Para comprender mejor los métodos modernos de detección de malware, es una buena idea mirar las cajas de arena. En ciberseguridad, el uso de sandboxes ha ganado mucha tracción durante la última década. Con la gran cantidad de malware nuevo que nos llega todos los días, los investigadores de seguridad necesitaban algo para probar nuevos programas sin invertir demasiado de su valioso tiempo.

Las cajas de arena brindan entornos ideales y aislados para detectar ciertos tipos de malware sin darle la oportunidad de propagarse. Según el comportamiento observado, las muestras se pueden clasificar como inofensivas, maliciosas o «necesita una mirada más de cerca».

La ejecución de programas en un entorno tan apartado se denomina sandboxing y el entorno en el que se permite ejecutar las muestras se denomina sandbox.

Definición de sandboxing

Comencemos con una definición para que sepamos de qué estamos hablando. Hay muchas definiciones, pero soy parcial a esta :

“El sandboxing es una estrategia de administración de software que aísla las aplicaciones de los recursos críticos del sistema y otros programas. La zona de pruebas ayuda a reducir el impacto que cualquier programa o aplicación individual tendrá en su sistema «.

No soy partidario de esta definición porque sea más correcta que otras definiciones, sino porque dice exactamente lo que queremos de una caja de arena en la investigación de malware: sin impacto en los recursos críticos del sistema. Queremos que el malware nos muestre lo que hace, pero no queremos que interfiera con nuestro monitoreo o infecte otros sistemas importantes. Preferiblemente, queremos que cree un informe completo y pueda restablecer la caja de arena rápidamente para que esté lista para la siguiente muestra.

Detección de malware y sandboxing

Partiendo de esa definición, podemos decir que un sandbox de ciberseguridad es un entorno físico o virtual que se utiliza para abrir archivos o ejecutar programas sin la posibilidad de que ninguna muestra interfiera con nuestro monitoreo o afecte permanentemente al dispositivo en el que se están ejecutando. La zona de pruebas se utiliza para probar código o aplicaciones que podrían ser maliciosas antes de distribuirlas en dispositivos críticos.

En ciberseguridad, el sandboxing se utiliza como método para probar software que terminaría siendo categorizado como «seguro» o «inseguro» después de la prueba. En muchos casos, se permitirá que el código se ejecute y se utilizará un algoritmo de aprendizaje automático (ML) u otro tipo de Inteligencia Artificial (IA) para clasificar la muestra o moverla hacia arriba para una determinación más cercana.

Software malicioso y sandboxes en línea

A medida que avanzaba el desarrollo de la tecnología sandbox y surgía la demanda de un método rápido para probar el software, vimos la introducción de sandboxes en línea. Estos son sitios web donde puede enviar una muestra y recibir un informe sobre las acciones de la muestra según lo observado por el sandbox en línea.

Aún se necesita un ojo experimentado para determinar a partir de estos informes si la muestra enviada fue maliciosa o no, pero para muchos administradores de sistemas en una organización pequeña, es una verificación rápida que les permite decidir si quieren permitir que algo se ejecute dentro de su perímetro de seguridad. .

Algunos de estos entornos sandbox en línea incluso han llevado este procedimiento un paso más allá y permiten la entrada del usuario durante el proceso de monitoreo.

Esta es una configuración ideal para esos tipos de situaciones en las que la víctima prevista necesita descomprimir un archivo adjunto protegido con contraseña y habilitar el contenido en un documento de Word. O esos molestos instaladores de adware que requieren que se desplace a través de su Acuerdo de licencia de usuario final (EULA) y haga clic en «Aceptar» e «Instalar». Como puedes imaginar. estos no harán mucho en una caja de arena completamente automatizada, pero para un analista de malware, estas muestras entrarían en la categoría que requiere atención humana de todos modos.

Sensibilidad de la caja de arena

En la actual «carrera armamentista» entre los creadores de malware y los profesionales de la seguridad, los creadores de malware comenzaron a agregar rutinas a sus programas que verifican si se ejecutan en un entorno virtual. Cuando los programas detectan que se están ejecutando en un sandbox o en una máquina virtual (VM), arrojan un error o simplemente dejan de ejecutarse silenciosamente. Algunos incluso realizan alguna tarea inofensiva para desviarnos de su pista. De cualquier manera, estas muestras de malware que evitan la zona de pruebas no ejecutan su código malicioso cuando detectan que se están ejecutando dentro de un entorno controlado. Su principal preocupación es que los investigadores puedan monitorear el comportamiento y proponer estrategias de respuesta, como bloquear las URL con las que la muestra intenta contactar.

Algunos de los métodos que utiliza el malware para determinar si se está ejecutando en una zona de pruebas son:

• Retrasar la ejecución para aprovechar el tiempo de espera integrado en la mayoría de los entornos sandbox.
• Huella digital de hardware. Los entornos sandbox y las máquinas virtuales se pueden reconocer ya que normalmente son diferentes de las máquinas físicas. Un uso mucho menor de recursos, por ejemplo, es uno de esos indicadores.
• Medición de la interacción del usuario. Algunos programas maliciosos requieren que el usuario esté activo para que se ejecuten, incluso si solo es un puntero del mouse en movimiento.
• Detección de red. Algunas muestras no se ejecutarán en sistemas que no estén en red.
• Comprobando otros programas en ejecución. Algunas muestras buscan procesos que se sabe que se utilizan para la supervisión y se niegan a ejecutarse cuando están activos. Además, la ausencia de otro software puede considerarse un indicador de ejecución en una caja de arena.

Sandboxes y máquinas virtuales

En el párrafo anterior hicimos referencia tanto a las máquinas virtuales como a las cajas de arena. Sin embargo, aunque los entornos sandbox y las máquinas virtuales comparten suficientes características como para confundirse entre sí, en realidad son dos tecnologías diferentes.

