Hemos descubierto, una vez más, otro modelo de teléfono con malware preinstalado proporcionado por el programa Lifeline Assistance a través de Assurance Wireless de Virgin Mobile. Esta vez, un ANS (American Network Solutions) UL40 con sistema operativo Android 7.1.1.  

Después de que escribiéramos en enero: » los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible «, escuchamos una protesta de los clientes de Malwarebytes. Algunos afirmaron que varios modelos de teléfonos ANS estaban experimentando problemas similares al UMX (Unimax) U683CL . Sin embargo, es muy difícil verificar tales casos sin tener físicamente el dispositivo móvil a mano. Por esta razón, no pude escribir con confianza sobre tales casos públicamente. Afortunadamente, teníamos un cliente de Malwarebytes comprometido a probar su caso. ¡Gracias al patrocinador de Malwarebytes, Rameez H. Anwar, por enviarnos su ANS UL40 para futuras investigaciones! ¡Su experiencia en seguridad cibernética y su persistencia en este caso seguramente ayudarán a otros!

Aclaración de disponibilidad

Para aclarar, no está claro si el teléfono en cuestión, el ANS UL40, está disponible actualmente por Assurance Wireless. Sin embargo, el Manual del usuario de ANS UL40 aparece en la lista (al momento de escribir este artículo) en el sitio web de Assurance Wireless.

Por lo tanto, solo podemos suponer que todavía está disponible para los clientes de Assurance Wireless. En cualquier caso, el ANS UL40 se vendió en algún momento y algunos clientes aún podrían verse afectados.

Tipos de infección

Al igual que el UMX U683CL, el ANS UL40 viene infectado con una aplicación de configuración comprometida y una aplicación de actualización inalámbrica . Aunque esto puede ser cierto, que están no infectadas con las mismas variantes de malware. Las infecciones son similares pero tienen sus propias características de infección únicas. Aquí hay un resumen de las aplicaciones infectadas.

Configuraciones

• Nombre del paquete: com.android.settings
• MD5: 7ADA4AAEA49383499B405E4CE0A9447F
• Nombre de la aplicación: Configuración
• Detección: Android / Trojan.Downloader.Wotby.SEK

La aplicación de configuración es exactamente lo que parece: es la aplicación de sistema requerida que se utiliza para controlar todas las configuraciones del dispositivo móvil. Por lo tanto, eliminarlo dejaría el dispositivo inutilizable. Para el caso del ANS UL40, está infectado con Android / Trojan.Downloader.Wotby.SEK.

La prueba de infección se basa en varias similitudes con otras variantes de Downloader Wotby. Aunque la aplicación de configuración infectada está muy ofuscada, pudimos encontrar un código malicioso idéntico. Además, comparte el mismo nombre de receptor: com.sek.y.ac; nombre del servicio: com.sek.y.as ; y nombres de actividad: com.sek.y.st , com.sek.y.st2 y com.sek.y.st3 . Algunas variantes también comparten un archivo de texto que se encuentra en su directorio de activos llamado wiz.txt. Parece ser una lista de «aplicaciones principales» para descargar desde una tienda de aplicaciones de terceros. Aquí hay un fragmento de código del archivo de texto.

Para ser justos, no se activó ninguna actividad maliciosa desde esta aplicación de configuración infectada . Esperábamos ver algún tipo de notificación o ventana emergente del navegador con información del código que se muestra arriba. Lamentablemente, eso nunca sucedió. Pero tampoco pasamos la cantidad de tiempo normal que un usuario típico pasaría en el dispositivo móvil. Tampoco se instaló una tarjeta SIM en el dispositivo, lo que podría afectar el comportamiento del malware. Sin embargo, hay pruebas suficientes de que esta aplicación de configuración tiene la capacidad de descargar aplicaciones de una tienda de aplicaciones de terceros. Esto no esta bien. Por esta razón, la detección se mantiene.

Aunque es inquietante, es importante tener en cuenta que las aplicaciones de la tienda de aplicaciones de terceros parecen estar libres de malware. Esto se verificó mediante la descarga manual de un par de nosotros mismos para su análisis. Eso no quiere decir que las versiones maliciosas no se puedan cargar en una fecha posterior. Tampoco verificamos cada muestra. Sin embargo, creemos que el conjunto de muestras que verificamos es válido para otras aplicaciones en el sitio. En esas circunstancias, incluso si la aplicación de configuración de ANS había descargado una aplicación de la lista, todavía no es tan nefasta como la aplicación de configuración que se ve en el UMX U683CL.

Actualización inalámbrica

• Nombre del paquete: com.fota.wirelessupdate
• MD5: 282C8C0F0D089E3CD522B4315C48E201
• Nombre de la aplicación: WirelessUpdate
• Detecciones: tres variantes de Android / PUP.Riskware.Autoins.Fota
  • Variantes .INS, .fscbv y .fbcv

WirelessUpdate se clasifica como un instalador automático de software de riesgo de programa potencialmente no deseado (PUP) que tiene la capacidad de instalar aplicaciones automáticamente sin el consentimiento o conocimiento del usuario. También funciona como la fuente principal del dispositivo móvil para actualizar parches de seguridad, actualizaciones del sistema operativo, etc.

Android / PUP.Riskware.Autoins.Fota en particular es conocido por instalar varias variantes de Android / Trojan.HiddenAds, ¡ y de hecho lo hizo! De hecho, ¡instaló automáticamente cuatro variantes diferentes de HiddenAds como se ve a continuación!

• Nombre del paquete: com.covering.troops.merican
• MD5: 66C7451E7C87AD5145596012C6E9F9A0
• Nombre de la aplicación: Merica
• Detección: Android / Trojan.HiddenAds.MERI

• Nombre del paquete: com.sstfsk.cleanmaster
• MD5: 286AB10A7F1DDE7E3A30238D1D61AFF4
• Nombre de la aplicación: Clean Master
• Detección: Android / Trojan.HiddenAds.BER

• Nombre del paquete: com.sffwsa.fdsufds
• MD5: 4B4E307B32D7BB2FF89812D4264E5214
• Nombre de la aplicación: belleza
• Detección: Android / Trojan.HiddenAds.SFFW

• Nombre del paquete: com.slacken.work.mischie
• MD5: 0FF11FCB09415F0C542C459182CCA9C6
• Nombre de la aplicación: Mischi
• Detección: Android / Trojan.HiddenAds.MIS

Verificación de caída de carga útil

Ahora puede que se pregunte: «¿Cómo verificó cuál de las dos aplicaciones de sistema infectadas preinstaladas está dejando caer las cargas?» El proceso funciona de la siguiente manera. Deshabilita uno de ellos al configurar inicialmente el dispositivo móvil. En los casos UMX y ANS, elegir cuál deshabilitar fue fácil de decidir. Esto se debe a que la desactivación de la aplicación de configuración hace que el teléfono quede inutilizable. Entonces, deshabilitar WirelessUpdate fue la opción obvia en ambos casos. El siguiente paso en el proceso es esperar un par de semanas para ver si sucede algo. Y sí, a veces necesita esperar tanto tiempo para que el malware deje caer las cargas útiles. Si no sucede nada después de un par de semanas, es hora de volver a habilitar la aplicación del sistema infectado nuevamente y comenzar el juego de espera nuevamente.

Usando este proceso, descubrimos que en el caso del UMX U683CL , la aplicación de configuración era la culpable. Para el ANS UL40, después de no ver ninguna carga útil caída durante semanas, volví a habilitar WirelessUpdate. ¡En 24 horas, instaló las cuatro variantes de HiddenAds! Atrapado con las manos en la masa, WirelessUpdate !

