Archivo mensual marzo 2020

Pormalwarebytes

Los delincuentes piratean el sitio web de Tupperware con un skimmer de tarjetas de crédito

Los delincuentes piratean el sitio web de Tupperware con un skimmer de tarjetas de crédito

Los delincuentes piratean el sitio web de Tupperware con un skimmer de tarjetas de crédito

Al corriente: por 
Última actualización:

Actualización (2) : un portavoz de Tupperware ha hecho una declaración pública a Alex Scroxton, editor de seguridad de ComputerWeekly. Puedes leerlo aquí .

Actualización : Después de nuestra publicación en el blog, continuamos monitoreando el sitio web de Tupperware. A partir del 25/03 a las 1:45 p.m. PT, notamos que el archivo PNG malicioso se había eliminado, seguido más tarde por el JavaScript que estaba presente en la página de inicio.

El 20 de marzo, Malwarebytes identificó un ataque cibernético dirigido contra la marca doméstica Tupperware y sus sitios web asociados que todavía está activo en la actualidad. Intentamos alertar a Tupperware inmediatamente después de nuestro descubrimiento, pero ninguna de nuestras llamadas o correos electrónicos fueron respondidos.

Los actores de la amenaza comprometieron el sitio oficial de tupperware [.] Com, que promedia cerca de 1 millón de visitas mensuales , así como algunas de sus versiones localizadas al ocultar código malicioso dentro de un archivo de imagen que activa un formulario de pago fraudulento durante el proceso de pago. Este formulario recopila datos de pago del cliente a través de un skimmer digital de tarjetas de crédito y los pasa a los cibercriminales con los compradores de Tupperware de ninguna manera.

Los skimmers digitales de tarjetas de crédito, también conocidos como skimmers web , continúan siendo una de las principales amenazas web que monitoreamos en Malwarebytes. Durante los últimos años, varios delincuentes (generalmente vinculados a grupos organizados de Magecart ) han estado comprometiendo activamente las plataformas de comercio electrónico con el objetivo de robar datos de pago de compradores inconscientes.

A la luz del brote de COVID-19 , el volumen de personas que compran en línea ha aumentado dramáticamente, y hay pocas dudas de que un mayor número de transacciones se verán afectadas por los skimmers de tarjetas de crédito en el futuro.

Hubo una buena cantidad de trabajo en el compromiso de Tupperware para integrar el skimmer de tarjetas de crédito sin problemas y permanecer sin ser detectado por el mayor tiempo posible. A continuación, le mostramos cómo descubrimos el skimmer y analizamos la amenaza y sus técnicas de ataque.

Contenedor de iframe de pícaro

Durante uno de nuestros rastreos web, identificamos un iframe de aspecto sospechoso cargado desde deskofhelp [.] Com cuando visitamos la página de pago en tupperware [.] Com. Este iframe es responsable de mostrar los campos de formulario de pago presentados a los compradores en línea.

Hay algunas banderas rojas con este nombre de dominio:

  • Fue creado el 9 de marzo y, como vemos en muchos sitios web fraudulentos, los dominios recientemente registrados son a menudo utilizados por actores de amenazas antes de una nueva campaña.
  • Está registrado en elbadtoy @ yandex [.] Ru , una dirección de correo electrónico con el proveedor ruso Yandex. Esto parece contradictorio para un formulario de pago en un sitio web de marca estadounidense.
  • Está alojado en un servidor en 5.2.78 [.] 19 junto con una serie de dominios de phishing .

Curiosamente, si inspeccionara el código fuente HTML de la página de pago, no vería este iframe malicioso. Esto se debe a que se carga dinámicamente solo en el Modelo de objetos de documento (DOM).

Una forma de revelar este iframe es hacer clic derecho en cualquier lugar dentro del formulario de pago y elegir «Ver fuente de marco» (en Google Chrome). Se abrirá una nueva pestaña que muestra el contenido cargado por deskofhelp [.] Com.

Hay un pequeño defecto en la integración del skimmer de tarjetas de crédito: los atacantes no consideraron cuidadosamente (o tal vez no les importó) cómo debería verse el formulario malicioso en las páginas localizadas. Por ejemplo, la versión en español del sitio Tupperware está escrita en español, pero el formulario de pago falso todavía está en inglés:

A continuación se muestra la forma legítima (en español):

Más trucos para engañar a los compradores

Los delincuentes idearon su ataque de skimmer para que los compradores primero ingresen sus datos en el iframe falso y luego se les muestre inmediatamente un error, disfrazado como un tiempo de espera de la sesión.

Esto permite que los actores de la amenaza recarguen la página con el formulario de pago legítimo. Las víctimas ingresarán su información por segunda vez, pero para entonces, el robo de datos ya ha sucedido.

Tras una inspección minuciosa, vemos que los estafadores incluso copiaron el mensaje de tiempo de espera de sesión de CyberSource, la plataforma de pago utilizada por Tupperware. El formulario de pago legítimo de CyberSource incluye una función de seguridad donde, si un usuario está inactivo después de un cierto período de tiempo, el formulario de pago se cancela y aparece un mensaje de tiempo de espera de sesión. Nota: también contactamos a Visa, propietaria de CyberSource, para denunciar este abuso.

Todavía puede detectar una ligera diferencia entre la página de tiempo de espera legítimo (cargada de secureacceptance.cybersource.com) y la falsa. El primero contiene el texto «Sesión expirada» en negrita, texto negro, mientras que el segundo presenta texto gris que es a la vez una fuente más pequeña y diferente.

Los datos robados se envían al mismo dominio utilizado para alojar el iframe falso. Los estafadores ahora están en posesión de los siguientes datos de compradores inconscientes:

  • Nombre y apellido
  • Dirección de Envio
  • Número de teléfono
  • Número de tarjeta de crédito
  • fecha de expiración de la tarjeta de crédito
  • Tarjeta de crédito CVV

Otro caso de esteganografía.

Para identificar cómo funcionaba el ataque del skimmer de tarjetas, necesitábamos retroceder algunos pasos y examinar todos los recursos web cargados por tupperware [.] Com, incluidos los archivos de imagen.

Este proceso puede llevar mucho tiempo, pero es necesario para determinar cómo se inyecta el iframe falso. Encontramos un fragmento de código en la página de inicio que llama dinámicamente un ícono de preguntas frecuentes desde el servidor de Tupperware, que se carga silenciosamente (y por lo tanto no es visible para los compradores). La imagen contiene un archivo PNG con formato incorrecto que es bastante sospechoso.

Mirando este archivo usando un editor hexadecimal, podemos ver las diferentes secciones de la imagen. Si bien IEND debe marcar el final del archivo, después de algunos espacios en blanco, hay una gran extensión de JavaScript que incluye varias partes que se han codificado.

En este punto, aún no sabíamos qué debía hacer el código, pero podríamos decir que era algún tipo de ataque esteganográfico, una técnica que observamos en los skimmers web a fines del año pasado. Una forma de averiguarlo es depurar el código JavaScript, a pesar de los intentos del autor del malware de bloquear el depurador.

Una vez que superamos ese obstáculo, finalmente podríamos confirmar que el código incrustado en esta imagen PNG es responsable de cargar el iframe falso en la página de pago:

Hay un código adicional para que el skimmer se cargue sin problemas y de forma encubierta. Los actores de la amenaza en realidad están ocultando el iframe de pago legítimo y protegido haciendo referencia a su ID y utilizando la configuración { display: none }.

También se hace referencia al formulario de pago falso para que encaje en su lugar y se vea exactamente igual (excepto en versiones localizadas). Esto requirió un esfuerzo por parte de los estafadores para imitar el mismo estilo y funcionalidad.

El dominio deskofhelp [.] Com contiene un conjunto de archivos de JavaScript, CSS e imagen para ese efecto y, por supuesto, el código para verificar y filtrar los datos de pago.

Compromiso del sitio

Una pregunta que aún no hemos respondido es cómo se carga la imagen PNG maliciosa. Sabemos que el JavaScript incrustado carga el código dinámicamente en el DOM, pero algo debe llamar primero a ese archivo PNG, y eso debería ser visible en el código fuente HTML.

Para que la identificación sea un poco más difícil, el código se ha desglosado. Sin embargo, podemos reconstruirlo y ver cómo se crea la URL que carga el archivo PNG mediante la concatenación de cadenas, por ejemplo.

Este código es útil para determinar un marco de tiempo para cuando ocurrió el compromiso del sitio web. Aunque no tenemos archivos, sabemos por fuentes externas, como este rastreo de WayBackMachine , que el código no estaba presente en febrero. El hack probablemente ocurrió después del 9 de marzo, que es cuando el dominio malicioso deskofhelp [.] Com se activó.

No sabemos exactamente cómo fue pirateado Tupperware, pero un escaneo a través de SiteCheck de Sucuri muestra que pueden estar ejecutando una versión desactualizada del software Magento Enterprise.

Divulgación y protección.

Al identificar este compromiso, llamamos a Tupperware por teléfono varias veces y también enviamos mensajes por correo electrónico, Twitter y LinkedIn. Sin embargo, al momento de la publicación, aún no hemos recibido noticias de la compañía y el sitio sigue comprometido.