Lo que realmente los distingue es que la Máquina Virtual siempre actúa como si fuera un sistema completo. Una caja de arena se puede hacer mucho más limitada. Por ejemplo, se puede hacer que una caja de arena se ejecute solo en el navegador y ninguna de las otras aplicaciones en el sistema notaría que está allí. Por otro lado, una máquina virtual que esté completamente separada del resto del mundo, incluido su host, se consideraría una caja de arena.

Para completar el círculo, por así decirlo, hemos visto malware entregado en forma de VM. Este tipo de ataque se observó en dos familias separadas, Maze y Ragnar Locker. Los actores de amenazas de Maze incluyeron un instalador de VirtualBox y la unidad virtual de VM armada dentro de un archivo msi (paquete de instalador de Windows). Luego, los atacantes usaron un script por lotes llamado starter.bat para lanzar el ataque desde dentro de la VM.

Si desea conocer más detalles técnicos sobre estos ataques, aquí hay una lectura recomendada: Los atacantes de Maze adoptan la técnica de máquina virtual de Ragnar Locker

El futuro del sandboxing

Teniendo en cuenta que la contenedorización y las máquinas virtuales se están volviendo más comunes como reemplazo de las máquinas físicas, nos preguntamos si los ciberdelincuentes pueden permitirse cancelar su ataque cuando descubren que se están ejecutando en una caja de arena o en una máquina virtual.

Por otro lado, los métodos de detección de malware desarrollados alrededor de las cajas de arena son cada día más sofisticados.

Entonces, ¿podría ser este el campo donde la carrera armamentista está a favor de los buenos? Solo el futuro nos lo podrá decir.

«Pon tu dinero en el banco y podrás verlo crecer». Si hay una declaración que nos muestra cuánto ha cambiado el mundo financiero, es esta. Con la introducción del interés negativo, las empresas y los consumidores con una gran cantidad de activos líquidos buscan una forma diferente de manejar esos activos.

Aquí es donde entra en juego la innovadora industria fintech.

¿Qué es fintech?

El hardware y software que se utiliza en el mundo financiero se conoce generalmente como fintech. Pero la expresión también se usa para describir las startups en el mundo financiero. En este artículo se utilizará para describir la tecnología, ya que muchas de las instituciones financieras establecidas sienten que necesitan adaptarse a la misma nueva tecnología que las startups ofrecen a sus clientes. Debido a esto, podemos encontrar estas nuevas características en la banca y otras aplicaciones financieras, tanto en las aplicaciones de empresas exitosas como en las de las nuevas finanzas.

Diferencias en los mercados líderes

Cuando piensas en fintech, hay una gran diferencia en lo que todos pueden imaginar, y esto puede depender en gran parte de la parte del mundo en la que te encuentres. Antes de 2017, EE. UU. Estaba liderando el camino y estaban haciendo grandes inversiones en desarrollo de nuevas tecnologías relacionadas con la banca en línea, aplicaciones móviles y otras nuevas tecnologías en este campo.

A partir de entonces, las inversiones en los EE. UU. En esta industria comenzaron a disminuir, simplemente porque las empresas existentes resultaron necesitar demasiadas inversiones antes de que pudieran llegar a ser rentables. Además, había demasiados caballos en los que apostar, y cuantos más caballos, más difícil es elegir el ganador. El campo de juego en Europa era más fácil de supervisar y muchas ramas nuevas fueron llevadas por árboles más viejos y confiables. En otras palabras, las empresas de tecnología financiera en Europa han sido infravaloradas por el mercado durante mucho tiempo, al tiempo que ofrecen un valor agregado sustancial y perspectivas de crecimiento más interesantes que sus contrapartes estadounidenses. Los avances en los productos y el enfoque en la regulación han hecho que las empresas europeas de tecnología financiera sean más atractivas para los inversores.

La regulación es un factor importante

El uso de fintech para el consumidor en los Estados Unidos parece estar muy por detrás del de la mayor parte de Europa, donde la regulación que mira hacia el futuro ha provocado un aumento de la innovación en los servicios de banca digital junto con la infraestructura de backend en la que se construyen y operan los productos.

Eso podría parecer contradictorio, ya que a menudo se culpa a la regulación de ralentizar la innovación. En cambio, los reguladores europeos se han centrado en reducir las barreras al crecimiento de las fintech en lugar de aferrarse a la forma en que están las cosas. Por ejemplo, la regulación de Banca Abierta del Reino Unido requiere que los nueve grandes bancos del país compartan datos de clientes con proveedores autorizados de fintech.

Importancia de fintech

La industria financiera se considera una infraestructura vital y por una buena razón. Cuando perdemos la confianza en nuestras instituciones financieras, nuestra sociedad se pone patas arriba.

Los skimmers web son un obstáculo potencial cuando se trata de problemas de confianza. En términos generales, los skimmers web insertan código en sitios web legítimos para espiar los detalles de pago e intentar encontrar suficiente información para robarle al comprador. Estos conjuntos de información se venden en el mercado negro al mejor postor y podrían resultar muy costosos para la víctima o su banco si reembolsan a sus clientes. Pero incluso si recibe un reembolso, la ocurrencia de que alguien saquee su cuenta bancaria podría ahuyentar a los compradores potenciales de las compras en línea.

Fintech, como industria, es uno de los posibles cuidadores cuando se trata de construir sitios web a prueba de manipulaciones y evitar la interceptación de detalles de pago reutilizables.

Cumplimiento de PCI DSS

Uno de los instrumentos que ya está implementado, pero que podría implementarse mejor, es el cumplimiento de PCI DSS . Los proveedores que se mantengan en la cima para lograr un cumplimiento efectivo y sostenible harán una contribución notable al nivel de confianza que los consumidores tendrán en las transacciones en línea y otras innovaciones de tecnología financiera.