El lazo entre UMX y ANS

Con nuestros hallazgos, imaginamos que algunos se preguntan: ¿Es esto una correlación o una coincidencia? Sabemos que tanto los dispositivos móviles UMX como ANS tienen las mismas aplicaciones de sistema infectadas. Sin embargo, las variantes de malware en el modelo U683CL y UL40 son diferentes. Como resultado, inicialmente no pensé que hubiera vínculos entre las dos marcas. Lo resumí como una coincidencia en lugar de una correlación. Eso es hasta que me topé con evidencia que sugiere lo contrario. 

La aplicación de configuración que se encuentra en el ANS UL40 está firmada con un certificado digital con el nombre común de teleepoch. Al buscar teleepoch aparece la empresa TeleEpoch Ltd junto con un enlace a su sitio web. Allí mismo, en la página de inicio de TeleEpoch Ltd, se afirma que Teleepoch registró la marca «UMX» en los Estados Unidos. 

Revisemos. Tenemos una aplicación de configuración que se encuentra en un ANS UL40 con un certificado digital firmado por una empresa que es una marca registrada de UMX. Para el marcador, eso es dos diferentes ajustes aplicaciones con software malicioso dos variantes diferentes en dos teléfonos diferentes fabricantes y modelos que aparecen a todos de vuelta a la corbata Teleepoch Ltd . Además, hasta ahora, las únicas dos marcas que tienen malware preinstalado en la aplicación Configuración a través del programa Lifeline Assistance son ANS y UMX.

Esto me llevó a investigar más sobre la correlación observando casos en nuestro sistema de soporte de otros modelos ANS que podrían haber preinstalado malware. Fue entonces cuando encontré el ANS L51. Para el registro, el L51 fue otro modelo que se jactó de haber preinstalado malware en los comentarios del artículo de UMX en enero. ¡Descubrí que el ANS L51 tenía las mismas variantes de malware exactas que el UMX U683CL! Allí, dentro de los tickets de soporte anteriores, había una prueba de que el ANS L51 estaba infectado con Android / Trojan.Dropper.Agent.UMX y Android / PUP.Riskware.Autoins.Fota.fbcvd. ¡Conduciendo a casa la clasificación de TeleEpoch, UMX y la correlación ANS! 

Soluciones

Tenemos la máxima fe en que ANS encontrará rápidamente una solución a este problema. Al igual que UMX hizo lo que se indica en la sección ACTUALIZACIÓN: 11 de febrero de 2020 de la escritura de enero. Como aspecto positivo , no encontramos que la aplicación de Configuración en el ANS sea tan viciosa como en el UMX. Por lo tanto, la urgencia no es tan severa esta vez.

Mientras tanto, los usuarios frustrados con ANS UL40 pueden detener la reinfección de HiddenAds utilizando este método para desinstalar WirelessUpdate para el usuario actual (detalles en el siguiente enlace):

Instrucciones de eliminación para Adups

Advertencia: asegúrese de leer Restaurar aplicaciones en el dispositivo (sin restablecimiento de fábrica) en el raro caso de que necesite revertir / restaurar la aplicación. Por ejemplo, si desea restaurar WirelessUpdate para verificar si hay actualizaciones importantes del sistema.

Use este / estos comando (s) durante el paso 7 en Desinstalar Adups a través de la línea de comando ADB para eliminar:

adb shell pm uninstall -k –user 0 com.fota.wirelessupdate

El presupuesto no debe ser equivalente a malware

Hay compensaciones al elegir un dispositivo móvil económico. Algunas compensaciones esperadas son el rendimiento, la duración de la batería, el tamaño de almacenamiento, la calidad de la pantalla y la lista de otras cosas para que un dispositivo móvil se ilumine en la billetera. 

Sin embargo, el presupuesto nunca debe significar comprometer la seguridad de uno con malware preinstalado

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre a partir de 2012. El nuevo nombre, ThiefQuest, también es más adecuado para nuestra comprensión actualizada del malware.

El malware ThiefQuest , que se descubrió la semana pasada, puede no ser realmente ransomware según los nuevos hallazgos. Los comportamientos que se han documentado hasta ahora siguen siendo precisos, pero ya no creemos que el rescate sea el objetivo real de este malware.

¿Por qué? Esa es una gran pregunta, y ha habido varias migas de pan que nos han llevado a esta conclusión.

Comportamiento improbable de rescate

La presencia de keylogging y código de puerta trasera , descubierta por Patrick Wardle, es inusual en el ransomware. Inédito en Mac, realmente, pero no hemos visto mucho ransomware en este lado de la calle. Este descubrimiento indicó que había algo extraño en esta amenaza.

También hay varias pistas que quedan a la derecha en la nota de rescate:

• 

La primera pista es que el precio de descifrado es de $ 50 USD. Ese es un precio extrañamente bajo, y en USD en lugar de Bitcoin, y se esperaría que la víctima calcule la cantidad correcta de Bitcoin al tipo de cambio en ese momento. Sin embargo, esto por sí solo no es prueba de nada.

Lawrence Abrams , de Bleeping Computer, que tiene más experiencia con ransomware en el mundo de Windows, notó otro hallazgo que la mayoría de los investigadores de Mac que estaban investigando. No se proporcionó una dirección de correo electrónico en la nota de rescate, por lo que no hay forma de ponerse en contacto con los delincuentes detrás del malware para obtener su clave de descifrado, y tampoco hay manera de que se comuniquen con usted.

Además, cuando se compararon las notas de rescate obtenidas de diferentes sistemas, se descubrió que la dirección de Bitcoin dada es la misma para todos. Esto significa que no habría forma de que los delincuentes verifiquen quién pagó el rescate.

Finalmente, aunque hay una rutina de descifrado en el malware, los hallazgos de Patrick Wardle mostraron que no se llamó en ninguna parte del código del malware, lo que significa que la función está huérfana y nunca se ejecutará.

Esto, más la extraña reticencia mostrada por el malware para encriptar cualquier cosa, sugiere que el rescate es simplemente una distracción. (Solo pude cifrar archivos una vez, y esa no fue la misma instalación donde el malware me gritaba cada cinco minutos que había cifrado mis archivos cuando en realidad no lo había hecho).

Mientras miraba la actividad de red desde una instalación activa de ThiefQuest, noté que estaba haciendo literalmente cientos de conexiones al servidor de comando y control (C2) rápidamente.

Como un mago, distrayendo su ojo con una mano mientras la otra realiza un poco de mano, este malware parece estar haciendo mucho ruido para cubrir lo que ahora creemos que es su verdadero objetivo: la exfiltración de datos.

Exfiltración?

Para aquellos que no están familiarizados con el término, la exfiltración de datos es simplemente un robo de datos. Se utiliza para referirse al acto de malware que recopila datos de una máquina infectada y los envía a un servidor bajo el control del atacante.

En el caso de ThiefQuest, había un script de Python que se soltó en el sistema, pero no de manera confiable. (No lo obtuve en todas las instalaciones). Ese script se usó para filtrar datos.

Este script explora todos los archivos de la /Users/carpeta (la carpeta que contiene todos los datos de usuario para todos los usuarios de la computadora) en busca de cualquier archivo que tenga ciertas extensiones, como .pdf, .doc, .jpg, etc. Algunas extensiones en particular indican puntos de interés para el malware, como .pem, utilizado para claves de cifrado, y .wallet, utilizado para billeteras de criptomonedas.

