del gobierno para retener a estos especialistas.

En el momento de redactar este informe, el Departamento de Seguridad Nacional ha suspendido al 20 por ciento de su personal dedicado a las «principales operaciones cibernéticas», así como a funciones administrativas y de apoyo. Pero cuando observa todo el aparato de ciberseguridad del gobierno federal, la pérdida potencial total de talento es mucho mayor que solo el DHS. Según un documento de planificación, el 43 por ciento de toda la fuerza laboral de ciberseguridad de los EE. UU. Está actualmente suspendida .

Sin embargo, ocupando el primer lugar está el Instituto Nacional de Estándares y Tecnología, o NIST, con el 85 por ciento de su personal suspendido .

Esto representa un peligro hoy en varios niveles. Pero también hay un tipo de daño más duradero del que pocos están hablando en este momento.

¿Los empleados federales acudirán al sector privado?

Algunas de las iniciativas de personal y talento más importantes tomadas durante la administración de Obama se referían al tratamiento, la compensación y los beneficios de los empleados y contratistas federales. El objetivo era hacer que el sector público (el gobierno) fuera más competitivo con el sector privado. Así es como las corporaciones retienen talento, y es así como el gobierno puede hacerlo también.

No es un secreto que las perspectivas de trabajo para los científicos informáticos, y en particular los especialistas en ciberseguridad, son bastante cómodos en este momento. Los desarrolladores de software disfrutan de un ingreso medio de más de $ 100,000 por año .

Pero ahora que el gobierno está cerrado, Washington, DC (y todos nuestros gobiernos estatales) lucharán aún más, no solo para ganar talento del sector privado, sino para mantenerlo. Con los cheques de pago potencialmente fuera de la mesa por «meses o años», según el Presidente, cada vez es más probable que esta situación ya frágil sea llevada al punto de ruptura.

En una entrevista con el Washington Post, un ex funcionario cibernético del DHS llamado Greg García explicó la situación: «Hay imprevisibilidad e incertidumbre e inestabilidad [para los empleados cibernéticos del DHS]» , dijo . «Agregue encima de todo lo que no se paga, y no los envidio».

¿Mencionamos que García es un ex funcionario cibernético del DHS?

El problema aquí es uno de moral. No hemos estado esforzándonos lo suficiente en los últimos años para mantener la competitividad del gobierno con la industria, y ahora estamos pagando el precio.

¿Qué depara el futuro para el talento de ciberseguridad a nivel federal?

La conclusión con este cierre del gobierno, al igual que con cualquier otro, es que enviar a sus empleados a casa sin paga, y sin un calendario para cuando sus trabajos y oficinas estarán en funcionamiento, es una mala manera de hacer negocios. Esta es una mala muestra de parte de un gobierno que adquiere su propia visión para los negocios desde ambos lados del pasillo político.

Lo que es probable que veamos es un «efecto escalofriante» en la próxima generación o dos de empleados gubernamentales potenciales. Mantener estas posiciones como rehenes en las negociaciones presupuestarias, posiciones para las cuales los solicitantes obtuvieron títulos y acreditación, es equivalente a decirles que el gobierno no es un empleador honorable y que su talento no se valora, y que no nos importa si lo toman. en otra parte.

Y hay un montón de «otro lugar» para ellos, resulta. En 2017, había casi 300,000 puestos de trabajo disponibles en las «ciencias cibernéticas». Eso suena a muchas oportunidades, pero en realidad se convertirá en una escasez de talento total de 1.8 millones de empleos para 2022.

Realmente no queremos alejar a las personas de esta línea de trabajo, especialmente cuando las apuestas son tan altas. Además, está claro que el gobierno no puede permitirse perder el talento que ya está reunido. No va a haber suficiente para pasar demasiado tiempo, y las prioridades, posiblemente, deberían estar en la seguridad nacional.

Recordando las estacas

Apenas pasa un día sin que nos recuerden que, al igual que nos ha acercado, la conectividad a Internet también ha proporcionado nuevas herramientas para posibles influencias disruptivas.

Los informes están disponibles ahora que detallan el grado en que la infraestructura nacional crítica, como nuestras centrales nucleares y otras centrales eléctricas, las instalaciones de tratamiento de agua y las redes eléctricas, son sorprendentemente vulnerables a los intentos de piratería interna y extranjera . Esta es una época brillante y maravillosa, pero está claro que muchos de los sistemas en los que confiamos para la vida civilizada no son tan seguros como se supone que deben ser.