Los usuarios de Malwarebytes están protegidos contra este ataque, incluidos aquellos que ejecutan nuestra extensión gratuita Browser Guard .

Actualizaremos este blog si recibimos información adicional.

Indicadores de compromiso

Archivo PNG malicioso alojado en sitios Tupperware (EE. UU. Y Canadá):

tupperware [.] com / media / wysiwyg / faq_icon.png
es.tupperware [.] com / media / wysiwyg / faq_icon.png

tupperware [.] ca / ​​media / wysiwyg / faq_icon.png
fr.tupperware [.] ca / ​​media / wysiwyg / faq_icon.png

SHA-256 de PNG malicioso

d00f6ff0ea2ad33f8176ff90e0d3326f43209293ef8c5ea37a3322eceb78dc2e

Infraestructura de skimmer

deskofhelp [.] com
5.2.78 [.] 19
Pormalwarebytes

El falso «Corona Antivirus» distribuye la herramienta de administración remota BlackNET

El falso "Corona Antivirus" distribuye la herramienta de administración remota BlackNET

El falso «Corona Antivirus» distribuye la herramienta de administración remota BlackNET

Al corriente: por el 

Los estafadores y los autores de malware están aprovechando la crisis del coronavirus en su apogeo. Hemos visto una serie de campañas de spam que utilizan COVID-19 como un reclamo para engañar a las personas para que instalen una variedad de malware, pero especialmente ladrones de datos.

A medida que más personas trabajamos desde casa, la necesidad de proteger su computadora, especialmente si se está conectando a la red de su empresa, se vuelve más importante. Sin embargo, debe tener mucho cuidado con el software de seguridad falso, especialmente si intenta utilizar el coronavirus como un punto de venta.

Corona antivirus: 100% falso

La última estafa que encontramos es un sitio web (sitio antivirus-covid19 [.]) Que anuncia «Corona Antivirus: la mejor protección del mundo». Así es, los estafadores están intentando que instales un antivirus digital que supuestamente protege contra el virus COVID-19 que infecta a personas en todo el mundo.

Para agregar al sinsentido, el sitio continúa agregando:

Nuestros científicos de la Universidad de Harvard han estado trabajando en un desarrollo especial de IA para combatir el virus utilizando una aplicación de Windows. Su PC lo protege activamente contra los Coronavirus (Cov) mientras se ejecuta la aplicación.

Víctimas infectadas agregadas a BlackNET RAT

Al instalar esta aplicación, su computadora se infectará con malware. El archivo, empaquetado con el empaquetador comercial Themida, convierte su PC en un bot listo para recibir comandos:

hxxps [: //] sitio instaboom-hello [.] // conexión [.] php? data = [eliminado]
hxxps [: //] sitio instaboom-hello [.] // getCommand [.] php? [eliminado]
hxxps [: //] sitio instaboom-hello [.] // recibir [.] php? command = [eliminado]

El servidor de comando y control alojado en el sitio instaboom-hello [.] Revela el panel de control para la botnet BlackNET.

El código fuente completo de este kit de herramientas se publicó en GitHub hace un mes. Algunas de sus características incluyen:

  • Implementar ataques DDOS
  • Tomar capturas de pantalla
  • Robar las cookies de Firefox
  • Robar contraseñas guardadas
  • Implementando un keylogger
  • Ejecutando guiones
  • Robar billeteras de Bitcoin

Elige la protección adecuada

Durante este período, es importante mantenerse seguro tanto en casa como en línea. La cantidad de estafas que hemos visto durante estas últimas semanas muestra que los delincuentes se aprovecharán de cualquier situación, sin importar cuán grave sea.

Recomendamos que mantenga su computadora actualizada y tenga especial cuidado al descargar nuevos programas. Tenga cuidado con las notificaciones instantáneas y otros mensajes, incluso si parecen provenir de amigos.

Los usuarios de Malwarebytes ya estaban protegidos a pesar de que no habíamos visto esta muestra de malware antes, gracias a nuestro motor de aprendizaje automático.

También informamos a CloudFlare ya que los actores de la amenaza estaban abusando de su servicio y tomaron medidas inmediatas para marcar este sitio web como phishing.

Indicadores de compromiso

sitio malicioso

sitio antivirus-covid19 [.]

Bogus corona antivirus

antivirus-covid19 [.] sitio / update.exe
146dd15ab549f6a0691c3a728602ce283825b361aa825521252c94e4a8bd94b4

Panel C2

sitio instaboom-hello [.]
Pormalwarebytes

Consejos de seguridad para trabajar desde casa

Consejos de seguridad para trabajar desde casa (FMH)

Consejos de seguridad para trabajar desde casa (FMH)

Al corriente: por 

Durante la última década, el trabajo remoto y el trabajo desde casa ha crecido en popularidad para muchos profesionales. De hecho, un estudio de 2018 encontró que más del 70 por ciento de los empleados globales trabajan de forma remota al menos una vez por semana. Sin embargo, la  pandemia de coronavirus  y el bloqueo resultante en muchas partes del mundo han obligado a un gran número de empleados a un territorio desconocido, no solo el trabajo remoto, sino también el trabajo a tiempo completo desde su hogar (FMH).

Dadas estas circunstancias, pensamos que sería útil compartir algunos de los consejos de seguridad que tenemos para la FMH, no solo para los equipos de TI que de repente necesitan asegurar toda su fuerza de trabajo remota , sino también para que las personas tomen sus propias precauciones.

He estado trabajando a distancia durante más de cinco años, desde varios lugares y principalmente FMH, así que me atrevo a decir que puedo hablar por experiencia personal.

Seguridad física de la FMH

El primer consejo tan obvio que no es obvio es asegurarse de que sus dispositivos de trabajo estén físicamente seguros y que evite ofrecer vistas no autorizadas de información confidencial. Aquí hay algunas maneras de reforzar la seguridad física mientras la FMH:

  • Si necesita salir de su hogar por suministros u otros motivos, asegúrese de que sus dispositivos de trabajo estén apagados o bloqueados, incluidos los teléfonos móviles que pueda usar para revisar el correo electrónico o hacer llamadas telefónicas de trabajo.
  • Si vives con un compañero de cuarto o niños pequeños, asegúrate de bloquear tu computadora incluso cuando te alejes por un momento. No tientes a tus compañeros de cuarto o familiares dejando tu trabajo abierto. Esto es cierto incluso para el lugar de trabajo, por lo que es imprescindible para la FMH.
  • Si no puede crear un espacio de trabajo separado en su hogar, asegúrese de recoger sus dispositivos al final de su día de trabajo y guárdelos en algún lugar fuera de la vista. Esto no solo evitará que se abran o roben accidentalmente, sino que también ayudará a separar su vida laboral de su hogar.

Acceso al sistema

Quizás la red de su oficina estaba tan protegida que se pensó poco en restringir el acceso a servidores con datos confidenciales. O quizás ahora tenga que trabajar en su computadora portátil personal, una que no pensó mucho en proteger antes de que el coronavirus volcara su vida.

De cualquier manera, es hora de comenzar a pensar en las formas de protegerse contra el acceso no autorizado. Si cree que los ciberdelincuentes (y los delincuentes regulares) serán sensibles a los eventos mundiales y se abstendrán de atacar a trabajadores remotos, lamentablemente, se equivocaría .

  • El acceso al escritorio de su computadora al menos debe estar protegido con contraseña , y la contraseña debe ser segura. Si el sistema es robado, esto evitará que el ladrón acceda fácilmente a la información de la compañía.
  • Si los permisos de red de la oficina anteriormente le daban acceso ilimitado al software de trabajo, ahora es posible que deba ingresar una variedad de contraseñas para obtener acceso. Si su lugar de trabajo aún no ofrece un servicio de inicio de sesión único , considere usar un administrador de contraseñas. Será mucho más seguro que una lista escrita de contraseñas que quedan en su escritorio.
  • El cifrado también ayuda a proteger la información en computadoras robadas o comprometidas. Compruebe si el cifrado de datos está activo en su máquina de trabajo. Si no está seguro, pregunte a su departamento de TI si lo tiene y si cree que es necesario.
  • Si está conectando su computadora de trabajo a su red doméstica, asegúrese de no hacerla visible para otras computadoras en la red. Si tiene que agregarlo al Grupo Hogar, asegúrese de que la opción para compartir archivos esté desactivada.

Separa el trabajo y los dispositivos personales.

Más fácil decir eso hecho, lo sabemos. Aún así, así como es importante trazar límites entre la vida laboral y la vida hogareña mientras la FMH, lo mismo ocurre con los dispositivos. ¿Tiene un niño que ahora recibe educación en el hogar y entrega tareas digitales? ¿Está ordenando comestibles y alimentos en línea para evitar tiendas? Es mejor no cruzar esos pelos con el trabajo.

Si bien puede parecer engorroso alternar constantemente entre los dos, haga todo lo posible para mantener al menos su computadora de trabajo principal y su computadora principal separada (si tiene más de uno de estos dispositivos). Si puede hacer lo mismo con sus dispositivos móviles, aún mejor. Cuantos más programas y software instale, más vulnerabilidades potenciales presentará.