Las diferencias

El futuro de la tecnología financiera es prometedor, pero la rapidez con la que podamos cosechar los frutos depende de dónde vivamos y cómo nuestros gobiernos manejen la regulación del sector. Como hemos dicho antes, las leyes europeas se centran en permitir desarrollos en la industria fintech. Todo el tiempo vigilando los problemas de privacidad bajo la bandera de las regulaciones GDPR. En Estados Unidos, la industria ha estado bajo un intenso escrutinio desde la crisis bancaria de 2008. Para las startups de fintech, esto ha resultado en un marco regulatorio complicado, pero también en la inexistencia de una legislación concreta para las firmas de fintech que tome en consideración la diferente naturaleza de sus actividades. Y si estas empresas quieren ser actores a nivel internacional, también deben cumplir con las regulaciones de GDPR.

Una solicitud común de la industria fintech de EE. UU. Ha sido implementar una legislación que respalde a las nuevas empresas y esté hecha a la medida para la industria específica. La sensación es que esto creará un entorno favorable para el crecimiento y dará a la industria la oportunidad de ponerse al día con sus homólogos europeos.

Dado que la mayor parte de la actividad de las nuevas empresas europeas de tecnología financiera se basa en el Reino Unido, algunos analistas todavía están conteniendo la respiración mientras las implicaciones del Brexit comienzan a aclararse. Durante el período de implementación, la legislación de la UE seguirá aplicándose y las empresas y los fondos seguirán beneficiándose. Pero esto no ha aportado mucha certeza para el sector de servicios financieros a largo plazo. Los bancos más tradicionales ya se están preparando para mover cientos de miles de millones de dólares de Londres al continente después del Brexit. La magnitud de la medida probablemente dependerá del resultado de las negociaciones de nuevos acuerdos comerciales entre el Reino Unido y la UE. Pero, un informe de thinktank New Financialsugiere que 332 empresas de servicios financieros ya han trasladado sus puestos de trabajo fuera de Londres debido al Brexit, frente a 60 la última vez que buscaron en marzo de 2019.Y esto fue antes de que la pandemia de COVID afectara el progreso de las negociaciones entre el Reino Unido y la UE. . Las empresas están considerando moverse como consecuencia del retraso y la incertidumbre en torno al Brexit.

Seguridad del consumidor

Cualquiera que sea la ruta que decidan tomar los legisladores, debe quedar claro que la seguridad del consumidor es una prioridad. Sin la confianza del consumidor, todos los esfuerzos de fintech serán inútiles de todos modos. Obviamente se cometerán errores , pero deben tratarse de manera justa y se deben aprender lecciones de ellos.

Una de las razones por las que algunas de las startups fintech son tan exitosas radica en su capacidad para ofrecer alternativas a las soluciones financieras convencionales a través de criptomonedas, préstamos online y P2P. Se presenta una variedad de desafíos y uno de ellos será la ciberseguridad. El enorme crecimiento en el número y tamaño de las plataformas en línea hace que esta industria sea muy vulnerable a las brechas de seguridad y crea objetivos potenciales para los ataques DDoS .

Los datos hacen girar al mundo, la mayoría de las veces a través de la publicidad y sus mecanismos de seguimiento. Ya sea que piense que ganar dinero con grandes volúmenes de PII para mantener la web funcionando es algo bueno, o una captura de datos sórdida que a menudo fomenta prácticas publicitarias terribles, no va a desaparecer pronto. La publicidad benéfica es una característica importante de la generación de ingresos para las organizaciones benéficas con sede en el Reino Unido, y ahí es donde se encuentra nuestro enfoque en esta publicación.

ProPrivacy ha publicado un análisis detallado de los mecanismos de seguimiento de anuncios en sitios web de organizaciones benéficas populares, y explora los matices de las organizaciones que equilibran la necesidad de permanecer en funcionamiento junto con garantizar que los datos personales y la privacidad sean una prioridad en la agenda . Desafortunadamente, parece que todavía queda mucho trabajo por hacer en ese sentido.

El juego de los numeros

Desde el principio, creo que es importante precisar exactamente de qué tipo de números estamos hablando aquí. El informe es increíblemente largo y detallado y, como resultado, es bastante fácil pasar por alto puntos clave. Si hojeó el informe, o simplemente echó un vistazo a algunos fragmentos, podría pensar que 80,000 organizaciones benéficas con sede en el Reino Unido están recolectando datos a gran escala. Ese no es el caso.

Los dominios fueron extraídos por investigadores de la base de datos del Comisionado de Caridad. Una vez que se eliminaron del total los sitios potencialmente no relacionados, como las editoriales, los subdominios, las URL muertas y más, lo que queda son 64.000 sitios. Sigue siendo una cantidad considerable de dominios. Aun así, esa cuenta está a punto de caer aún más.

Los autores del estudio dedujeron que el 42% de lo que quedaba utilizaba tecnología de seguimiento de anuncios. Eso es alrededor de 27.000 sitios. Este sigue siendo un número importante, pero como puede ver, ya hemos perdido una parte significativa del recuento original.

Agregar forma a los datos

En cuanto a qué tipo de publicidad benéfica acechaba en esos sitios, daré un paso atrás y dejaré que los investigadores hablen:

La mayoría de estos rastreadores estaban relacionados con plataformas sociales. El 33,8% de los sitios analizados contenían rastreadores pertenecientes a: Facebook, Twitter, AddThis, YouTube, Instagram, LinkedIn o Flickr.

DoubleClick, la plataforma de publicidad programática (RTB) propiedad de Alphabet, se instaló en 10.105 (15,6% de los sitios).

Fuera del ecosistema publicitario de Google, encontramos 330 (0,51%) organizaciones benéficas con rastreadores de RTB y 220 (0,34%) con rastreadores de corredores de datos instalados.

Su kilometraje puede variar (¡y variará!) , Pero personalmente no creo que la gente generalmente tenga problemas con cosas como los complementos sociales, especialmente cuando muchos de nosotros usamos esas herramientas a diario. También es bastante fácil averiguar qué hacen exactamente esos complementos y cómo evitarlos si realmente lo desea.

Sin embargo, algunos de los otros elementos podrían ser motivo de preocupación .