Esos archivos luego se cargan a través de HTTP sin cifrar, uno tras otro. El examen de los paquetes de red mostró que contenían una cadena con dos piezas de información: una ruta de archivo y una cadena aleatoria de caracteres.

c = VGhpcyBpcyBhIHRlc3QK & f =% 2FUsers% 2Ftest% 2FDocuments% 2Fpasswords.doc

El archivo passwords.doc al que se refiere fue un archivo señuelo que contenía el texto «Esta es una prueba». La cadena aparentemente aleatoria VGhpcyBpcyBhIHRlc3QK, es una cadena codificada en base64 que, cuando se decodifica, muestra el contenido del archivo.

Por lo tanto, el malware exfiltraba cientos de archivos a través de HTTP sin cifrar.

Entonces, ¿qué es este malware de Mac?

Según Abrams, dicho malware en el mundo de Windows se conoce como un «limpiador». Este tipo de malware a menudo está destinado a robar datos y borrar el sistema, en parte o en su totalidad, para cubrir sus huellas.

Por lo general, se implementa un limpiador en ataques dirigidos contra una organización en particular. A veces, como ha sido el caso con el malware, como el infame NotPetya, ese malware se extenderá más allá del objetivo, o puede propagarse intencionalmente ampliamente para ocultar quién es el objetivo.

En este punto, no hay indicios de que este sea un ataque dirigido. Hasta ahora, también está en todo el tablero, con avistamientos aleatorios en todo el mundo.

Hay alguna indicación de que esto puede ser solo una prueba de concepto (PoC), como el siguiente comentario en un script de Python asociado con el malware:

# n__ature comprobación de PoC
# TODO: los PoC son geniales, pero esto
# entrega mucho mejor cuando se implementa en
# producción

Siempre soy reacio a creer lo que me dice una pieza de malware. Esto puede ser una pista falsa, o puede ser un comentario antiguo que nunca se eliminó, o tal vez ese script Python en sí mismo es el PoC. Aún así, la aparente falta de pulido en este malware podría significar que no estaba realmente listo para su lanzamiento.

Capacidades adicionales

Como se mencionó anteriormente, este malware también parece incluir código para el registro de teclas y para abrir una puerta trasera para brindarle al atacante acceso prolongado a su Mac. Esto es inusual para el ransomware, pero no es realmente inusual para nuestra nueva comprensión del malware.

Sin embargo, más inesperado es el hecho de que el malware parece incluir código que se comporta como la definición de virus de un libro de texto, algo que no se ha visto en Mac desde el cambio de System 9 a Mac OS X 10.0.

Anteriormente notamos que el malware se inyectó en algunos archivos relacionados con la Actualización de software de Google, y encontramos esto bastante desconcertante, ya que Google Chrome detectará los cambios y reemplazará los archivos manipulados con archivos limpios. Sin embargo, los nuevos hallazgos sobre el comportamiento viral de Patrick Wardle revelaron más información sobre cómo está sucediendo esto.

Un virus es un tipo específico de malware que agrega código malicioso a aplicaciones o ejecutables legítimos, como una forma de propagar o reinfectar una máquina.

El malware realmente buscará en la carpeta / Users / buscando archivos ejecutables. Cuando encuentre uno, antepondrá un código malicioso al comienzo del archivo. Esto significa que cuando se ejecuta el archivo, el código malicioso se ejecuta primero. Ese código copiará el contenido del archivo legítimo en un archivo nuevo e invisible y lo ejecutará.

El acto de reemplazar o modificar un archivo legítimo con uno malicioso, y luego ejecutar un código legítimo para que parezca que no pasa nada, no es nuevo en macOS. De hecho, el primer ransomware Mac real, KeRanger, se propagó a través de una copia modificada de la aplicación de transmisión torrent. El atacante modificó la transmisión y luego pirateó el sitio web de la transmisión para difundir la versión envenenada de la aplicación.

Sin embargo, hasta ahora, esto lo había hecho manualmente un atacante para modificar una aplicación legítima para distribución maliciosa. El malware no ha hecho esto de manera automatizada desde los días del Sistema 1 al Sistema 9, cuando se vieron los virus Mac por última vez.

¿Qué debo hacer si estoy infectado?

La intención del malware no cambia su eliminación, y Malwarebytes para Mac aún eliminará todos los componentes conocidos del malware.

Sin embargo, hay algunas otras consideraciones. Es completamente posible que los archivos ejecutables en una Mac infectada puedan haber sido modificados maliciosamente, y estos cambios pueden no ser detectados por el software antivirus. Incluso si lo son, la eliminación de esos archivos puede causar daños en el software de su sistema. Por lo tanto, debido a este peligro y al probable daño a los datos del usuario, puede ser prudente restaurar un sistema infectado a partir de copias de seguridad en lugar de tratar de desinfectarlo.

Recuperarse del robo de datos puede ser más difícil, en algunos aspectos, que recuperarse del ransomware. Si tiene buenas copias de seguridad, recuperarse del ransomware es relativamente fácil. ¡Sin embargo, no hay que recuperar datos robados!

Si estaba infectado, pase un tiempo pensando en los datos que tiene que pueden haber sido robados. Cómo responde depende de los datos. Si tenía tarjetas de crédito en los datos de su carpeta de usuario, puede considerar cancelarlas. Si había información personal confidencial, como números de seguro social, considere bloquear su crédito con las agencias de crédito. Si tenía contraseñas, cámbielas siempre que las use.

Sin embargo, en última instancia, la información personal que ha sido robada está para siempre en otras manos. En casos de información vergonzosa o perjudicial que se filtró, no hay recuperación. Si el atacante decide hacer algo malicioso con eso, chantaje, por ejemplo, no puede protegerse.

Por lo tanto, es mejor no confiar en el cifrado de FileVault en su disco duro. Eso es excelente para proteger sus datos si su Mac es robada, pero no tanto contra el malware que se ejecuta en la máquina. Si tiene datos altamente confidenciales, asegúrese de que estén encriptados independientemente de alguna manera. La prevención es siempre la mejor protección.

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre desde 2012. El nuevo nombre es OSX.ThiefQuest.

Un usuario de Twitter llamado @beatsballert me envió un mensaje ayer después de enterarse de un instalador de Little Snitch aparentemente malicioso disponible para descargar en un foro ruso dedicado a compartir enlaces de torrents. Una publicación ofreció una descarga de torrents para Little Snitch, y pronto le siguieron varios comentarios de que la descarga incluía malware. De hecho, descubrimos que no solo era malware, sino una nueva variante de ransomware para Mac que se propagaba a través de la piratería.

Instalación

El análisis de este instalador mostró que definitivamente estaba sucediendo algo extraño. Para comenzar, el instalador legítimo de Little Snitch está empaquetado de forma atractiva y profesional, con un instalador personalizado bien hecho que está debidamente firmado por código. Sin embargo, este instalador era un simple paquete de instalación de Apple con un ícono genérico. Peor aún, el paquete de instalación se distribuyó sin sentido dentro de un archivo de imagen de disco.

El examen de este instalador reveló que instalaría lo que resultó ser las aplicaciones legítimas de instalación y desinstalación de Little Snitch, así como un archivo ejecutable llamado «parche», en el /Users/Shared/directorio.

El instalador también contenía un script posterior a la instalación, un script de shell que se ejecuta después de que se completa el proceso de instalación. Es normal que este tipo de instalador contenga secuencias de comandos previas a la instalación y / o posteriores a la instalación, para su preparación y limpieza, pero en este caso la secuencia de comandos se utilizó para cargar el malware y luego iniciar el instalador legítimo Little Snitch.