  • No pague las facturas de su casa en la misma computadora que compila las hojas de cálculo de trabajo. No solo puede crear confusión para usted mismo, sino que también puede terminar comprometiendo su información personal cuando un ciberdelincuente intentaba violar su empresa.
  • No envíe correos electrónicos relacionados con el trabajo desde su dirección de correo electrónico privada y viceversa. No solo parece poco profesional, sino que está tejiendo una red que podría ser difícil de desenredar una vez que se reanude la rutina normal de la oficina.
  • Hablando de educación en el hogar, es especialmente importante mantener el plan de estudios digital de su hijo separado de su dispositivo de trabajo. Ambos son objetivos enormes para los actores de amenazas. Imagine su deleite cuando descubra que no solo pueden saquear la red de una organización a través de un trabajador remoto no asegurado, sino que también pueden recolectar información de identificación personal muy valiosa sobre estudiantes jóvenes , lo que genera un gran día de pago en la web oscura.

Conexiones seguras

  • Asegúrese de tener acceso a la infraestructura en la nube de su organización y de que pueda ingresar a través de una VPN con encriptación .
  • Asegure el Wi-Fi de su hogar con una contraseña segura, en caso de que VPN no sea una opción o si falla por alguna razón.
  • El acceso a la configuración en su enrutador doméstico también debe estar protegido con contraseña. Asegúrese de cambiar la contraseña predeterminada con la que vino, ¡ no 12345, gente !

Mejores prácticas de ciberseguridad

Es posible que otras precauciones de seguridad de la FMH no sean tan diferentes de las que debería practicar en la oficina, pero son fáciles de olvidar cuando trabaja en su propio entorno familiar. Algunos de los más importantes:

  • Tenga cuidado con los correos electrónicos de phishing. Habrá muchos dando vueltas tratando de capitalizar el miedo relacionado con el coronavirus , preguntas sobre el aislamiento y sus impactos psicológicos, o incluso pretendiendo ofrecer consejos o información de salud . Escanee esos correos electrónicos con un ojo agudo y no abra archivos adjuntos a menos que sean de una fuente conocida y confiable.
  • Relacionado con el phishing: estoy bastante seguro de que podemos esperar ver un aumento en el fraude de Business Email Compromise (BEC). Su organización puede estar enviándole muchos correos electrónicos y misivas sobre nuevos flujos de trabajo, procesos o garantías a los empleados. Tenga cuidado con aquellos que se disfrazan de empleados de alto rango y preste mucha atención a la dirección de correo electrónico real de los remitentes.
  • Tenga cuidado con la sobreexposición en las redes sociales y trate de mantener el comportamiento y la rutina típicos: ¿normalmente revisa las redes sociales en su teléfono durante la hora del almuerzo? Haz lo mismo ahora. Una vez más, tenga cuidado con las estafas y la información errónea, ya que a los delincuentes les encanta usar este medio para atrapar a sus víctimas.

Otras precauciones de seguridad.

No todas las organizaciones estaban preparadas para este escenario, por lo que es natural que algunas no tengan el nivel de RemoteSec establecido que otras. Asegúrese de ponerse al día con las pautas que tiene su organización para el trabajo remoto. Solicite instrucciones si algo no está claro. No todos tienen el mismo nivel de conocimiento tecnológico: la única pregunta estúpida es una que no se hace.

He enumerado algunas de las preguntas que es posible que deba haber respondido antes de que pueda estar seguro de que la FMH no será un desastre de seguridad. Aquí hay algunos para considerar:

  • Cuando trabaje de forma remota durante largos períodos, asegúrese de saber quién es responsable de las actualizaciones. ¿Se supone que debe mantener todo actualizado o puede su departamento de TI hacerlo por usted?
  • Su sistema puede requerir software de seguridad adicional ahora que ha salido del entorno más seguro de la red de su organización. Consulte con su departamento de TI si debe instalar soluciones adicionales: ¿Necesitará un programa de seguridad para su PC con Windows o para su Mac (que se vio afectado con el doble de amenazas que las computadoras con Windows en 2019)? Si está utilizando un dispositivo Android para el trabajo, ¿debería descargar un software de seguridad que pueda proteger su teléfono? (iOS no permite proveedores de antivirus externos).
  • ¿Cómo funcionará el almacenamiento de datos y la copia de seguridad? ¿Puede guardar y hacer una copia de seguridad de sus archivos locales en una solución de nube corporativa? Averigüe cuál prefieren que use en su función específica.

En una nota diferente

Este es un gran ajuste para muchas personas. Sus primeros días de FMH pueden dejarlo irritado, incómodo, desmotivado o simplemente exhausto. Agregar consejos de seguridad a la lista puede aumentar su fatiga en este momento. Entendemos. Tómelo un día a la vez, un paso a la vez.

Cuando trabaje desde su casa, busque un área de trabajo cómoda donde pueda asumir una postura saludable, minimizar la distracción de los demás y donde su presencia tenga el menor impacto en cómo deben comportarse los demás. Tome descansos para estirar las piernas y descansar los ojos. Y si disfruta de la FMH, ahora es el momento de demostrarle a su empleador que es una opción viable a largo plazo.

Pormalwarebytes

APT36 salta al carro del coronavirus, entrega Crimson RAT

APT36 salta al carro del coronavirus, entrega Crimson RAT

APT36 salta al carro del coronavirus, entrega Crimson RAT

Al corriente: por el 
Última actualización:

Desde que el coronavirus se convirtió en un problema de salud en todo el mundo, el deseo de obtener más información y orientación del gobierno y las autoridades de salud ha alcanzado un punto álgido. Esta es una oportunidad de oro para que los actores de amenazas aprovechen el miedo, difundan información errónea y generen histeria masiva, todo mientras comprometen a las víctimas con estafas o campañas de malware.

Sacar provecho de las preocupaciones mundiales de salud, los desastres naturales y otros eventos climáticos extremos no es nada nuevo para los cibercriminales. Las estafas relacionadas con el SARS, la gripe H1N1 (gripe porcina) y la gripe aviar han circulado en línea durante más de una década. Según los informes de ZDnet , muchos actores de amenazas patrocinados por el estado ya han comenzado a distribuir señuelos de coronavirus, que incluyen:

  • APT chinos: Panda vicioso, Panda Mustang
  • APT de Corea del Norte: Kimsuky
  • APT rusos: grupo Hades (se cree que tiene vínculos con APT28), TA542 ( Emotet )
  • Otros APT: Sweed (Lokibot)

Recientemente, el equipo de Red Drip informó que APT36 estaba usando un documento de advertencia de salud señuelo para difundir una Herramienta de administración remota (RAT).

Se cree que APT36 es un actor de amenaza patrocinado por el estado paquistaní que apunta principalmente a la defensa, las embajadas y el gobierno de la India. APT36 realiza operaciones de ciberespionaje con la intención de recopilar información confidencial de la India que respalde los intereses militares y diplomáticos paquistaníes. Este grupo, activo desde 2016, también se conoce como Transparent Tribe , ProjectM, Mythic Leopard y TEMP.Lapis.

APT36 difunde aviso de salud falso sobre coronavirus

APT36 se basa principalmente en ataques de phishing y de pozos de agua para afianzarse en las víctimas. El correo electrónico de phishing es un documento macro malicioso o un archivo rtf que explota vulnerabilidades, como CVE-2017-0199.

En el ataque temático de coronavirus, APT36 usó un correo electrónico de phishing con enlace a un documento malicioso (Figura 1) disfrazado como el gobierno de la India ( email.gov.in.maildrive [.] Email /? Att = 1579160420 ).

Figura 1: documento de phishing que contiene código macro malicioso

Observamos las campañas de phishing anteriores relacionadas con este APT y podemos confirmar que este es un nuevo patrón de phishing de este grupo. Los nombres utilizados para directorios y funciones son probablemente nombres urdu.

El documento malicioso tiene dos macros ocultas que sueltan una variante RAT llamada Crimson RAT. La macro maliciosa (Figura 2) primero crea dos directorios con los nombres «Edlacar» y «Uahaiws» y luego verifica el tipo de sistema operativo.

Figura 2: macro maliciosa

Según el tipo de sistema operativo, la macro elige una versión de 32 bits o 64 bits de su carga útil RAT en formato zip que se almacena en uno de los dos cuadros de texto en UserForm1 (Figura 3).

Figura 3: cargas útiles integradas en formato ZIP

Luego, suelta la carga de zip en el directorio de Uahaiws y descomprime su contenido utilizando la función «UnAldizip», dejando caer la carga de RAT en el directorio de Edlacar. Finalmente, llama a la función Shell para ejecutar la carga útil.

RAT carmesí

Crimson RAT ha sido escrito en .Net (Figura 4) y sus capacidades incluyen:

  • Robar credenciales del navegador de la víctima
  • Listado de procesos, unidades y directorios en ejecución en la máquina de la víctima
  • Recuperando archivos de su servidor C&C
  • Usando el protocolo TCP personalizado para sus comunicaciones C&C
  • Recopilación de información sobre software antivirus
  • Capturando capturas de pantalla
Figura 4: RAT Carmesí

Al ejecutar la carga útil, Crimson RAT se conecta a sus direcciones IP de C&C codificadas y envía la información recopilada sobre la víctima al servidor, incluida una lista de procesos en ejecución y sus ID, el nombre de host de la máquina y su nombre de usuario (Figura 5).