El estudio encontró que el 90% de las 100 organizaciones benéficas más populares del Reino Unido utilizaba métodos publicitarios a través de DoubleClick o tecnología similar. Nuevamente, DoubleClick de Google es algo en lo que al menos puede encontrar información y tomar una decisión informada sobre si desea que sus datos interactúen con él. Con ellos fuera de la imagen, el 40% utilizó elementos de terceros pertenecientes a jugadores de RTB o intermediarios de datos.

Aquí es donde la historia realmente se pone en marcha. Antes de que se pueda patear dicho equipo, es hora de un breve interludio de «¿Qué es RTB?».

¿Qué son las ofertas en tiempo real (RTB)?

En los tiempos antiguos de la publicidad en línea, los anuncios se compraban a granel y se colocaban solo en sitios web específicos. Todo fue un poco engorroso y no particularmente sofisticado, al menos en comparación con lo que ahora está disponible. Real Time Bidding (RTB) es un sistema en el que los anunciantes compiten en tiempo real frente a públicos y objetivos específicos.

Es más ágil que los métodos más tradicionales de colocación de bloques de anuncios y, por lo general, un poco más económico. En lugar de los viejos métodos masivos, puede asignar el presupuesto del tamaño que desee y solo «ganar» las ofertas que le interesan. Cualquier cosa que no sea importante para su estrategia general no influirá en las cosas.

Piense en ello como un sándwich publicitario, con los anunciantes que desean promocionar productos por un lado, el sitio web por el otro y la red publicitaria que se completa entre los dos. Dentro de ese espacio de la red publicitaria, tienes a los grandes jugadores en la cima del … ¿árbol sándwich? … y una procesión interminable de agencias publicitarias.

Por lo general, hay agencias de publicidad adicionales que cumplen el papel de intermediarios que se relacionan con dichos peces gordos. En medio de todo esto, los anunciantes deshonestos colocan sus ofertas por impresiones junto con los compradores legítimos, y la naturaleza en tiempo real de las cosas hace que sea difícil detectarlas. Esos anuncios falsos podrían estar promoviendo malware, redireccionamientos o ambos.

Eso está en el extremo «definitivamente muy malo» de la escala. En otros lugares, simplemente tenemos «RTB funcionando según lo previsto». Esa es nuestra señal para volver a la historia que nos ocupa.

Sitios benéficos y RTB

Según la investigación, 21 organizaciones benéficas están compartiendo datos con corredores directamente y siete con más de un corredor. Como puede imaginar, es importante cumplir con todas las reglas relevantes para mantener a los visitantes del sitio a salvo de posibles intrusiones en la privacidad. Lo que encontró el estudio, sin embargo, fue que en muchos casos en lo que respecta a la publicidad benéfica, las organizaciones simplemente no tenían idea de lo que estaba sucediendo en su sitio.

Las cadenas tipo margarita de solicitudes de terceros desde el rastreador colocado inicialmente significan que los datos de los visitantes se pueden compartir con varias empresas. ¿Quienes son? ¿Qué están haciendo con él? Bueno, es posible que la organización benéfica no lo sepa y usted tampoco. Si las personas que dirigen la tecnología publicitaria no explican completamente lo que va a suceder a las organizaciones benéficas, eso deja en riesgo tanto al sitio como a los visitantes.

Oh no, mi tarro de galletas

Peor aún, el cumplimiento de las cookies es un desastre. En teoría, cuando ve uno de esos avisos de «Acepta», se supone que debe poder decidir si acepta cookies / seguimiento o no. Todo debe detenerse bajo el capó y esperar a que tome una decisión informada. La realidad es un poco impactante, con un enorme 92% de los principales sitios de caridad que no pausan la carga de cookies hasta que se toma una decisión.

Volviendo a los datos, 8 organizaciones benéficas detuvieron 3 ^rd cookie de carga hasta que se tomó la decisión. El resto estaba potencialmente compartiendo datos con los anunciantes mientras el visitante del sitio decide qué hacer a continuación. El 30% de los del nivel superior no dio ninguna opción de consentimiento de ninguna manera. Alguna forma de control real ofrecida a los visitantes fue otorgada por solo el 32%, con un 13% asegurando que sus cookies estén inactivas, esperando que el visitante haga un movimiento.

Esto, francamente, no es genial.

Escenas de una donación benéfica

Muchos de nosotros donamos a organizaciones benéficas, ya sean pagos únicos, suscripciones continuas, bolsas de ropa y más. Para dar un ejemplo, después de una mudanza, pasé con mucha ropa y otros artículos que ya no tenía uso. La forma en que funciona es que usted llena algunos formularios cuando lo entrega, y unos meses después llega una carta por la puerta. Me anima a visitar el sitio web y «Ver lo que hemos hecho con sus artículos».

Hay algunas formas diferentes en que esto puede suceder:

1. La carta se personalizará para mis artículos, por ejemplo, con un código impreso único que ingreso en el sitio. A partir de ahí, el sitio web intentaría vincularme a los elementos proporcionados para comenzar a comparar los datos personales y los perfiles publicitarios. ¿Quién sabe si las herramientas de marketing ocultas hacen algo antes de que yo tome decisiones relacionadas con las cookies? ¿Si están conectados a empresas de publicidad en cadena?
2. La carta incluye un código vinculado a su nombre / dirección. Este código puede o no usarse en el sitio web para actualizar los detalles en caso de mudanza. Es posible que esto esté vinculado a los perfiles de marketing cuando se ingrese o actualice por primera vez, y luego vuelva a la misma situación en el ejemplo 1.

Es hora de hacer una elección

En mi ejemplo, el sitio me presenta una ventana emergente de la longitud de la página, indicándome que las cookies analíticas / de marketing están desactivadas de forma predeterminada. Las cookies esenciales están marcadas y hay dos casillas de «aceptar la configuración recomendada» colocadas por separado. ¿No hay forma de rechazar las cookies esenciales incluso si el sitio requiere que funcionen? Si hago clic en «aceptar la configuración recomendada» junto a las cookies de marketing actualmente desactivadas, ¿las habilitará? ¿O está «desactivado» la configuración recomendada?