! / bin / sh
mkdir / Biblioteca / LittleSnitchd

mv / Users / Shared / Utils / patch / Library / LittleSnitchd / CrashReporter
rmdir / Usuarios / Compartido / Utilidades

chmod + x / Library / LittleSnitchd / CrashReporter

/ Library / LittleSnitchd / CrashReporter
abrir /Users/Shared/LittleSnitchInstaller.app &

El script mueve el patcharchivo a una ubicación que parece estar relacionada con LittleSnitch y le cambia el nombre CrashReporter. Como hay un proceso legítimo que forma parte de macOS llamado Crash Reporter, este nombre se combinará razonablemente bien si se ve en Activity Monitor. Luego se elimina de la /Users/Shared/carpeta y lanza la nueva copia. Finalmente, lanza el instalador de Little Snitch.

En la práctica, esto no funcionó muy bien. El malware se instaló, pero el intento de ejecutar el instalador de Little Snitch se suspendió indefinidamente, hasta que finalmente lo forcé a cerrar. Además, el malware en realidad no comenzó a encriptar nada, a pesar del hecho de que lo dejé correr por un tiempo con algunos documentos señuelo en posición de víctimas voluntarias.

Mientras esperaba que el malware hiciera algo (¡cualquier cosa!), Una investigación adicional encontró un instalador malicioso adicional, para un software de DJ llamado Mixed In Key 8, así como insinúa que también existe un instalador malicioso de Ableton Live (aunque dicho instalador no aún se ha encontrado). Indudablemente, también hay otros instaladores flotando que no se han visto.

El instalador Mixed In Key resultó ser bastante similar, aunque con nombres de archivo ligeramente diferentes y script posterior a la instalación.

! / bin / sh
mkdir / Library / mixednkey

mv / Aplicaciones / Utilidades / patch / Library / mixednkey / toolroomd
rmdir / Aplicación / Utilidades

chmod + x / Library / mixednkey / toolroomd

/ Library / mixednkey / toolroomd &

Este no incluía código para iniciar un instalador legítimo, y simplemente dejó caer la aplicación Mixed In Key directamente en la carpeta Aplicaciones.

Infección

Una vez que el instalador desencadenó la infección, el malware comenzó a extenderse generosamente por el disco duro. Ambas variantes instalaron copias del patcharchivo en las siguientes ubicaciones:

/Library/AppQuest/com.apple.questd
/Users/user/Library/AppQuest/com.apple.questd
/private/var/root/Library/AppQuest/com.apple.questd

También configuró la persistencia a través del agente de lanzamiento y los archivos de daemon plist:

/Library/LaunchDaemons/com.apple.questd.plist
/Users/user/Library/LaunchAgents/com.apple.questd.plist
/private/var/root/Library/LaunchAgents/com.apple.questd.plist

/private/var/root/Es probable que este último en cada grupo de archivos, encontrado en , se deba a un error en el código que crea los archivos en la carpeta del usuario, lo que lleva a la creación de los archivos en la carpeta del usuario raíz. Como es bastante raro que alguien inicie sesión como root, esto no tiene ningún propósito práctico.

Curiosamente, el malware también se copió en los siguientes archivos:

/Users/user/Library/.ak5t3o0X2
/private/var/root/Library/.5tAxR3H3Y

Este último era idéntico al patcharchivo original , pero el primero fue modificado de una manera muy extraña. Contenía una copia del patcharchivo, con una segunda copia de los datos de ese archivo adjunta hasta el final, seguida de 9 bytes adicionales: la cadena hexadecimal 03705701 00CEFAAD DE. Todavía no se sabe cuál es el propósito de estos archivos o estos datos adicionales agregados.

Aún más extraño, y aún inexplicable, fue el hecho de que el malware también modificó los siguientes archivos:

/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

Todos estos archivos son archivos ejecutables que forman parte de GoogleSoftwareUpdate, que se encuentran comúnmente instalados debido a que Google Chrome está instalado en la máquina. Estos archivos tenían el contenido del patcharchivo antepuesto a ellos, lo que, por supuesto, significaría que el código malicioso se ejecutaría cuando se ejecute cualquiera de estos archivos. Sin embargo, Chrome verá que los archivos se han modificado y reemplazará los archivos modificados con copias limpias tan pronto como se ejecute, por lo que no está claro cuál es el propósito aquí.

Comportamiento

El malware instalado a través del instalador Mixed In Key fue igualmente reticente para comenzar a cifrar archivos por mí. Lo dejé funcionando en una máquina real durante algún tiempo sin resultados, luego comencé a jugar con el reloj del sistema. Después de adelantarlo tres días, desconectarse de la red y reiniciar la computadora un par de veces, finalmente comenzó a cifrar archivos.

Sin embargo, el malware no era particularmente inteligente sobre qué archivos cifraba. Parecía cifrar varios archivos de configuración y otros archivos de datos, como los archivos de llavero. Esto dio como resultado un mensaje de error al iniciar sesión después del cifrado.

Hubo otras indicaciones de error muy obvias, como el Dock restableciendo su apariencia predeterminada.

El Finder también comenzó a mostrar signos de problemas, con bolas de playa giratorias que aparecían con frecuencia al seleccionar un archivo encriptado. Otras aplicaciones también se congelarían periódicamente, pero las congelaciones del Finder solo se podrían administrar forzando el cierre del Finder.

Aunque otros han informado que se crea un archivo con instrucciones sobre cómo pagar el rescate, así como una alerta que se muestra, e incluso texto a voz utilizado para informar al usuario que han sido infectados con ransomware, no pude duplicar ninguno de estos , a pesar de esperar bastante tiempo para que termine el ransomware.

Capacidades

El malware incluye algunas técnicas anti-análisis, que se encuentran en funciones nombradas is_debuggingy is_virtual_mchn. Esto es común con el malware, ya que tener un depurador conectado al proceso o ejecutarse dentro de una máquina virtual son indicios de que un investigador de malware lo está analizando. En tales casos, el malware normalmente no mostrará todas sus capacidades.

En una publicación de blog sobre Objective-See , Patrick Wardle describió los detalles de cómo funcionan estas dos rutinas. La is_virtual_mchnfunción en realidad no parece verificar si el malware se está ejecutando en una máquina virtual, sino que trata de atrapar una VM en el proceso de ajuste del tiempo. No es inusual que el malware incluya demoras. Por ejemplo, el primer ransomware Mac, KeRanger, incluyó un retraso de tres días entre el momento en que infectó el sistema y el momento en que comenzó a cifrar archivos. Esto ayuda a ocultar la fuente del malware, ya que el comportamiento malicioso puede no estar inmediatamente asociado con un programa instalado tres días antes.

Esto, más el hecho de que el malware incluye funciones con nombres como ei_timer_create, ei_timer_starty ei_timer_check, probablemente significa que el malware se ejecuta con un retraso de tiempo, aunque aún no se sabe cuál es ese retraso.

Patrick también señala que el malware parece incluir un keylogger, debido a la presencia de llamadas a CGEventTapCreate, que es una rutina del sistema que permite el monitoreo de eventos como pulsaciones de teclas. No se sabe qué hace el malware con esta capacidad. También abre un shell inverso a un servidor de comando y control (C2).

Preguntas abiertas

Todavía hay una serie de preguntas abiertas que serán respondidas a través de un análisis más detallado. Por ejemplo, ¿qué tipo de cifrado utiliza este malware? ¿Es seguro o será fácil de descifrar (como en el caso de descifrar archivos cifrados por el ransomware FindZip )? ¿Será reversible o la clave de cifrado nunca se comunicará a los delincuentes detrás de ella (también como FindZip)?

Todavía hay más por aprender, y actualizaremos esta publicación a medida que se conozca más.