Figura 5: comunicaciones TCP

Uso continuo de RAT

APT36 ha utilizado muchas familias diferentes de malware en el pasado, pero ha implementado principalmente RAT, como BreachRAT, DarkComet, Luminosity RAT y njRAT.

En campañas anteriores, pudieron comprometer las bases de datos militares y gubernamentales de la India para robar datos confidenciales, incluidos documentos de estrategia y entrenamiento del ejército, documentos tácticos y otras cartas oficiales. También pudieron robar datos personales, como escaneos de pasaportes y documentos de identificación personal, mensajes de texto y detalles de contacto.

Protección contra las ratas

Si bien la mayoría de los usuarios en general no deben preocuparse por los ataques de estado-nación, las organizaciones que desean protegerse contra esta amenaza deberían considerar usar un sistema de protección de punto final o detección y respuesta de punto final con bloqueo de exploits y detección de malware en tiempo real.

Acumulando vulnerabilidades manteniendo todo el software (incluyendo Microsoft Excel y Word) escudos actualizados contra ataques de exploits. Además, capacitar a los empleados y usuarios para evitar abrir recursos de coronavirus de fuentes no protegidas puede proteger contra este y otros ataques de ingeniería social de actores de amenazas.

Los usuarios de Malwarebytes están protegidos contra este ataque. Bloqueamos la ejecución maliciosa de macros, así como su carga útil con nuestra capa de protección de comportamiento de aplicaciones y detección de malware en tiempo real.

Indicadores de compromiso

URL de señuelo

email.gov.in.maildrive [.] email /? att = 1579160420 
email.gov.in.maildrive [.] email /? att = 1581914657

Documentos señuelo

876939aa0aa157aa2581b74ddfc4cf03893cede542ade22a2d9ac70e2fef1656 
20da161f0174d2867d2a296d4e2a8ebd2f0c513165de6f2a6f455abcecf78f2a

RAT carmesí

0ee399769a6e6e6d444a819ff0ca564ae584760baba93eff766926b1effe0010
b67d764c981a298fa2bb14ca7faffc68ec30ad34380ad8a92911b2350104e748

C2s

107.175.64 [.] 209
64.188.25 [.] 205

MITRE ATT Y CK

https://attack.mitre.org/software/S0115/

Pormalwarebytes

RemoteSec: lograr niveles de seguridad locales con equipos remotos basados ​​en la nube

RemoteSec: lograr niveles de seguridad locales con equipos remotos basados ​​en la nube

RemoteSec: lograr niveles de seguridad locales con equipos remotos basados ​​en la nube

Al corriente: por 
Última actualización:

El mundo del trabajo está cambiando, por momentos, se siente en estos días. Con el inicio de la pandemia mundial de coronavirus, las organizaciones de todo el mundo están luchando para preparar a su fuerza laboral y su infraestructura para un derrumbe de conexiones remotas. Esto significa que el perímetro de seguridad de las empresas pequeñas y grandes se ha transformado prácticamente de la noche a la mañana, lo que requiere que los líderes de TI reconsideren la forma en que protegen a sus organizaciones. 

Incluso antes de la propagación del virus, la preparación de protocolos de seguridad empresarial para una combinación de trabajo remoto y local se había convertido en una conclusión inevitable. Con el aumento de la globalización y la conectividad, el trabajo remoto complementa rápidamente, si no reemplaza por completo, las tradicionales 9-5 horas de oficina. Upwork Global predice que para 2028, hasta el 78 por ciento de todos los departamentos tendrán trabajadores remotos. 

Esta tendencia está afectando a empresas de todos los tamaños. De hecho, un estudio realizado por Owl Labs indica que las empresas más pequeñas tienen el doble de probabilidades de contratar trabajadores remotos a tiempo completo, y un estudio sobre el estado del teletrabajo descubrió que el teletrabajo creció un 115 por ciento en la última década. 

Estas cifras muestran claramente que el trabajo remoto llegó para quedarse, ya sea en respuesta rápida a crisis graves o simplemente como un cambio lento y social. Lo que las empresas ahora están lidiando es cómo administrar una fuerza laboral remota remota y, más aún, los desafíos de seguridad que conlleva ese crecimiento. 

En el pasado, el trabajo tradicional facilitaba la creación y el cumplimiento de políticas de seguridad locales. Los controles simples como el acceso lógico y físico se manejaron a través de un comando centralizado y una jerarquía de control. A medida que las fuerzas de trabajo se distribuyen cada vez más, tales jerarquías de seguridad comienzan a tener un rendimiento inferior. Las empresas ahora se enfrentan a nuevos desafíos de seguridad planteados por las diversas condiciones de trabajo en las que operan los trabajadores remotos. 

El auge de RemoteSec

Remote Security, o RemoteSec , es un conjunto de herramientas de seguridad, políticas y protocolos que rigen la infraestructura de TI que admite equipos remotos. Como la mayoría de los trabajadores remotos dependen en gran medida de las herramientas y plataformas en la nube, RemoteSec aborda los desafíos de seguridad que casi siempre entran en esta categoría, aunque otras herramientas, como las redes privadas virtuales (VPN) desempeñan un papel, ya que a menudo se implementan para establecer conexiones seguras a la nube. 

Para cualquier empresa que trabaje con equipos remotos, comprender el papel que juega la seguridad en la nube en la protección de los equipos remotos es crucial para lograr la seguridad remota general. Sin embargo, un desafío que queda es cómo replicar el éxito de la seguridad local dentro de un entorno de nube. 

Antes de profundizar en los detalles de RemoteSec, es crucial notar la diferencia entre RemoteSec y la política general de ciberseguridad. Si bien ambos tratan con la seguridad de los recursos en red, RemoteSec se enfoca principalmente en proteger los equipos remotos y los recursos en la nube que usan. Como tal, las organizaciones con políticas de ciberseguridad pueden necesitar extenderlas para cubrir los problemas de seguridad que surgen cuando los trabajadores remotos que dependen de la infraestructura de la nube se agregan a la matriz de la fuerza laboral. 

Consideraciones cruciales de RemoteSec

Los trabajadores remotos, que incluyen trabajadores independientes, contratistas o empleados internos que trabajan desde casa, en espacios de coworking o en cafeterías, realizan su trabajo en un conjunto diverso de condiciones. Estas condiciones únicas e impredecibles forman el cuerpo de desafíos que enfrenta RemoteSec. 

Por ejemplo, el 46 por ciento de los miembros del personal admiten mover archivos entre el trabajo y las computadoras personales mientras trabajan desde casa. Otro 13 por ciento admite enviar correos electrónicos de trabajo a través de direcciones de correo electrónico personales porque no pueden conectarse a una red de oficina. 

Con estos desafíos en mente, aquí hay algunas consideraciones cruciales de RemoteSec en las que debe enfocarse para asegurar sus equipos remotos. 

Ubicación global de empleados

Los trabajadores remotos que se extienden por todo el mundo enfrentan diferentes desafíos de seguridad. Como cada parte del mundo tiene sus propias características únicas de infraestructura de TI, es esencial estandarizar los entornos de trabajo remotos para todo su equipo. El uso de VPN y escritorios virtuales puede ayudar a proporcionar un entorno de trabajo uniforme y seguro para su equipo remoto, a pesar de su ubicación en el mundo. 

Políticas de seguridad de datos remotos

La seguridad de los datos es un desafío importante cuando se trabaja con equipos remotos. Por ejemplo, los trabajadores remotos pueden acceder a puntos de acceso público de Wi-Fi no seguros, exponiendo los datos de la empresa a espías o cibercriminales. Además, los trabajadores remotos pueden usar herramientas gratuitas de almacenamiento de datos como Google Drive sin saber que dichas herramientas son vulnerables a los ataques de ransomware.

RemoteSec aborda estos problemas a través de políticas integrales de datos en la nube que cubren el acceso a datos remotos, puntos de acceso público, dispositivos USB, administración de contraseñas , administración de dispositivos, cumplimiento de redes y otros. 

Infraestructura informática y de red

La seguridad de punto final es otra área que las organizaciones deben abordar cuando se trata de RemoteSec. Los trabajadores remotos tienden a usar múltiples puntos finales (dispositivos) para acceder a los recursos de la empresa. Sin embargo, en muchos casos, estos dispositivos pueden no ser seguros o pueden conectarse a través de canales de red no seguros.

La emisión de políticas de administración de dispositivos móviles (MDM), el uso de VPN seguras, la implementación de seguridad de punto final basada en la nube en todos los dispositivos remotos y la aplicación de protocolos de red de nube segura pueden garantizar que los trabajadores remotos no eludan las medidas de seguridad de la red o punto final. 