¿La casilla «aceptar la configuración recomendada» junto a las cookies esenciales marca la casilla relacionada con aquellas específicamente, o hace lo mismo que la casilla de configuración recomendada junto a las cookies de marketing? ¿Dónde hago clic para averiguarlo?

Estas son solo algunas de las preguntas que tenía en mente mientras navegaba por la página, y no estoy completamente seguro de cuáles serán las respuestas correctas. Bien puede ser una observación ligeramente excesiva de las opciones que tengo ante mí, pero tales observaciones son necesarias para averiguar exactamente a qué estamos acordando. Sin ellos, la idea de otorgar el consentimiento parece algo sin sentido.

Ética caritativa

Como señala el informe, muchas organizaciones benéficas se ocupan de temas muy delicados. ¿Qué tan preparados estamos para convertirnos en monetizados para terceros al azar, con el fin de mantener funcionando nuestras organizaciones benéficas favoritas? No hay respuestas fáciles a esta pregunta. El requisito principal aquí es garantizar que los datos de las personas sean tratados con el mismo respeto que las organizaciones benéficas dan a los destinatarios de su arduo trabajo. Los donantes están felices de que estas organizaciones sigan funcionando, y definitivamente es de interés a largo plazo para las organizaciones benéficas mantenerlas así.

Las campañas de publicidad maliciosa que conducen a kits de explotación no son tan comunes en estos días. De hecho, varios actores de amenazas han pasado a otros métodos de entrega en lugar de depender de descargas no autorizadas.

Sin embargo, ocasionalmente vemos picos en la actividad que son lo suficientemente notables como para resaltar una carrera exitosa. A finales de agosto, comenzamos a ver una campaña de kit de exploits de Fallout que distribuía Raccoon Stealer a través de sitios para adultos de alto tráfico. Poco después de que lo informamos a la red publicitaria, el mismo actor de amenazas regresó nuevamente usando el kit de explotación RIG.

Luego vimos posiblemente la campaña más grande hasta la fecha en el sitio principal xhamster [.] Com de un malvertiser que hemos rastreado durante más de un año. Este actor de amenazas ha logrado abusar de prácticamente todas las redes publicitarias para adultos, pero esta puede ser la primera vez que golpea a un editor importante.

Publicidad maliciosa en una red publicitaria popular

El primer anunciante malintencionado que observamos fue capaz de pujar por anuncios en varios sitios para adultos dirigiéndose a usuarios que ejecutan Internet Explorer sin ninguna restricción de geolocalización en particular, aunque la mayoría de las víctimas estaban en los EE. UU.

En esta campaña, los delincuentes abusaron de la popular red publicitaria ExoClick utilizando diferentes páginas de redireccionamiento. Sin embargo, cada vez pudimos notificar a la red publicitaria y hacer que se apagaran rápidamente.

El primer dominio que utilizaron fue inteca-deco [.] Com, que estaba configurado como una agencia de diseño web, pero visiblemente una página de señuelo para el ojo entrenado.

El encubrimiento simple del lado del servidor realiza la redirección a una página de inicio del kit de explotación de Fallout que intenta explotar CVE-2019-0752 (Internet Explorer) y CVE-2018-15982 (Flash Player) antes de eliminar el Raccoon Stealer.

Aproximadamente 10 días después, otro dominio, websolvent [.] Me, se activó pero utilizó una técnica de redirección diferente, una redirección 302, también conocida como amortiguación 302. Esta vez vemos el kit de explotación RIG que también ofrece Raccoon Stealer.

Más allá de una carga útil común, esos dos dominios también están relacionados. Un rastreo de RiskIQ confirma una relación entre estos 2 dominios donde el host principal fue sorprendido haciendo un redireccionamiento de meta actualización al secundario:

La publicidad maliciosa en los mejores sitios para adultos obtiene el máximo alcance

El segundo malvertiser (‘malsmoke’) es uno que hemos rastreado diligentemente durante los últimos meses y cuya carga útil final es a menudo el malware Smoke Loader. Es, con mucho, el más atrevido y exitoso, ya que persigue a grandes editoriales y una variedad de redes publicitarias. Sin embargo, hasta ahora solo los habíamos visto en editoriales de la industria para adultos que todavía son relativamente pequeñas.

En este caso, el actor de amenazas pudo abusar de la red publicitaria de Traffic Stars y colocar su anuncio malicioso en xhamster [.] Com, un sitio con poco más de 1.06 mil millones de visitas mensuales según SimilarWeb.com .

Las puertas utilizadas por este grupo también utilizan un sitio señuelo y con el tiempo han registrado dominios burlándose de las redes publicitarias y los proveedores de la nube.

El mecanismo de redireccionamiento es más sofisticado que los utilizados en otras campañas de publicidad maliciosa. Hay algunas comprobaciones de huellas digitales y conectividad del lado del cliente para evitar VPN y proxies, que solo apuntan a direcciones IP legítimas.

Curiosamente, esta instancia de Smoke Loader también descarga Raccoon Stealer y ZLoader.

Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año. A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de redes publicitarias para mantener su negocio ininterrumpido.

¿Sigues usando Internet Explorer?

Los actores de amenazas que siguen aprovechando los kits de explotación para distribuir malware es una cosa, pero los usuarios finales que navegan con Internet Explorer es otra. A pesar de las recomendaciones de Microsoft y los profesionales de la seguridad, solo podemos ser testigos de que todavía hay una serie de usuarios (consumidores y empresas) en todo el mundo que aún no han migrado a un navegador moderno y totalmente compatible.

Como resultado, los autores de kits de explotación están exprimiendo hasta el último jugo de las vulnerabilidades en Internet Explorer y Flash Player (que se retirarán definitivamente el próximo año).