Post-infección

Si se infecta con este malware, querrá deshacerse de él lo más rápido posible. Malwarebytes para Mac detectará este malware como OSX.ThiefQuest y lo eliminará.

Si sus archivos se cifran, no estamos seguros de cuán grave es la situación. Depende del cifrado y de cómo se manejan las claves. Es posible que una mayor investigación conduzca a un método para descifrar archivos, y también es posible que eso no suceda.

La mejor manera de evitar las consecuencias del ransomware es mantener un buen conjunto de copias de seguridad. Guarde al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe mantenerse adjunta a su Mac en todo momento. (El ransomware puede intentar cifrar o dañar las copias de seguridad en las unidades conectadas).

Personalmente tengo varios discos duros para copias de seguridad. Utilizo Time Machine para mantener un par y Carbon Copy Cloner para mantener un par más. Una de las copias de seguridad siempre está en la caja de seguridad del banco, y las cambio periódicamente, por lo que, en el peor de los casos, siempre tengo datos razonablemente recientes almacenados en un lugar seguro.

Si tiene buenas copias de seguridad, el ransomware no es una amenaza para usted. En el peor de los casos, simplemente puede borrar el disco duro y restaurar desde una copia de seguridad limpia. Además, esas copias de seguridad también lo protegen contra cosas como fallas en la unidad, robo, destrucción de su dispositivo, etc.

Indicadores de compromiso

Archivos

parche (y com.apple.questd)
5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b

Little Snitch 4.5.2.dmg
f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa

Mezclado en clave 8.dmg
b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

Red

Servidor C2 167.71.237.219
Dirección C2 obtenida de andrewka6.pythonanywhere [.] Com

Las vulnerabilidades de día cero permiten a los actores de amenazas aprovechar los puntos ciegos de seguridad. Por lo general, un ataque de día cero implica la identificación de vulnerabilidades de día cero, la creación de exploits relevantes, la identificación de sistemas vulnerables y la planificación del ataque. Los siguientes pasos son la infiltración y el lanzamiento. 

Este artículo examina tres ataques recientes de día cero, dirigidos a Microsoft, Internet Explorer y Sophos. Finalmente, aprenderá acerca de cuatro soluciones de protección y prevención de día cero: NGAV, EDR, IPsec y controles de acceso a la red. 

¿Qué es una vulnerabilidad de día cero?

Las vulnerabilidades de día cero son amenazas críticas que aún no se divulgan públicamente o que solo se descubren como resultado de un ataque. Por definición, los vendedores y usuarios aún no conocen la vulnerabilidad. El término día cero proviene del momento en que se descubre la amenaza (día cero). A partir de este día, se produce una carrera entre los equipos de seguridad y los atacantes para corregir o explotar la amenaza primero. 

Anatomía de un ataque de día cero

Un ataque de día cero ocurre cuando los delincuentes explotan una vulnerabilidad de día cero. La línea de tiempo de un ataque de día cero a menudo incluye los siguientes pasos. 

1. Identificación de vulnerabilidades : los delincuentes prueban el código abierto y las aplicaciones propietarias para detectar vulnerabilidades que aún no se han informado. Los atacantes también pueden recurrir a los mercados negros para comprar información sobre vulnerabilidades que aún no son públicas. 
2. Creación de exploits : los atacantes crean un kit, script o proceso que les permite explotar la vulnerabilidad descubierta.
3. Identificación de sistemas vulnerables : una vez que hay un exploit disponible, los atacantes comienzan a buscar los sistemas afectados. Esto puede implicar el uso de escáneres automáticos, bots o sondeos manuales. 
4. Planificación del ataque : el tipo de ataque que un criminal quiere lograr determina este paso. Si se ataca un ataque, los atacantes generalmente realizan un reconocimiento para reducir sus posibilidades de ser capturados y aumentar las posibilidades de éxito. Para los ataques generales, es más probable que los delincuentes usen campañas de phishing o bots para tratar de alcanzar tantos objetivos lo más rápido posible.
5. Infiltración y lanzamiento : si una vulnerabilidad requiere primero infiltrarse en un sistema, los atacantes trabajan para hacerlo antes de implementar el exploit. Sin embargo, si se puede explotar una vulnerabilidad para obtener acceso, la vulnerabilidad se aplica directamente. 

Ejemplos recientes de ataques

La prevención efectiva de ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden pasar por alto muchos sistemas de seguridad. Particularmente aquellos que dependen de métodos basados ​​en firmas. Para ayudar a mejorar su seguridad y disminuir su riesgo, puede comenzar aprendiendo sobre los tipos de ataques que ocurrieron recientemente.

Microsoft

En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones compatibles de Windows y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad. 

Los ataques apuntaron a vulnerabilidades de ejecución remota de código (RCE) en la biblioteca Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar las fuentes PostScript Tipo 1. Las fallas en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron por correo no deseado o fueron descargados por usuarios desprevenidos. Cuando se abren o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutarán e infectarán los dispositivos de los usuarios. 

explorador de Internet

Internet Explorer (IE), el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad ( CVE-2020-0674 ) ocurre debido a una falla en la forma en que el motor de secuencias de comandos de IE administra los objetos en la memoria. Afectó a IE v9-11.

Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar la falla. Esto se puede lograr mediante correos electrónicos de phishing o mediante la redirección de enlaces y solicitudes del servidor.

Sophos

En abril de 2020, se informaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL ( CVE-2020-12271 ) dirigida al servidor de base de datos PostgreSQL incorporado del firewall.

Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría usarse para modificar la configuración del firewall, otorgar acceso a los sistemas o permitir la instalación de malware. 

Protección y prevención

Para defenderse adecuadamente de los ataques de día cero, debe aplicar protecciones avanzadas sobre sus herramientas y estrategias existentes. A continuación se presentan algunas soluciones y prácticas diseñadas para ayudarlo a detectar y prevenir amenazas desconocidas. 

Antivirus de última generación

El antivirus de próxima generación (NGAV) se expande sobre el antivirus tradicional. Lo hace mediante la inclusión de características para el aprendizaje automático, la detección de comportamiento y la mitigación de vulnerabilidades. Estas características permiten que NGAV detecte malware incluso cuando no se conoce ninguna firma o hash de archivo (en el que se basa el AV tradicional). 

Además, estas soluciones suelen estar basadas en la nube, lo que le permite implementar herramientas de forma aislada y a escala. Esto ayuda a garantizar que todos sus dispositivos estén protegidos y que las protecciones permanezcan activas incluso si los dispositivos se ven afectados.

Detección de punto final y respuesta

Las soluciones de detección y respuesta de punto final (EDR) proporcionan visibilidad, monitoreo y protecciones automatizadas a sus puntos finales. Estas soluciones monitorean todo el tráfico de punto final y pueden usar inteligencia artificial para clasificar comportamientos sospechosos de punto final, como, por ejemplo, solicitudes frecuentes o conexiones de IP extranjeras. Estas capacidades le permiten bloquear amenazas independientemente del método de ataque. 

Además, las funciones EDR se pueden usar para rastrear y monitorear usuarios o archivos. Mientras el aspecto rastreado se comporte dentro de las pautas normales, no se toman medidas. Sin embargo, tan pronto como el comportamiento se desvía, los equipos de seguridad pueden ser alertados. 

Estas capacidades no requieren conocimiento de amenazas específicas. En cambio, las capacidades aprovechan la inteligencia de amenazas para hacer comparaciones generalizadas. Esto hace que EDR sea efectivo contra ataques de día cero. 