Soporte remoto de TI

No todos los trabajadores remotos son expertos en tecnología. A medida que más roles se trasladen a remoto, los trabajadores remotos no técnicos pueden enfrentar desafíos para acceder al soporte de TI. Si un trabajador remoto en la mitad del mundo experimenta problemas técnicos, puede recurrir a un soporte de TI externo y no seguro, exponiendo los recursos confidenciales de su empresa. El uso de herramientas en la nube para brindar soporte de TI puede ayudar a mantener una seguridad perfecta en toda su fuerza de trabajo remota técnica y no técnica. 

Herramientas de seguridad locales frente a RemoteSec basado en la nube 

La mayoría de las empresas ensalzan las virtudes de la seguridad local y con razón. La seguridad local es el estándar de oro de la seguridad de la información. Sin embargo, ese estándar se desmorona cuando se enfrenta a la fuerza laboral híbrida actual de equipos remotos y profesionales internos que utilizan una amplia gama de puntos finales, especialmente cuando esa fuerza laboral es llevada rápidamente a sus hogares por motivos de seguridad. ¿Por qué? Porque los protocolos de seguridad locales están diseñados para contener información en una caja hermética. 

Los equipos en la nube y remotos no solo abren ese cuadro, sino que también convierten la organización en una plataforma abierta con múltiples puntos de acceso y puntos finales. Entonces, ¿cómo puede una organización alcanzar niveles de seguridad locales con equipos remotos en la nube? La respuesta está en usar las herramientas de seguridad adecuadas para migrar su organización de una mentalidad local a una que considere la seguridad remota por igual. 

Las herramientas de seguridad en la nube incluyen infraestructura de escritorio, instantáneas del sistema de archivos, monitoreo remoto de datos y actividades, y cifrado remoto de dispositivos y borrado de datos. Dichos mecanismos no solo protegen los datos de la empresa, sino que brindan más control sobre los recursos de TI utilizados por los trabajadores remotos.

Además, la implementación de un servicio de inicio de sesión único con autenticación multifactor puede proteger mejor los datos de la empresa almacenados en la nube, así como ayudar en la gestión del acceso. Las VPN, tanto de escritorio como móviles, pueden proporcionar autenticación adicional a la vez que encriptan el tráfico de red y ocultan detalles privados, que pueden ser necesarios al conectarse en lugares públicos.

Un cambio masivo

Los servicios en la nube , a la vez el héroe y el villano de la seguridad de la información, demostrarán ser un as bajo la manga para las empresas que están dejando de cumplir con los estándares de seguridad locales de bajo rendimiento. Si bien el trabajo remoto parece haberse dado cuenta, y a veces es necesario, solo estamos al comienzo de un cambio tectónico masivo en la forma en que se realiza el trabajo. 

RemoteSec, por lo tanto, es un campo de seguridad emergente en seguridad, uno que se ha discutido durante años pero que nunca se ha probado en este grado. A medida que las organizaciones ganen más trabajadores remotos, la necesidad de adoptar RemoteSec a la vanguardia de la política de ciberseguridad solo aumentará. Abordar las áreas cruciales descritas anteriormente puede ayudar a las organizaciones a mitigar los riesgos emergentes al tiempo que adopta una fuerza de trabajo remota. 

Pormalwarebytes

Día Internacional de la Mujer: el conocimiento de las aplicaciones de stalkerware, monitoreo y spyware en aumento

Día Internacional de la Mujer: el conocimiento de las aplicaciones de stalkerware, monitoreo y spyware en aumento

Día Internacional de la Mujer: el conocimiento de las aplicaciones de stalkerware, monitoreo y spyware en aumento

Al corriente: por 
Última actualización:

Hace nueve meses, Malwarbytes se comprometió nuevamente a detectar aplicaciones de monitoreo invasivas que pueden provocar un daño excesivo a las mujeres, más comúnmente conocido como stalkerware. Nos comprometimos a aumentar la conciencia pública, llegar a grupos de defensa y compartir muestras e inteligencia con otros proveedores de seguridad.

Ahora, para el Día Internacional de la Mujer (8 de marzo), decidimos medir nuestros esfuerzos, examinando los efectos de nuestra campaña y divulgación, así como la formación de la Coalición contra Stalkerware , de la cual fuimos miembros fundadores. ¿Realmente hemos hecho la diferencia?

Como recordatorio, o para aquellos que no lo han seguido: Stalkerware y otras aplicaciones de monitoreo pueden permitir que un usuario mire a través de los mensajes de texto de otra persona, grabe sus llamadas telefónicas, encienda las cámaras y micrófonos de su teléfono, revise sus archivos privados , observe su historial de búsqueda y rastree su ubicación GPS, todo sin consentimiento.

Sabemos que el stalkerware, las aplicaciones de monitoreo y otros con capacidades similares al spyware presentan un claro potencial de violaciones de la privacidad. Sin embargo, estas aplicaciones y otros dispositivos de Internet de las cosas (IoT) , como termostatos inteligentes, timbres y cerraduras, se han relacionado con múltiples casos de acoso físico, acoso cibernético y violencia doméstica. De hecho, según la línea directa nacional de violencia doméstica , las víctimas de abuso y acoso digital tienen dos veces más probabilidades de ser maltratadas físicamente, dos veces y media más probabilidades de ser maltratadas psicológicamente y cinco veces más probabilidades de ser sexualmente coaccionado

Si bien muchas aplicaciones de stalkerware se comercializan o clasifican a sí mismas como aplicaciones de monitoreo parental , sus capacidades técnicas son esencialmente las mismas, a veces a la par con el nivel de vigilancia perpetrado por los actores de los estados nacionales. Peor aún, cuando se les pone en manos de los abusadores domésticos, pueden desmantelar por completo la vida de un sobreviviente, revelando su ubicación si están tratando de escapar o descubriendo sus mensajes privados si intentan discutir un plan de seguridad.

Sin embargo, a pesar de todo su potencial de daño emocional y físico, la comunidad de ciberseguridad ha barrido con frecuencia el stalkerware. La mayoría de las compañías antivirus no detectan aplicaciones de monitoreo; o si lo hacen, usan un lenguaje débil que indica que la amenaza no es tan grave como el malware.

Eso es lo que hizo que la directora de ciberseguridad de Electric Frontier Foundation, Eva Galperin, comenzara a llamar a las compañías de antivirus en abril de 2019 para una mejor protección. Y es por eso que nos pusimos de pie con ella, para duplicar lo que comenzamos hace más de cinco años con nuestros propios esfuerzos de detección de stalkerware.

Echemos un vistazo a cómo estamos hasta ahora. Estos son los números en stalkerware.

Conciencia pública de Stalkerware

Si bien hemos escrito sobre el monitoreo del potencial de las aplicaciones para ser utilizado para el abuso doméstico desde 2014 (y detectamos esas aplicaciones en nuestro programa Malwarebytes para Android ), nuestro objetivo primero fue aumentar la conciencia pública sobre el stalkerware mediante la publicación de más de 10 artículos sobre el tema desde junio 2019, que incluye cómo protegerse contra el stalkerware , qué deben hacer los sobrevivientes de abuso doméstico si encuentran el stalkerware en su teléfono y las dificultades de emprender acciones legales para las víctimas del stalkerware.

En total, nuestros artículos han sido leídos casi 65,000 veces. Los términos «stalkerware», «aplicación stalkerware» y «stalkerware Android» han ganado un poco de impulso en la búsqueda de Google durante el último año, mostrando signos de vida en junio de 2019, el mes en que publicamos nuestro primer artículo de la campaña. Un pequeño aumento en julio también coincide con nuestra propia cobertura, así como con Google Play que saca siete aplicaciones stalkerware de su tienda. El mayor golpe en la conciencia general fue a fines de octubre y principios de noviembre de 2019, cuando los meses de Seguridad Nacional Cibernética y Conciencia Nacional sobre la Violencia Doméstica coincidieron con que la FTC presentó su primer caso de stalkerware , multando a los desarrolladores de aplicaciones por violaciones.

Interés global en el término de búsqueda «stalkerware» durante 12 meses, con el número 100 representando el nivel de interés más alto
El término de búsqueda «aplicación stalkerware» ha estado ganando fuerza desde octubre de 2019, viendo su pico más fuerte después de un esfuerzo concertado para sensibilizar a la Coalición en torno a la Conferencia RSA a fines de febrero de 2020.

Monitor móvil y categorías de spyware: detecciones globales de stalkerware

A pesar de la popular etiqueta «stalkerware», Malwarebytes no utiliza el término para clasificar las detecciones de aplicaciones dentro de nuestro producto, ya que las técnicas de marketing turbias a menudo pueden dificultar la distinción entre stalkerware, lugar de trabajo o aplicaciones de monitoreo parental. En cambio, observamos las capacidades técnicas del software y detectamos que las aplicaciones de stalkerware pertenecen a la categoría de monitor o spyware.

Desde el 1 de marzo de 2019 hasta el 1 de marzo de 2020, Malwarebytes detectó aplicaciones de monitor 55.038 veces en Malwarebytes para dispositivos de usuarios de Android. Durante el mismo período del año anterior, se detectaron aplicaciones de monitor 44.116 veces. Eso es un aumento de más de 10,000 detecciones en un solo año. 