Los clientes de Malwarebytes han estado protegidos durante mucho tiempo contra la publicidad maliciosa y los kits de explotación. Continuamos rastreando e informando las campañas con las que nos encontramos para ayudar a hacer nuestra parte para mantener Internet más seguro.

Indicadores de compromiso

Puertas utilizadas en campaña de publicidad maliciosa que empuja a Raccoon Stealer

intica-deco [.] com
websolvent [.] me

Ladrón de mapaches

b289155154642ba8e9b032490a20c4a2c09b925e5b85dda11fc85d377baa6a6c
f319264b36cdf0daeb6174a43aaf4a6684775e6f0fb69aaf2d7dc051a593de93

Ladrón de mapaches C2s

34.105.147 [.] 92 / gate / log.php
chinadevmonster [.] Top / gate / log.php

Cargador de humo

23bef893e3af7cb49dc5ae0a14452ed781f841db7397dc3ebb689291fd701b6b

Cargador de humo C2s

dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info
dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info

Puertas utilizadas en la campaña de malsmoke

einlegesohle [.] com / indexx.php
adexhangetomatto [.] space
encelava [.] com / coexo.php
encelava [.] com / caac
uneaskie [.] com / ukexo.php
bumblizz [.] com / auexo.php
bumblizz [ .] com / auflexexo.php
bumblizz [.] com / caexo.php
bumblizz [.] com / caflexexo.php
bumblizz [.] com / usexo.php
bumblizz [.] com / usflexexo.php
canadaversaliska [.] info / coflexexo .php
canadaversaliska [.] info / coflexo.php
canadaversaliska [.] info / ukflexexo.php
canadaversaliska [.] info / ukflexo.php
canadaversaliska [.] info / usflexexo.php
canadaversaliska [.] info / usflexo.php
krostaur [. ] com / jpexo.php
krostaur [.] com / jpflexexo.php
krostaur [.] com / jpflexo.php
leiomity [.] com / ukexo.php
leiomity [.] com / ukflexexo.php
leiomity [.] com / usexo.php
leiomity [.] com / usflexexo.php
surdised [.] com / coexo.php
surdised [.] com /usexo.php

Tweets que hacen referencia a la campaña malsmoke

https: // twitter [.] com / MBThreatIntel / status / 1245791188281462784 https: // twitter [.] com / FaLconIntel / status / 1232475345023987713 https: // twitter [.] com / nao_sec / status / 1231149711517634560 https: // twitter [.] com / tkanalyst / status / 1229794466816389120 https: // twitter [.] com / nao_sec / status / 1209090544711815169

Con la pandemia aún en pleno apogeo, las instituciones educativas de los EE. UU. Están iniciando el año escolar 2020-2021 de formas muy diferentes, desde la reapertura de las aulas hasta el aprendizaje a distancia a tiempo completo. Lamentablemente, a medida que las escuelas que adoptan la instrucción virtual luchan con los desafíos complejos de TI además de una infraestructura que ya es frágil, no están ni cerca de cerrar la brecha de ciberseguridad K-12.

Los niños no tienen más remedio que continuar sus estudios dentro del clima social y sanitario actual. Además de esto, deben acostumbrarse a nuevas configuraciones de aprendizaje, posiblemente múltiples, ya sea aprendizaje a distancia completo, educación en el hogar o un híbrido de instrucción en clase y en el hogar.

Independientemente de cuál de estas configuraciones los distritos escolares, los padres o tutores decidan que son las más adecuadas para sus hijos, una cosa debe seguir siendo una prioridad: la seguridad general de la experiencia de aprendizaje de los estudiantes durante la pandemia . Para esto, se necesitan muchos preparativos cuidadosos y considerables.

Nuevo término, nuevos términos

Los padres en los Estados Unidos están participando en el aprendizaje de sus hijos como nunca antes, y eso fue antes de que la pandemia los forzara. Ahora más que nunca, es importante familiarizarse con los diferentes entornos educativos para considerar cuál es el más adecuado para su familia.

Aprendizaje a distancia completo

Las clases se llevan a cabo en línea mientras los estudiantes están seguros en sus propios hogares. Los maestros también pueden ofrecer clases virtuales fuera de sus propios hogares, o pueden estar usando sus aulas vacías para mejorar el ancho de banda.

Esta configuración requiere que las familias tengan, idealmente, una computadora portátil o computadora dedicada que los estudiantes puedan usar para las sesiones de clase y el trabajo independiente. Además, es necesaria una conexión sólida a Internet para apoyar tanto a los estudiantes como a los padres que trabajan desde casa. Sin embargo, los niños de familias de bajos ingresos pueden tener dificultades para acceder a esta tecnología, a menos que la escuela les entregue computadoras portátiles y dispositivos de puntos de acceso para Wi-Fi. A menudo, hay demoras en la distribución de equipos y materiales, sin mencionar una posible curva de aprendizaje gracias a la brecha digital .

El aprendizaje a distancia completo brinda a los niños el beneficio de la instrucción del maestro mientras están a salvo de la exposición al coronavirus.

Educación en el hogar o educación en el hogar

Las clases se llevan a cabo en casa, con el padre o tutor actuando como maestro, consejero y, sí, incluso como experto en TI para sus hijos. Hoy en día, esta configuración a menudo se denomina educación en el hogar temporal o educación en el hogar de emergencia. Aunque esta es una opción viable y potencialmente económica para algunas familias, tenga en cuenta que pueden surgir desafíos inevitables en el camino. Esto podría ser especialmente cierto para los niños mayores que están más acostumbrados a utilizar la tecnología en sus estudios.

Esto no quiere decir que la falta de uso de la tecnología al instruir a los niños resultaría en una baja calidad de aprendizaje. De hecho, un estudio de la Universidad de Tilburg [ PDF ] sobre la comparación entre el aprendizaje tradicional y el aprendizaje digital entre niños de 6 a 8 años mostró que los niños se desempeñan mejor cuando se les enseña de la manera tradicional, aunque el estudio señaló además que son más receptivos a métodos de aprendizaje digital. Pero quizás la implicación más relevante del estudio es la siguiente: el papel de los profesores (en el contexto de este artículo, los padres y tutores) en el logro de los resultados de aprendizaje deseables sigue siendo un factor central.