Seguridad IP

La seguridad IP (IPsec) es un conjunto de protocolos estándar utilizados por los grupos de trabajo de ingeniería de Internet (IETF). Permite a los equipos aplicar medidas de autenticación de datos y verificar la integridad y la confidencialidad entre los puntos de conexión. También permite el cifrado y la gestión e intercambio seguro de claves. 

Puede usar IPsec para autenticar y cifrar todo el tráfico de su red. Esto le permite asegurar las conexiones e identificar y responder rápidamente a cualquier tráfico sospechoso o que no sea de la red. Estas habilidades le permiten aumentar la dificultad de explotar vulnerabilidades de día cero y disminuir la posibilidad de que los ataques sean exitosos. 

Implemente controles de acceso a la red

Los controles de acceso a la red le permiten segmentar sus redes de forma altamente granular. Esto le permite definir exactamente qué usuarios y dispositivos pueden acceder a sus activos y a través de qué medios. Esto incluye restringir el acceso solo a aquellos dispositivos y usuarios con los parches o herramientas de seguridad apropiados. 

Los controles de acceso a la red pueden ayudarlo a garantizar que sus sistemas estén protegidos sin interferir con la productividad ni forzar la restricción completa del acceso externo. Por ejemplo, el tipo de acceso necesario cuando aloja software como servicio (SaaS). 

Estos controles son beneficiosos para protegerse contra las amenazas de día cero porque le permiten evitar el movimiento lateral en sus redes. Esto aísla efectivamente cualquier daño que pueda causar una amenaza de día cero. 

Mantenerse a salvo

Los recientes ataques de día cero muestran que cada vez más actores de amenazas encuentran una marca fácil en los usuarios finales. El ataque de día cero en Microsoft explotó las vulnerabilidades de los cajeros automáticos para engañar a los usuarios para que abrieran malware. Cuando los actores de amenazas explotaron una vulnerabilidad de día cero de Internet Explore, engañaron a los usuarios para que visitaran sitios maliciosos. El ataque de día cero contra Sophos podría potencialmente otorgar acceso de usuario a actores de amenazas. 

Sin embargo, si bien los ataques de día cero son difíciles de predecir, es posible prevenirlos y bloquearlos. La seguridad EDR permite a las organizaciones ampliar la visibilidad en los puntos finales, y el antivirus de próxima generación brinda protección contra malware sin tener que depender de firmas conocidas. Los protocolos IPsec permiten a la organización autenticar y encriptar el tráfico de red, y los controles de acceso a la red proporcionan las herramientas para negar el acceso a actores maliciosos. No dejes que los actores de amenazas tengan la ventaja. Al utilizar y aplicar varias de estas herramientas y enfoques, puede proteger mejor a sus empleados, sus datos y su organización.

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con Matt Davey, jefe de optimistas de operaciones de 1Password, y Kyle Swank, miembro del equipo de seguridad de 1Password, sobre, qué más, contraseñas.

Es posible que sepamos que es importante tener una contraseña larga, segura e indescifrable y, sin embargo, probablemente todos conozcamos a alguien que escriba su contraseña en un post-it, que luego se coloca literalmente en su máquina. En el episodio de hoy, hablamos de contraseñas seguras, alternativas de contraseña y el futuro, y la posible muerte, de las contraseñas.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda Apple iTunes ,  Google Play Music y Spotify , además de cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

• VPNS: le preguntamos si debería usarlos y analizamos algunas de las razones por las cuales

• Fin de línea: observamos lo que sucede en un mundo donde sus dispositivos domésticos caros pueden perder soporte sin mucha advertencia

• Ataques sofisticados: lo guiamos a través de un ataque APT muy inteligente implementado en múltiples etapas

• Tecnología de reconocimiento facial: proporcionamos un resumen sobre el cual las compañías recientemente decidieron no proporcionar la tecnología a las fuerzas del orden.

Además de otras noticias de ciberseguridad:

• Trabajo interno: el especialista de TI está encarcelado por deslizar criptomonedas del propietario del negocio (Fuente: St Helens Star)

• Rastrear y rastrear: cómo una variedad de fallas de la OPEP trajo a la policía a la puerta de alguien (Fuente: The Register)

• Otro día, otra violación: las aplicaciones de citas de nicho sufren la exposición del usuario (Fuente: Mentor VPN)

• Compromiso de correo electrónico comercial: tendencias de correo electrónico fraudulento en la era de Coronavirus (Fuente: Help Net Security)

• Estafa de vuelo libre: Southwest Airlines avisa a los clientes (Fuente: House Beautiful)

Vamos a hablar hoy sobre algo que probablemente haya escuchado antes: VPN o redes privadas virtuales . En Malwarebytes hemos profundizado en estas herramientas en mayor profundidad , y las hemos discutido literalmente en las ondas digitales .

Pero queremos responder una pregunta que hemos estado recibiendo cada vez más. La gente ya no tiene tanta curiosidad acerca de qué es una VPN, como si deberían usar una.

La respuesta es, depende. Para eso, estamos aquí para ayudar.

Cómo funciona una VPN

Para comprender cómo funciona una VPN y si debe usar una, lo mejor es comprender primero qué sucede cuando navega por Internet. Cada vez que abres un navegador web y vas a un sitio web, te estás conectando a ese sitio web e intercambiando información con él. Este es su «tráfico» de Internet, y puede revelar bastante información sobre usted, incluidos los sitios web que visita, su dirección IP y más.

Una VPN actúa como un «túnel» para su tráfico de Internet. Su tráfico entra en el túnel y sale de uno de los nodos de salida del servicio VPN. El túnel cifra sus datos, haciéndolos indescifrables para su proveedor de servicios de Internet (ISP). En el mejor de los casos, su ISP puede ver que parte del tráfico encriptado va a un servicio VPN, pero no el contenido de ese tráfico, y no de dónde sale.

Lo interesante a tener en cuenta aquí es que, con esta funcionalidad básica, una VPN puede satisfacer muchas necesidades diferentes. Como escribimos antes :

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] una pieza de software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin una VPN, su proveedor de servicios de Internet o ISP puede ver casi todo con lo que interactúa en línea. Con quién se conecta, qué tipo de tráfico, dónde se encuentra geográficamente. No bueno

Obscurecer su tráfico con una VPN

Si usa una VPN, su ISP sabe que se ha conectado a una VPN, pero no puede inspeccionar el contenido de su tráfico y no sabe de dónde sale en el otro extremo.

Además, a pesar del reciente aumento en la popularidad de las VPN, estas herramientas han estado en uso para las empresas durante mucho tiempo. Por lo general, se utilizan para acceder a recursos de forma remota como si estuviera en la oficina.

En algunos casos, incluso hemos visto aumentos de rendimiento mediante el uso de una VPN, donde el estrangulamiento artificial se evita mediante el uso de una VPN. Debido a que está haciendo un túnel en su conexión, su ISP no puede mirar su tráfico y estrangularlo , según el tipo de tráfico. Lo creas o no, este es un problema real, y algunos ISP reducen el tráfico de los usuarios cuando ven el intercambio de archivos, por ejemplo .

Recomendaciones del consumidor

Hay varios caminos que puede tomar al decidir implementar una VPN. Estas herramientas no solo funcionan en sus dispositivos personales, como sus computadoras portátiles y teléfonos móviles, sino que, en algunos casos, puede insertar su propio enrutador en la mezcla.

En muchos casos, el enrutador proporcionado por su ISP no es un dispositivo que usted controle por completo, y usarlo para sus necesidades de red puede abrirlo a posibles problemas de seguridad.

Estos dispositivos a veces tienen funciones administrativas que no son accesibles para los suscriptores. Algunos enrutadores de rango medio a superior ofrecidos en el mercado hoy en día le permiten colocar la VPN en el enrutador, encapsulando efectivamente todo su tráfico.