Debemos ser claros: el aumento en la detección de monitores no garantiza automáticamente un aumento en el uso de estas aplicaciones. Debido a que Malwarebytes mejoró sus capacidades para encontrar aplicaciones de monitoreo, nuestro volumen de detección aumentó. Reforzamos nuestro conjunto de datos de forma independiente, pero también trabajamos con otros proveedores de ciberseguridad en la Coalición contra Stalkerware para mejorar nuestros resultados.

Sin embargo, una encuesta de febrero de 2020 realizada por Norton LifeLock sobre » rastreo en línea» descubrió que el 49 por ciento de los encuestados admitió «acosar» a su pareja o ex en línea sin su conocimiento o consentimiento, un número que sugiere una aceptación general del comportamiento de acoso en línea hoy. ¿Eso significa que hay más desarrolladores y usuarios de aplicaciones de monitoreo que antes? Necesitaríamos realizar un metaestudio e incluir más puntos de datos que nuestra propia telemetría para determinar esa verdad. Lo que sí sabemos es que hoy, Malwarebytes detecta 2.745 variantes de aplicaciones de monitor, un aumento de casi 1.000 respecto al año anterior.

Curiosamente, del 1 de marzo de 2019 al 1 de marzo de 2020, Malwarebytes para Android registró 1,378 detecciones de spyware en los dispositivos de los usuarios. Sin embargo, en el año anterior, Malwarebytes detectó spyware 2.388 veces para los usuarios del mismo grupo. De hecho, aunque ahora detectamos 318 variantes de aplicaciones de spyware para dispositivos Android, un aumento de casi 40 respecto al año anterior, nuestras detecciones aún disminuyeron año tras año.

La disminución en las detecciones de spyware quizás apunta a algo diferente: una decisión de evitar hacer y utilizar estas herramientas. Mientras que las aplicaciones de tipo stalkerware han visto poca aplicación, ya sea del gobierno o de individuos y compañías, las aplicaciones de spyware han recibido un escrutinio más profundo. Esta semana, WhatsApp avanzó con su demanda contra un importante desarrollador de software espía . 

Al observar nuestros datos, también descubrimos estas amenazas en casi todas partes del mundo. Malwarebytes detectó APK de monitoreo en los EE. UU., India, Indonesia, el Reino Unido, Brasil, Irlanda, Francia, Rusia, México, Italia, Canadá, Alemania, Bangladesh, Australia y los Emiratos Árabes Unidos. Estados Unidos representó la mayor proporción de detecciones, pero es cierto que también representa la mayor proporción de nuestra base de usuarios.

Si bien nuestra telemetría muestra que las aplicaciones de monitoreo continúan afectando a los usuarios en todas partes, los datos no muestran la relación más amplia entre este tipo de aplicaciones y el acoso, el acoso cibernético y la violencia doméstica.

Monitoreo de aplicaciones y violencia doméstica

Según Danielle Citron, profesora de derecho en la Facultad de Derecho de la Universidad de Boston, las aplicaciones de monitoreo, o lo que ella llama aplicaciones de «acoso cibernético», se han relacionado con múltiples casos de violencia doméstica y abuso. Como escribió en su artículo de 2015 » Spying Inc. «

“Una mujer huyó de su abusador que vivía en Kansas. Debido a que su abusador había instalado una aplicación de acoso cibernético en su teléfono, su abusador sabía que se había mudado a Elgin, Illinois. La siguió hasta un refugio y luego a la casa de un amigo donde la agredió e intentó estrangularla. En otro caso, una mujer intentó escapar de su esposo abusivo, pero como él había instalado una aplicación de acecho en su teléfono, pudo localizarla a ella y a sus hijos. El hombre asesinó a sus dos hijos. En 2013, un hombre de California, usando una aplicación de spyware, rastreó a una mujer hasta la casa de su amiga y la agredió ”.

Además, según la encuesta de NortonLifeLock, el uso de aplicaciones de tipo stalkerware es solo uno de varios comportamientos en los que los estadounidenses se involucran para verificar en línea a sus ex y actuales parejas románticas.

La Encuesta Creeping en línea, que incluyó respuestas de más de 2,000 adultos en los EE. UU., Mostró que 1 de cada 10 estadounidenses admitió haber usado aplicaciones de tipo stalkerware contra sus ex o actuales parejas románticas. La encuesta también encontró que el 21 por ciento de los encuestados revisó el historial de búsqueda de dispositivos de un socio sin permiso, y el 9 por ciento dijo que creó un perfil falso de redes sociales para verificar a un ex o actual socio.

Kevin Roundy, director técnico de NortonLifeLock, advirtió sobre estos comportamientos.

«Algunos de los comportamientos identificados en la Encuesta de Creeping en línea NortonLifeLock pueden parecer inofensivos, pero existen serias implicaciones cuando esto se convierte en un patrón de comportamiento y se intensifica, o cuando las aplicaciones de stalkerware y creepware entran en manos de un ex o compañero abusivo», dijo Roundy. dijo.

Como Malwarebytes informó el año pasado , algunos de estos comportamientos están estrechamente asociados con los delitos de acoso y ciberacoso en los Estados Unidos. El uso de aplicaciones de monitoreo o spyware puede crear condiciones en las cuales los abusadores domésticos pueden seguir las ubicaciones de GPS de sus parejas y permitirles mirar sus conversaciones privadas a través de mensajes de texto y correos electrónicos. Para los sobrevivientes de abuso doméstico que intentan escapar de una situación peligrosa, el stalkerware puede ponerlos en un riesgo aún mayor.

Desafortunadamente, gran parte del comportamiento relacionado con el acoso y el acoso cibernético perjudica desproporcionadamente a las mujeres.

Según un informe nacional de aproximadamente 13,000 entrevistas realizadas por los Centros para el Control y la Prevención de Enfermedades (CDC), se estima que el 15.2 por ciento de las mujeres y el 5.7 por ciento de los hombres han sido acosados ​​en su vida.

Datos similares de la Oficina de Estadísticas de Justicia mostraron casi la misma discrepancia. En un período de seis meses, de más de 65,000 estadounidenses entrevistados, el 2.2 por ciento de las mujeres informaron que habían sido acosadas, mientras que el 0.8 por ciento de los hombres informaron lo mismo. 

Si bien las víctimas de acoso incluyen tanto hombres como mujeres, los datos de ambos estudios muestran que las mujeres son acosadas aproximadamente un 270 por ciento más a menudo que los hombres.

qué más podemos hacer?

El problema de stalkerware está enredado y es complejo. Los creadores de este tipo de aplicaciones a menudo eluden las acciones de aplicación del gobierno, con solo dos desarrolladores que recibieron consecuencias federales en los últimos seis años . Los usuarios de estas aplicaciones pueden variar de individuos que consienten ser rastreados a abusadores domésticos que nunca buscan el consentimiento.

Y la forma en que se pueden usar estas aplicaciones puede violar las leyes federales y estatales, sin embargo, cuando las aplicaciones se usan junto con el acoso y el acoso cibernético, las víctimas de estos delitos a menudo evitan involucrarse con la policía para buscar ayuda. Incluso si las víctimas trabajan con la policía, a menudo tienen una prioridad: detener el daño, no presentar demandas prolongadas contra sus acosadores o abusadores.

Aunque esta amenaza puede parecer resbaladiza, hay mucho que podemos hacer en la comunidad de ciberseguridad. Podemos detectar mejor este tipo de amenazas e informar a los usuarios sobre sus peligros. Podemos capacitar a defensores del abuso doméstico sobre la seguridad de los dispositivos para ellos y para los sobrevivientes a quienes apoyan, algo que Malwarebytes ya ha hecho y seguirá haciendo. Podemos reunir una coalición creciente de socios para compartir inteligencia y muestras para luchar colectivamente.

Podemos trabajar con las fuerzas del orden para mejorar su propia conciencia y capacitación en seguridad cibernética, demostrando las formas en que la tecnología puede y ha sido abusada o desarrollando una taxonomía colaborativa para informes inteligentes y eficientes. Finalmente, podemos asociarnos con investigadores de violencia doméstica para comprender mejor lo que los sobrevivientes de abuso doméstico necesitan para la seguridad y protección digital, y luego implementar esos cambios.

Nosotros hacemos la tecnología. Podemos mejorar la protección de los usuarios en todas partes.

Pormalwarebytes

Traiga su propia privacidad: VPN para consumidores y organizaciones

Traiga su propia privacidad: VPN para consumidores y organizaciones

Traiga su propia privacidad: VPN para consumidores y organizaciones

Al corriente: por 

Las VPN ( redes privadas virtuales ) han sido populares desde hace bastante tiempo , y valen una gran cantidad de dinero para las empresas que trabajan en esta área. También están a la vanguardia de la lucha contra la posible represión y censura en todo el mundo.

Todo puede sonar un poco esotérico y sin relación con sus requisitos generales del día a día, pero las VPN son absolutamente un tema principal ya sea en casa o en el lugar de trabajo. La pregunta hoy en día probablemente no sea tanto «¿Necesitamos una VPN?» como «¿Cómo aprovechamos al máximo la VPN que acabamos de comprar?»

Con eso en mente, vamos directamente al grano: vamos a repasar los pros y los contras de subirse al carro de VPN. Con suerte, tendrás una mejor idea de algunas de las ventajas y desventajas asociadas con este reino.