Los padres y tutores pueden enfrentarse al desafío de pensar de manera innovadora cuando se trata de crear lecciones valiosas para sus hijos que se centren en su estilo de aprendizaje mientras los mantienen encaminados a su nivel de grado.

Aprendizaje híbrido

Esta es una combinación de instrucción en clase y en el hogar, en la que los estudiantes van a la escuela a tiempo parcial con un distanciamiento social significativo y medidas de seguridad, como el uso de máscaras, desinfección regular de instalaciones y propiedades, y limpieza regular de manos. Los estudiantes pueden dividirse en grupos más pequeños, tener horarios de llegada escalonados y pasar solo una parte de su semana en el aula.

Durante el resto del tiempo de los estudiantes, los padres o tutores tienen la tarea de continuar con la instrucción en casa. Durante estos días u horas, los padres o tutores deben lidiar con los mismos factores de estrés en el tiempo, la creatividad, la paciencia y la seguridad digital que los modelos de educación a distancia y educación en el hogar.

Los nuevos métodos de enseñanza y aprendizaje pueden surgir de la combinación de cualquiera de las tres configuraciones enumeradas anteriormente. Pero independientemente de cómo los niños deban continuar su educación, con la peor o la mejor de las circunstancias en mente, apoyar su bienestar emocional y mental es una prioridad. Para lograr la tranquilidad y mantener a los estudiantes enfocados en la instrucción, los padres también deben priorizar la protección de los dispositivos de sus hijos contra las amenazas en línea y la invasión de la privacidad.

Viejas amenazas, nuevos riesgos

Es un hecho que los entornos de aprendizaje que exponen a los niños a las amenazas en línea y arriesgan su privacidad son los que más involucran el uso de tecnología. Algunos son familiares y otros nacen de los cambios introducidos por la pandemia. Veamos los factores de riesgo que hacen que la ciberseguridad K-12 sea esencial en las escuelas y en los hogares.

Zoombing . Se trata de una ciberamenaza que recientemente cobró fuerza debido al mayor uso de Zoom, una herramienta de conferencias web ahora popular. Empleados, celebridades, amigos y familiares han usado esta aplicación (y aplicaciones similares) para comunicarse en grupos más grandes. Ahora es comúnmente adoptado por las escuelas para las horas de instrucción virtual.

Desde que se hicieron cumplir los procedimientos de refugio en el lugar, han aparecido historias de incidentes de Zoombing a izquierda y derecha. Tomemos, por ejemplo, el caso del hombre desconocido que pirateó una clase virtual de Berkeley a través de Zoom para exponerse a estudiantes de secundaria y gritar obscenidades. Lo que hizo que este caso fuera notable fue el hecho de que el maestro de esa clase siguió los procedimientos recomendados para asegurar la sesión, pero aún así se produjo una infracción.

Problemas de privacidad. Cuando se trata de datos de niños, la privacidad es casi siempre el tema principal. Y hay muchas formas en que estos datos pueden verse comprometidos: desde violaciones de datos organizacionales, algo con lo que todos estamos muy familiarizados en este momento, hasta fugas accidentales y recopilación de datos sin consentimiento de herramientas y / o aplicaciones introducidas rápidamente.

Se produjo un incidente de fuga accidental en Oakland cuando los administradores publicaron inadvertidamente cientos de códigos de acceso y contraseñas utilizadas en clases en línea y videoconferencias para el público, lo que permitió que cualquier persona con una cuenta de Gmail no solo se uniera a estas clases, sino que también tuviera acceso a los datos de los estudiantes.

En abril de 2020, un padre presentó un caso contra Google en nombre de sus dos hijos por violar la Ley de Protección de la Privacidad Infantil en Línea (COPPA) y la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois. El padre, Clinton Farwell, alega que el servicio G Suite for Education de Google recopila los datos (su PII y datos biométricos) de niños, que tienen 13 años o menos, para «monitorear y perfilar a los niños de manera secreta e ilegal, pero para hacerlo sin el conocimiento o consentimiento de los padres de esos niños «.

Esto sucedió dos meses después de que Héctor Balderas, el fiscal general de Nuevo México, entablara una demanda contra la empresa por seguir rastreando a los niños fuera del aula .

Ataques de ransomware . Las instituciones educativas no son inmunes a los ataques de ransomware . Escuela Unión Panamá-Buena Vista. Independiente de Fort Worth. Escuela secundaria de la comunidad de Crystal Lake. Estos son solo algunos del total de distritos ( 284 escuelas en total) que se vieron afectados por el ransomware desde principios de 2020 hasta la primera semana de abril. Desafortunadamente, la pandemia no los convertirá en un objetivo menos, solo más.

Con muchas escuelas K-12 adaptándose a la pandemia, a menudo introduciendo herramientas y aplicaciones que se adaptan al aprendizaje remoto sin realizar auditorías de seguridad, casi se espera que suceda algo malo. La loca lucha para abordar el repentino cambio en la demanda solo muestra lo poco preparados que estaban estos distritos escolares. También es lamentable que el personal administrativo tenga que resolver las cosas y aprender por sí mismo cómo proteger mejor los datos de los estudiantes, especialmente si no tienen un equipo de TI dedicado. Y, a menudo, esa curva de aprendizaje es bastante empinada.

Estafas de phishing . En el contexto de la industria de la educación, las estafas de phishing siempre han sido una amenaza constante. Según Doug Levin , fundador y presidente del Centro de Recursos de Ciberseguridad K-12 , las escuelas están sujetas a phishing «drive-by», en particular.