Debemos recordar que incluso nuestras máquinas de votación están desactualizadas y tienen una buena posibilidad de ser hackeadas o manipuladas. No ha habido mucho ruido en Washington acerca de tapar estos agujeros de seguridad peligrosos y antidemocráticos. Sin embargo, el desalojo y la devaluación del talento cibernético a nivel federal y estatal no es una buena manera de atraer la atención y el apoyo a temas tan importantes.

¿Hay alguna solución previsible a este problema?

La primera solución implica recordar que el Departamento de Defensa de los EE. UU., Incluso antes de que se cerrara el gobierno, ya estaba perdiendo unos 4.000 empleados al sector privado cada año, una señal de que nuestro gobierno ya era un lugar insatisfactorio para trabajar. De hecho, «insatisfecho» o «muy insatisfecho» fue la forma en que el 20 por ciento de los empleados del DHS describieron sus trabajos en una encuesta realizada en 2018 .

Incluso algunos de los recursos más críticos en Internet han sido desconectados por este cierre . NIST mantiene catálogos de estándares de ciberseguridad gubernamentales que son esenciales para mantener el tiempo de actividad de la página web y los certificados HTTPS. Con el 85 por ciento de su personal sentado en casa, los certificados de seguridad caducarán y los sitios web serán retirados.

Cuando recursos como estos no están disponibles, Internet se convierte en un lugar evidentemente menos seguro para pasar el tiempo . Y eso es lo último que queremos.

Una semana en seguridad informatica (7 – 13 de enero)

Una semana en seguridad (7 - 13 de enero)

Una semana en seguridad (7 – 13 de enero)

Publicado: 14 de enero de 2019 por 

La semana pasada, en el blog Malwarebytes Labs, echamos un vistazo al ataque de Ryuk ransomware que causó problemas durante las vacaciones, así como una  amenaza de rescate para una empresa de transporte irlandesa. Exploramos el reino de las estafas de SSN y observamos lo que sucede cuando un sistema de alerta temprana es atacado.

Otras noticias de ciberseguridad.

  • Problemas de reutilización de contraseña. Varias cuentas de Reddit informaron que se habían bloqueado después de que los administradores del sitio culparan por la «reutilización de contraseña» por el problema. (Fuente: El Registro)
  • 85 aplicaciones maliciosas extraídas de Play Store. Lamentablemente, no antes ya habían tenido lugar unos 9 millones de descargas . (Fuente: Trend Micro)
  • Riesgo de enrutador a domicilio. Parece que muchos enrutadores domésticos no están haciendo lo suficiente en la lucha contra los piratas informáticos . (Fuente: Help Net Security)
  • Eliminación no permitida. Algunas personas no están felices de no poder eliminar Facebook de sus teléfonos Samsung. (Fuente: Bloomberg)
  • Takedown: cómo un administrador de sistema derribó el notorio «El Chapo». (Fuente: USA Today)
  • 2FA bajo fuego.  Se puede usar una nueva herramienta de pentest llamada Mantis para ayudar en el phishing de los códigos OTP (contraseña de una sola vez). (Fuente: Naked Security) 
  • Facebook no cumple con las nuevas leyes de seguridad en Vietnam. Las nuevas reglas han traído un punto de incomodidad para Facebook, acusado de no eliminar ciertos tipos de contenido y entregar datos relacionados con «cuentas fraudulentas». (Fuente: Vietnam News)
  • Sitio de comercio tiene un problema de fugas. Un usuario en la plataforma de operaciones recién creada pudo capturar una gran cantidad de fragmentos potencialmente problemáticos , incluidos tokens de autenticación y enlaces de restablecimiento de contraseña. (fuente: Ars Technica)
  • Riesgo local a los datos de la tarjeta. Un investigador descubrió que la información de pago se estaba almacenando localmente en las máquinas, exponiéndolas potencialmente a cualquier persona con acceso físico. (Fuente: Hacker One) 
  • Facebook exec golpeó. La peligrosa «broma» de enviar a las autoridades armadas a una dirección termina causando problemas para un «ejecutivo de ciberseguridad», después de que las llamadas falsas afirmaran que tenían «bombas de tubo por todas partes» (fuente: publicación diaria de PA)

Mantenganse seguros, todos