La ruta del hardware

Una posible solución sería obtener un enrutador de este tipo e instalar la VPN en él, en lugar de en sus máquinas individuales. Esto tiene la ventaja adicional de que proporciona protección VPN a dispositivos que no son compatibles con VPN, como dispositivos portátiles, consolas y dispositivos inteligentes.

En el pasado, hemos visto el hardware del ISP violado por cuentas codificadas en los módems / enrutadores que ofrecen a sus suscriptores.

Lamentablemente, la atención al cliente de ISP a menudo se resiste a ayudar si inserta su propio equipo en la mezcla. (De hecho, pueden hacer que lo elimine de la ecuación antes de que brinden soporte).

Esta solución es específica para cada enrutador y un poco más avanzada.

La ruta del software

También puede usar una aplicación VPN proporcionada por el proveedor de VPN. Esta aplicación proporcionará un túnel VPN a la computadora en la que está instalado, y solo eso, así que tenlo en cuenta.

Una de las opciones más sólidas a tener en cuenta para su solución de software es una funcionalidad de » interruptor de apagado «. Esto garantiza que si algo le sucede a la aplicación VPN, no se «abre por error» ni permite el tráfico de Internet si la VPN se rompe. Piénsalo. Está instalando esta aplicación por la funcionalidad explícita de que puede tunelizar su tráfico. Si la aplicación no funciona correctamente, es posible que existan riesgos de privacidad en la aplicación que aún le permitan conectarse a Internet, pero dejando que su tráfico se desvíe.

Más que nada, un interruptor de apagado evita la posibilidad de que esté operando con una falsa sensación de seguridad. Lo que usted dice en línea, y la posibilidad de que haya sido usted quien lo dijo, puede llamar la atención en algunos países con leyes mucho más estrictas sobre la libertad de expresión.

Otro factor que hace que una VPN realmente funcione es cuando tienen muchos nodos de salida. Estos nodos de salida son ubicaciones que se pueden usar para evitar la geolocalización. Cuantos más estén disponibles y mayor sea la variedad, más versátil y útil será el servicio VPN.

La velocidad también es un factor para los nodos de salida de VPN. No tiene mucho sentido tener un montón de nodos de salida a menos que sean rápidos. Una de las desventajas de usar una VPN es que al agregar todos estos «saltos» entre nodos, su tráfico tardará más en enrutarse. Si los nodos son razonablemente rápidos, el usuario final no debería notar desaceleraciones significativas.

Debe tener un proveedor de VPN que no discrimine el tipo de tráfico que fluye a través de su red. Algunas VPN más pequeñas no tienen la infraestructura necesaria para manejar grandes volúmenes de tráfico peer-to-peer o bittorrent , y lo prohíben directamente o tienen límites de datos reales.

Pensamientos finales

Recuerde, cuando usted está pensando en adoptar una de estas herramientas, se debe transferir la confianza: Cuando se utiliza una VPN permite transferir el acceso a su tráfico a un 3 ^rd partido, el proveedor de VPN. Toda esa visibilidad que los usuarios se resisten a renunciar a su ISP ahora se ha entregado a su proveedor de VPN. Se debe considerar cuidadosamente la confiabilidad de dicho proveedor de VPN.

Hay casos documentados en los que un proveedor de VPN reveló que sus usuarios podrían ser anonimizados y que el proveedor de VPN, de hecho, mantuvo registros y estaba dispuesto a entregarlos .

Recuerde, las VPN no deben verse como herramientas oscuras. Son, en realidad, herramientas comerciales y de privacidad. Permitieron que los investigadores que luchan contra el malware descubrieran qué hace realmente ese malware. Permiten que los empleados se conecten a los recursos de la empresa fuera de la oficina, lo cual es de suma importancia hoy en día. Y le permiten a usted, el usuario, reclamar una medida de privacidad.

Por lo tanto, es importante elegir con cuidado. La mayoría de las VPN ofrecen un servicio donde prometen no registrar ni inspeccionar su tráfico. Sin embargo, en muchos casos, esta afirmación es imposible de verificar.

¿La mejor opción para VPN, entonces? Lea reseñas, recorra foros y busque las funcionalidades que son importantes, específicamente para usted.

El fabricante de automóviles Honda ha sido golpeado por un ciberataque, según un informe publicado por la BBC, y luego confirmado por la compañía en un tweet . Otro ataque similar, también divulgado en Twitter , golpeó a Edesur SA, una de las compañías pertenecientes a Enel Argentina que opera en el negocio de distribución de energía en la Ciudad de Buenos Aires.

Según los ejemplos publicados en línea, estos incidentes pueden estar relacionados con la familia de ransomware EKANS / SNAKE. En esta publicación de blog, revisamos lo que se sabe sobre esta variedad de ransomware y lo que hemos podido analizar hasta ahora.

Ransomware dirigido con gusto por ICS

Las primeras menciones públicas del ransomware EKANS se remontan a enero de 2020, con el investigador de seguridad Vitali Kremez compartiendo información sobre un nuevo ransomware dirigido escrito en GOLANG.

El grupo parece tener un interés especial por los Sistemas de Control Industrial (ICS), como se detalla en esta publicación de blog de la firma de seguridad Dragos.

El 8 de junio, un investigador compartió muestras de ransomware que supuestamente estaba dirigido a Honda y ENEL INT. Cuando comenzamos a mirar el código, encontramos varios artefactos que corroboran esta posibilidad.

Cuando el malware se ejecuta, intentará resolver a un nombre de host codificado (mds.honda.com). Si, y solo si lo hace, comenzará el cifrado del archivo. La misma lógica, con un nombre de host específico, también se aplicaba al ransomware presuntamente vinculado a Enel.

Objetivo: Honda

• Resolviendo dominio interno: mds.honda.com
• Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

Objetivo: Enel

• Resolviendo dominio interno: enelint.global
• Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

RDP como un posible vector de ataque

Ambas compañías tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuesto públicamente (referencia aquí ). Los ataques RDP son uno de los principales puntos de entrada cuando se trata de operaciones de ransomware específicas.

• RDP expuesto: /AGL632956.jpn.mds.honda.com
• RDP expuesto: /IT000001429258.enelint.global

Sin embargo, no podemos decir de manera concluyente que así es como los actores de la amenaza pueden haber entrado. En última instancia, solo una investigación interna adecuada podrá determinar exactamente cómo los atacantes pudieron comprometer las redes afectadas.

Detección

Probamos las muestras de ransomware disponibles públicamente en nuestro laboratorio al crear un servidor interno falso que respondería a la consulta DNS realizada por el código de malware con la misma dirección IP que esperaba. Luego, analizamos la muestra presuntamente vinculada a Honda contra Malwarebytes Nebula , nuestra protección de punto final basada en la nube para empresas.

Detectamos esta carga útil como ‘Ransom.Ekans’ cuando intenta ejecutarse. Para probar otra de nuestras capas de protección, también deshabilitamos (no recomendado) la protección contra malware para permitir que el motor de comportamiento haga lo suyo. Nuestra tecnología anti-ransomware pudo poner en cuarentena el archivo malicioso sin el uso de ninguna firma.

Las pandillas de ransomware no han mostrado piedad, incluso en este período de lidiar con una pandemia. Continúan apuntando a grandes empresas para extorsionar grandes sumas de dinero.

RDP ha sido señalado como una de las frutas colgantes más bajas preferidas por los atacantes. Sin embargo, también aprendimos recientemente sobre una nueva vulnerabilidad de SMB que permite la ejecución remota. Es importante que los defensores mapeen correctamente todos los activos, los apliquen y nunca permitan que sean expuestos públicamente.