Por supuesto, vale la pena mencionar los riesgos calculados asumidos al suscribirse a un proveedor de VPN. Si está decidido a mantener sus datos seguros y preservar su anonimato, eso es genial. Sin embargo, esa idea desaparece si simplemente te registras en el primer servicio que encuentras.

Contras de VPN: falsificaciones, pícaros y el brazo largo de la ley

Por favor, no caigas en la trampa de pensar: «Tengo mi VPN, y ahora soy un inmortal digital». No hay nada peor que exagerar las protecciones teóricas de todas las cosas desagradables.

Por ejemplo, el 100% de anonimato no es una garantía. ¿ Cómo puede estar seguro de que el proveedor X no guarda registros? ¿Es cierto solo porque lo dijeron? ¿Qué sucede si la policía se presenta en su puerta con una orden judicial? No podrán entrar en una pelea con la ley si pueden evitarla, por lo que es probable que lo que tengan se dirija en la dirección general de los poderes fácticos . Esto depende en gran medida de dónde se encuentra la VPN, por lo que todos los casos son diferentes, algo a tener en cuenta al hacer una selección.

Consideraciones móviles

Las aplicaciones móviles son increíblemente populares para las VPN, con una parte significativa de usuarios más jóvenes que adoptan la tecnología (alrededor del 70 por ciento de los usuarios tienen 35 años o menos ). Incluso hay diferencias pronunciadas en el uso en la misma cohorte , por lo que es una mala idea adivinar quién está haciendo qué.

Combine una base de usuarios impredecible con innumerables tiendas móviles, algunas de las cuales, sin darse cuenta, son anfitriones de aplicaciones deshonestas, y esto significa que personas sin escrúpulos se mudarán al territorio e intentarán estafar a las personas. La inyección de código para publicidad, uso compartido de datos no divulgados y VPN utilizadas para atacar o enviar spam a otros servicios han estado en las noticias en algún momento, y no necesariamente tiene que estar en un escritorio tradicional para encontrarse con estos problemas.

Malos anuncios enlodan las aguas

También hemos visto ejemplos en los que la dudosa táctica publicitaria de miedo ha enviado a los propietarios de dispositivos a instalar páginas para soluciones VPN «gratuitas», que a su vez tienen algunas declaraciones preocupantes en sus términos de servicio. Todo esto antes de llegar a la estafa intemporal donde no existe ninguna VPN y solo quieren que instales algunos keyloggers .

Como puede ver, entonces, es malo, pero las VPN son una ventaja absoluta cuando se trata de mantenerse un poco más anónimo y seguro en línea. No son una bala mágica, pero nada más lo es tampoco. Si tiene la mentalidad de explorar y hacer un poco de tarea antes de dar el salto, podría ser una de las herramientas más fuertes en su arsenal de seguridad / privacidad.

Has escuchado las advertencias; ahora es el momento de la respuesta medida.

Profesionales de VPN: asegurando negocios, ayudando en casa

Atrás quedaron los días en los que la vista era que cualquiera que usara VPN tenía algo que ocultar / no sirve para nada. La gente simplemente quiere un poco más de privacidad en casa. Y para las empresas, es una capa más que pueden envolver alrededor de su red. Si necesita usar un acceso remoto, una VPN aprobada por la empresa para poder acceder a la red en primer lugar, es un obstáculo potencial más para que los atacantes lo atraviesen.

Dado el camino de menor resistencia para muchos ataques, podría ser el paso adicional que les haga decir «demasiado trabajo duro» y pasar a objetivos potencialmente menos seguros. Es desagradable, pero así es como operan una buena parte de los delincuentes: ¿por qué saltar a través de los aros cuando puedes atravesar la puerta de entrada de otra persona para lograr el mismo resultado?

No tiene que retroceder demasiado para ver una constante rotación de “ ¿Me despedirá mi jefe? «Misivas en relación con la activación de una VPN en redes corporativas. Algo extraño de lo que preocuparse, teniendo en cuenta que muchos lugares de trabajo ofrecerán felizmente una VPN aprobada por la empresa en primer lugar. (Realmente no deberías jugar juegos en la red de ninguna manera, independientemente de la VPN, pero esa es otra discusión).

Cafeterías y wifi público.

Muchas oficinas no solo están dispersas en diferentes regiones, sino que también utilizan empleados descentralizados que trabajan en todas partes, desde salas de estar hasta cafeterías. Es lógico que arrojar una VPN a la mezcla también sea beneficioso en esas circunstancias. Los empleados en la VPN también están ayudando a reducir la visibilidad del tráfico de su red mientras están fuera de casa.

Una excelente manera de atraer atención no deseada es sentarse en la carga / descarga de Wi-Fi público y descargar archivos y carpetas confidenciales en el lugar de trabajo. La observación de los fisgones puede decidir tomar un interés más sostenido en sus negocios, y accidentalmente ha convertido a toda la organización en un objetivo.

Podría argumentar que se destaca más al ocultar abiertamente lo que está haciendo en una habitación llena de personas navegando a la intemperie, de la misma manera que las personas que hacen invisibles sus enrutadores Wi-Fi es una gran bandera roja. Habiendo dicho eso, aún prefiero bloquear las cosas mientras estoy fuera de casa frente al minúsculo riesgo de que una persona aleatoria esté tan obsesionada con usted usando una VPN que hacen que  el trabajo de su vida sea derribarlo en lugar de encogerse de hombros y   comprar café.

En todo caso, probablemente sea bastante tranquilizador para los empleados saber que tienen una manta de seguridad adicional en el camino. Cuando cualquier otra historia de terror nos dice que nunca usemos los puntos de acceso del aeropuerto o los cafés web porque alguien malvado definitivamente te va a hackear y robar tu maletín, es algo que puedes dar a los empleados para igualar las probabilidades.

Ir encubierto

Uno de los beneficios más comunes de una VPN es ocultar su ubicación. Si enciende el navegador TOR, por ejemplo, puede aparecer como si estuviera en México ante el propietario del sitio web en el que está navegando, cuando realmente se encuentra en Italia. ¿Estás investigando sitios web fraudulentos que solo responden a móviles? Fácil: cambie la cadena de su agente de usuario para que piense que está en un Android o iPhone.

¿Desea ver ese programa desde el servicio de transmisión al que está suscrito, pero no funciona fuera de su región durante las vacaciones? ¿Qué hay de los jugadores de MMORPG que obtienen un mejor rendimiento del servidor de una región diferente a la suya pero no tienen una forma directa de conectarse? Ahí es donde comienza la VPN y su camino hacia la gloria del jugador.

Reflexiones regionales

El uso de una VPN tiene claros beneficios para los lugares de trabajo donde los empleados viajan mucho y las políticas de seguridad pueden insistir en que ciertas direcciones / regiones IP se conecten a la red. No puede acceder a la red de EE. UU. Si está sentado en Francia, en una red francesa, con una IP francesa.

Dependiendo de su rol, es posible que necesite acceder a contenido de terceros con bloqueo geográfico, excluyendo algunas regiones pero no otras; si no puede acceder al contenido, puede experimentar un impacto significativo en toda la empresa. Si las personas deberían estar haciendo esto es, por supuesto, otra discusión, pero no tiene sentido fingir que las personas no lo hacen. 

La humilde VPN llegó para quedarse

El veredicto, para mí, está muy a favor del uso de VPN. Ya sea que lo necesite o no, las VPN pueden escalar en función de si las quiere por negocios o por placer, y qué tareas esenciales simplemente no se pueden completar sin una.

Como la mayoría de las herramientas tecnológicas, bien investigadas y utilizadas correctamente, será un gran beneficio para sus actividades cotidianas. ¿Utilizado mal? Podría terminar tropezando con uno de varios problemas destacados al comienzo de esta publicación. La única situación que no necesita es que su VPN sea el tipo de elemento comprometido que esperaba evitar en primer lugar.

Pormalwarebytes

¿Nuestras fuerzas policiales están equipadas para hacer frente a los ciberdelitos modernos?

¿Nuestras fuerzas policiales están equipadas para hacer frente a los ciberdelitos modernos?

¿Nuestras fuerzas policiales están equipadas para hacer frente a los ciberdelitos modernos?

Al corriente: por 

«Deberías haber pedido la presencia de un detective digital», dijo Karen cuando le conté lo que sucedió en la estación de policía. Acompañé a un vecino, propietario de una pequeña empresa, que fue golpeado con ransomware y quería presentar un informe. Después de escuchar su historia, el oficial de policía en el escritorio preguntó si mi vecino tenía una descripción del autor. Puede que haya gruñido.

Esta no fue la primera vez que me decepcionó la falta de conocimiento técnico de la policía. Había presentado un informe en línea sobre una estafa de sextortion meses antes y recibí una respuesta que decía: “Si no ha pagado, puede eliminar el correo. Si pagó, podemos manejar su informe «.

Mi oferta de enviarles la fuente completa del correo electrónico cayó en oídos sordos. No se intentó iniciar un desmontaje ni explicar por qué era suficiente eliminar el correo electrónico. Sé cómo funciona esto, pero otras víctimas podrían no saber que los correos electrónicos de sextortion son solo faroleos. ¿Qué les impide pagar en el futuro?