«Los estafadores y delincuentes realmente entienden la psique humana y el deseo de que las personas obtengan más información y sientan en algunos casos, creo que es justo decir en términos de coronavirus, cierto nivel de pánico», dijo Levin en una entrevista con EdWeek. «Eso hace que las personas sean más propensas a suspender el juicio por mensajes que de otro modo podrían ser sospechosos y más probabilidades de hacer clic en un documento porque les parece urgente, importante y relevante, incluso si no lo esperaban».

Consejos de seguridad para padres y tutores

Para garantizar que los estudiantes de educación a distancia y educados en el hogar tengan una experiencia de aprendizaje ininterrumpida, los padres o tutores deben asegurarse de que todas las herramientas y dispositivos que sus hijos usan para comenzar la escuela estén preparados. De hecho, hacerlo es similar a cómo mantener seguros los dispositivos de trabajo mientras se trabaja desde casa . En aras de la claridad, aclaremos algunos pasos generales, ¿de acuerdo?

Asegure su Wi-Fi

• Asegúrese de que el enrutador o el punto de acceso esté utilizando una contraseña segura. No solo eso, cambie la contraseña cada dos meses para mantenerla actualizada.
• Asegúrese de que todo el firmware esté actualizado.
• Cambie las credenciales de administrador del enrutador.
• Encienda el firewall del enrutador.

Asegure su (s) dispositivo (s)

• Asegúrese de que las computadoras u otros dispositivos de los estudiantes estén protegidos con contraseña y se bloqueen automáticamente después de un corto período de tiempo. De esta manera, el trabajo no se perderá por una mascota enloquecida o una hermana menor curiosa rompiendo algunos botones.

  Para las escuelas que emiten computadoras portátiles para estudiantes, el sistema operativo más común es ChromeOS (Chromebooks). Aquí hay una guía simple y rápida sobre cómo los padres y tutores pueden bloquear Chromebooks. La contraseña no tiene por qué ser complicada, ya que usted y su hijo deberían poder recordarla. Decidan juntos una frase de contraseña, pero no la compartan con los otros niños de la casa.

• Asegúrese de que el firewall esté habilitado en el dispositivo.
• Aplicar la autenticación de dos factores (2FA) .
• Asegúrese de que el dispositivo tenga una protección de punto final instalada y funcionando en tiempo real .

Asegure los datos de su hijo

• Las escuelas utilizan una solución de gestión del aprendizaje (LMS) para realizar un seguimiento de las actividades de los niños. También es lo que los niños usan para acceder a los recursos que necesitan para aprender.

  Asegúrese de que la contraseña de LMS de su hijo siga las pautas de la escuela sobre cómo crear una contraseña de alta entropía. Si la escuela no especifica pautas de contraseña segura, cree una contraseña segura usted mismo. Los administradores de contraseñas generalmente pueden hacer esto por usted si siente que pensar en uno complicado y recordarlo es demasiado complicado.

• También vale la pena limitar el uso del dispositivo que su hijo usa para estudiar solo al trabajo escolar. Si hay otros dispositivos en la casa, se pueden usar para acceder a las redes sociales, YouTube, videojuegos y otras actividades recreativas. Esto reducirá sus posibilidades de encontrar una amenaza en línea en el mismo dispositivo que almacena todos los datos de sus estudiantes.

Asegure la privacidad de su hijo

Hubo un caso anterior en el que una escuela encendió accidentalmente las cámaras de los dispositivos proporcionados por la escuela que los estudiantes estaban usando. Estalló en las noticias porque violó en gran medida la privacidad de uno. Aunque esto puede considerarse un incidente poco común, asuma que no puede tener demasiado cuidado cuando el dispositivo que usa su hijo tiene una cámara incorporada.

A menudo se requiere que los estudiantes muestren sus caras en el software de videoconferencia para que los maestros sepan que están prestando atención. Pero durante el resto del tiempo dedicado a las asignaciones, es una buena idea tapar las cámaras integradas. Hay cubiertas para cámaras de portátiles que los padres o tutores pueden comprar para deslizarlas por la lente cuando no están en uso.

Nuevos desafíos, nuevas oportunidades para aprender

Si bien las autoridades educativas han estado ocupadas durante meses, los padres y tutores también pueden hacer su parte al mantener su transición a un nuevo entorno de aprendizaje lo más seguro y sin fricciones posible. Como ya sabrá, algunos estados han relajado sus reglas de cierre , permitiendo que las escuelas vuelvan a abrir. Sin embargo, el tren tecnológico ha abandonado la estación.

Incluso a medida que continúe la instrucción en persona, la tecnología educativa se volverá aún más integral para las experiencias de aprendizaje de los estudiantes. Mantener esos paquetes de software especializados, aplicaciones, herramientas de comunicación y dispositivos a salvo de las amenazas cibernéticas y las invasiones de privacidad será imperativo para todas las generaciones futuras de estudiantes.

Seguro, no lo siento

Si bien los departamentos de TI de las instituciones educativas continúan lidiando con los desafíos actuales de la ciberseguridad, los padres y tutores deben intensificar sus esfuerzos y contribuir a la ciberseguridad K-12 en su conjunto. Bloquea los dispositivos de tus hijos, ya sea que los usen en el aula o en casa. Es cierto que no garantizará una protección del 100 por ciento contra los ciberdelincuentes, pero al menos, puede estar seguro de que sus hijos y sus dispositivos permanecerán lejos de su alcance.

El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo tomando prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosos que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada «puerta», que normalmente es un dominio o dirección IP donde los ciberdelincuentes envían y recopilan los datos robados de los clientes. Por lo general, vemos que los actores de las amenazas levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En este blog, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

Una experiencia de compra normal

Estamos viendo un gran número de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar a un comerciante que se ha visto comprometido con un skimmer web y realizar una compra mientras, sin saberlo, entregan los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

El skimmer se activará en la página de pago y exfiltrará subrepticiamente la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo a través de caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes ) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques con motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en descarrilar esta empresa criminal y preservar la confianza de su base de clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.