Saber denunciar delitos cibernéticos

Karen es una ex agente de policía holandesa, y sabía que por denunciar delitos cibernéticos, hay agentes de policía que tienen capacitación especial, los llamados «detectives digitales». En los Países Bajos, oficialmente se llaman expertos digitales. Podría haber evitado la decepción si hubiera conocido el procedimiento adecuado para contactar a un experto digital.

En los Estados Unidos, puede haber un oficial asignado al ciber, pero en la mayoría de los recintos, es la persona que está de guardia o la que más utiliza la tecnología. La situación es aún más grave a nivel local.

Para el caso del ransomware, deberíamos haber hecho una cita y específicamente haber solicitado la presencia de un experto digital porque queríamos denunciar un delito cibernético. Y los informes de cibercrimen en línea solo son posibles en casos comunes, como las estafas de soporte técnico de Microsoft . Tienen formularios estándar que puede completar y enviar.

Si bien la experiencia fue frustrante, me di cuenta de que los oficiales de policía no están capacitados para la experiencia en todos los nuevos delitos cibernéticos que han surgido en los últimos años. Al comparar estas experiencias individuales con las historias que leímos sobre las unidades cibernéticas policiales de élite como Interpol, el FBI y el Equipo holandés High Tech Crime, me di cuenta de que la situación en los distritos locales es muy diferente de la de aquellos equipos nacionales altamente especializados. Esto es lo que aprendí después de investigar un poco.

Entrenamiento cibernético

Cuando se le preguntó, la policía holandesa me informó que tienen cursos especiales de capacitación para expertos digitales, al igual que tienen expertos en delitos relacionados con drogas y expertos financieros. Los expertos digitales pueden recibir capacitación en análisis forense, piratería informática, búsqueda de amenazas, acceso al hardware, ingeniería inversa, rastreo digital y análisis de redes. Todos estos expertos capacitados brindan asistencia en casos donde su conocimiento experto es ventajoso.

En el Reino Unido, parecen estar un paso adelante. Cada fuerza policial ahora tiene una unidad de delitos cibernéticos, que investigará y perseguirá a los delincuentes, ayudará a las empresas y a las víctimas a protegerse de los ataques y evitará que las personas vulnerables se conviertan en delincuentes cibernéticos. Por supuesto, sabemos que EE. UU., Donde el cibercrimen es más común, solo tiene un equipo cibernético dedicado con el FBI. Si bien hay oficinas del FBI en todo el país, no están presentes en todas las estaciones de policía.

Esto nos muestra que diferentes países tienen sus detectives digitales organizados de diferentes maneras. Y es bueno estar al tanto de su existencia y el mejor procedimiento en su ubicación para obtener su ayuda si la necesita.

Cooperación internacional contra el cibercrimen

Una de las dificultades obvias para detener a delincuentes que han defraudado a personas u organizaciones en su propio país es que es probable que el delincuente cruce algunas fronteras. Y a veces, los delincuentes están protegidos por un régimen que probablemente haga la vista gorda mientras los delincuentes solo operen en el extranjero.

La cooperación internacional, como hemos visto en la toma de control de los mercados de la web oscura , no solo es importante cuando se trata de combatir el crimen, sino que también puede ser de gran valor en la guerra cibernética. Ya existe suficiente evidencia de ataques patrocinados por el estado en infraestructura crítica, y es importante saber qué están haciendo y capaces estas fuerzas enemigas.

A veces, hay formas más efectivas de paralizar a una banda internacional de ciberdelincuentes que intentar arrestarlos. Un ejemplo es la iniciativa No More Ransom , donde se publican claves de descifrado para ciertas familias de ransomware. Esto reduce los ingresos del ciberdelincuente, y con eso, con suerte, les quita su incentivo para seguir el camino del crimen.

Acoso cibernético

Internet y las redes sociales han introducido algunas formas de intimidación que posiblemente podrían beneficiarse de la participación policial. Donde en los viejos tiempos se podría decir: «Los palos y las piedras pueden romper mis huesos, pero las palabras nunca me harán daño», el acoso cibernético moderno tiene un mayor impacto a largo plazo. Alguien que publica imágenes o películas comprometedoras en las redes sociales puede ser perjudicial durante mucho tiempo.

Las plataformas de redes sociales tardan en responder a las solicitudes de eliminación, y una pequeña presión de las autoridades podría acelerar sus acciones. Sin embargo, las víctimas del acoso cibernético tienden a recibir poca o ninguna ayuda de las autoridades.

Invertir en habilidades policiales

Para satisfacer la creciente demanda de expertos especializados, la fuerza policial necesitará una gran cantidad de fondos y personal adicionales. El costo de no cumplir adecuadamente con estas demandas puede resultar en mayores pérdidas de las que la sociedad puede permitirse. Entonces, incluso si creemos que no podemos liberar los fondos para estas medidas, tenga en cuenta que las organizaciones, los consumidores y los gobiernos pueden estar entregando la misma cantidad a los cibercriminales, el equivalente a tirar dinero a un pozo sin fondo. Además, los costos de recuperación de los ataques cibernéticos son mucho más altos de lo que podríamos pagar en capacitación.

experto digital
Un experto digital debe tener conocimiento sobre muchos campos.

Los expertos digitales también pueden ser un activo útil cuando se trata de resolver delitos no cibernéticos. En muchos casos, la evidencia digital puede ayudar a la policía a localizar delincuentes, ver la actividad delictiva en una casa o negocio, o probar la intención delictiva.

Por ejemplo, la evidencia digital podría ayudar a ubicar a las personas y los eventos dentro del tiempo y el espacio para establecer la causalidad de los incidentes criminales. Pero recopilar y enviar evidencia digital legalmente requiere diferentes herramientas y procesos de hacerlo para la evidencia física, por lo que un experto capacitado podrá extraer más evidencia de los mismos dispositivos. Pueden hacerlo no solo sabiendo dónde buscar, sino también sabiendo cómo manejar un dispositivo para que no se destruyan pruebas.

Recomendaciones

Al menos cada estación de policía u oficina del sheriff debe tener un experto digital disponible para al menos recibir informes de delitos cibernéticos. Estos expertos sabrán qué información se necesita para tener la oportunidad de detener al criminal, pueden asesorar a la víctima sobre cómo proceder y tal vez ayudar a evitar que se conviertan nuevamente en víctimas.

Si este no es un objetivo alcanzable, configure un sitio fácil de usar para informar sobre delitos cibernéticos en línea, donde un departamento especial de expertos digitales puede hacer un triaje, detectar tendencias e involucrar a otros departamentos donde sea beneficioso.

La cooperación internacional será aún más importante si queremos tener una oportunidad contra los cibercriminales, ya sea que estén organizados en grupos o en grupos de personas que compran malware como servicio en la web oscura.

El Código Internacional de Conducta para la Seguridad de la Información es un esfuerzo internacional para desarrollar normas de comportamiento en el espacio digital, presentado a la Asamblea General de las Naciones Unidas en 2011 y en forma revisada en 2015. Este código debe elaborarse con más detalle y permitir la cooperación internacional contra el cibercrimen. Y se deben hacer esfuerzos diplomáticos para que este código sea ratificado por más miembros de la ONU.

Pormalwarebytes

Bloqueo y código S1Ep1: en RSA, el elemento humano y la semana en seguridad

Bloqueo y código S1Ep1: en RSA, el elemento humano y la semana en seguridad

Bloqueo y código S1Ep1: en RSA, el elemento humano y la semana en seguridad

Al corriente: por 

La semana pasada, les dijimos que estábamos lanzando un podcast quincenal, llamado Lock and Code . Esta semana, cumplimos nuestra promesa, con muchos titulares generados aquí en Labs, así como otras noticias de seguridad en la web. Además, hablamos con Britta Glade, directora de contenido y curación de la Conferencia RSA, sobre el tema de la conferencia de la semana pasada: «El elemento humano», además de qué tipos de presentaciones funcionan bien y qué tipos casi siempre serán rechazados.

Sintonice todo esto y más en el primer episodio de la primera temporada de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la tienda Apple iTunes , en Google Play Music , más cualquier plataforma de podcast preferida que use.

Cubrimos nuestra propia investigación sobre:

Además, otras noticias de ciberseguridad:

  • Todos los oídos: ¿Sus dispositivos inteligentes en el hogar sintonizan accidentalmente sus conversaciones? (Fuente: Moniotrlab)
  • ¿Crees que el grupo es privado? Piénselo de nuevo: ciertas invitaciones privadas de grupos de WhatsApp se indexan en Google . (Fuente: Vice)
  • Otro día, otra violación: esta vez, son Slickwraps quienes sienten la quemadura a través del contenido publicado en un blog de Medium . (Fuente: The Verge)
  • Los estafadores van por el oro: son los Juegos Olímpicos nuevamente, y eso significa que las estafas están casi seguramente en camino (Fuente: Tech Republic)
  • ¿E-scooters vulnerables al ataque? Los investigadores informan sus hallazgos sobre cuán abiertos están a abusar de estos dispositivos populares. (Fuente: ITP.net)