Actualizaremos esta publicación de blog si encontramos nueva información relevante.

Indicadores de compromiso (COI)

Muestra relacionada con Honda:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com

Muestra relacionada con Enel:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a 
enelint.global

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con John Donovan, jefe de seguridad de Malwarebytes, y Adam Kujawa, director de Malwarebtyes Labs, sobre trabajar de forma segura desde su hogar (FMH).

Con las órdenes de refugio en el lugar ahora en pleno efecto para evitar la propagación del coronavirus, innumerables empresas se encuentran este año en situaciones obligatorias de trabajo desde el hogar. En el episodio de hoy, vamos más allá de solo hablar de amenazas. Tenemos un dialogo.

Primero, qué tipos de malware y métodos de ataque estamos viendo, y luego, cómo ha respondido Malwarebytes. Queremos darle una mirada interna, porque a pesar de que somos una empresa de ciberseguridad, mantener la seguridad cibernética va más allá de la detección de malware. Llega a educar a sus empleados e implementar políticas adecuadas para proteger su empresa.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda iTunes de Apple , en  Google Play Music , más cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

• Informe de Labs encuentra: las campañas de Coronavirus provocan un aumento de las amenazas de malware
• Una breve historia de los videojuegos guardados y la modificación de datos
• La enseñanza desde el hogar podría convertirse en parte de la descripción del trabajo de cada maestro
• Nuevo ataque de LNK vinculado a Higaisa APT
• Sodinokibi ransomware subasta de pandillas de datos robados

Además de otras noticias de ciberseguridad:

• El cazarrecompensas de insectos obtiene un premio de $ 100,000 por el error de día cero en el sistema ‘ Iniciar sesión con Apple ‘. (Fuente: TechSpot)
• 100,000 bandejas de entrada de la empresa golpeadas con phishing de mensajes de voz . (Fuente: Bleeping Computer)
• El 80% de las organizaciones sufrieron al menos una violación de datos en la nube en los últimos 18 meses. (Fuente: Ciso Mag)
• Mongolia arresta a 800 ciudadanos chinos en una investigación de delitos cibernéticos. (Fuente: Reuters)
• Minnesota utilizó el rastreo de contactos para rastrear a los manifestantes, lo que creó un problema de confianza para los trabajadores médicos en la pandemia. (Fuentes: BGR y Cnet)

En los primeros tres meses de 2020, cuando el mundo se limitó a limitar el coronavirus, las amenazas cibernéticas aumentaron.

Nuestra última edición especial para nuestro informe trimestral CTNT se centra en las recientes y crecientes amenazas de malware que tienen una gran cosa en común: utilizar el coronavirus como señuelo. Nuestro informe, » Tácticas y técnicas de cibercrimen: ataque a la base de operaciones «, analiza los troyanos, ladrones de información y botnets que los actores de amenazas enviaron a cada vez más hogares de enero a marzo de este año.

Sin embargo, nuestro informe analiza más que el volumen de ataque. También captura los modelos reales que los actores de amenazas usaron para tratar de engañar a las víctimas desprevenidas. Desde un correo electrónico que pretende venir de UNICEF, hasta otro que dice contener información sobre el uso adecuado de la máscara facial, hasta un mapa fraudulento muy discutido que se presenta como un rastreador de casos de coronavirus legítimo y global de la Universidad John Hopkins: todo está aquí en nuestro último informe .

Los investigadores de Malwarebytes han seguido estos métodos de ataque durante meses.

Encontramos un correo electrónico fraudulento que aprovechaba el deseo de las personas de ofrecer apoyo durante la pandemia. Nosotros investigamos la actividad de un agente paquistaní informó amenaza patrocinada por el estado difusión de un troyano de acceso remoto a través de una campaña de spearphishing coronavirus de temática. Descubrimos innumerables correos electrónicos de suplantación de identidad y lanzamientos de aceite de serpiente que ocultan una variedad de keyloggers, ransomware y ladrones de datos.

En el informe de hoy, ahora tenemos los datos para mostrar qué amenazas de malware, específicamente, aumentaron en los primeros tres meses de 2020.

Conclusiones clave: ataque a la base de operaciones

• Los ciberdelincuentes hicieron una transición rápida para entregar malware de años de antigüedad con nuevas campañas que aprovechaban la confusión, el miedo y la incertidumbre en torno a la pandemia mundial de coronavirus.
• Malwarebytes descubrió que el malware de puerta trasera NetWiredRC , que se mantuvo bajo durante aproximadamente cinco meses en 2019, aumentó drásticamente su actividad a principios de 2020, con un aumento de detección de al menos 200 por ciento en marzo en comparación con diciembre pasado.
• El período de tiempo entre enero y febrero fue, para varios de los tipos de malware analizados, un precursor de una actividad de detección aún mayor e incrementada entre febrero y marzo.
• Malwarebytes registró mayores detecciones de casi el 110 por ciento entre febrero y marzo para el malware AveMaria , un peligroso troyano de acceso remoto que puede proporcionar acceso de escritorio remoto y control remoto de cámara web, con la capacidad adicional de robar contraseñas.
• Malwarebytes registró mayores detecciones de más del 160 por ciento entre febrero y marzo para el malware DanaBot , un invasor de troyanos y ladrón de información que puede deslizar las credenciales de las cuentas bancarias en línea.
• Las campañas de phishing parecen ser el método de ataque más popular, pero los ciberdelincuentes también se han vuelto creativos con sitios web fraudulentos que ocultan malware.
• Un aumento del 26 por ciento en la actividad de descremado de tarjetas de crédito en marzo pone a los compradores domésticos en mayor riesgo

Para obtener más información sobre los métodos de ataque y los tipos de malware dirigidos a las personas hoy en día, y para encontrar recomendaciones sobre cómo proteger su base de operaciones y la de sus empleados remotos, lea el informe completo:

Tácticas y técnicas de cibercrimen: ataque a la base

Los desarrolladores del ransomware Maze han introducido una forma adicional de crear influencia contra las víctimas del ransomware . Si la víctima no está convencida de que debe pagar a los delincuentes porque sus archivos están encriptados, podría haber un método adicional de extorsión. Con el tiempo, más organizaciones han encontrado formas de mantener copias seguras de sus archivos importantes o utilizar algún tipo de tecnología de reversión para restaurar sus sistemas al estado en que se encontraban antes del ataque.

Para tener cierta influencia sobre estas organizaciones, los atacantes de ransomware roban datos del sistema infiltrado mientras implementan su ransomware. Luego amenazan con publicar los datos si la víctima decide no pagar. Dependiendo del tipo de datos, esta puede ser una razón bastante convincente para ceder.

Laberinto presenta datos filtrados

En el último trimestre de 2019, los desarrolladores de Maze introdujeron este nuevo método de extorsión. Y, como si el ransomware solo no fuera lo suficientemente malo, desde la introducción de esta metodología, muchos otros vendedores de ransomware han comenzado a adoptarlo. Las familias de ransomware más conocidas además de Maze que utilizan la filtración de datos como guarnición para ransomware son Clop, Sodinokibi y DoppelPaymer.

El dudoso honor de ser notada como la primera víctima fue para Allied Universal, una firma de servicios de seguridad con sede en California. Allied Universal vio que se arrojaron 700 MB de datos robados después de que se negaron a satisfacer la demanda de rescate establecida por Maze. Hoy en día, la mayoría de las pandillas de ransomware involucradas en este ataque de doble función tienen sitios web dedicados donde amenazan con publicar los datos robados de las víctimas que son reacias a pagar.

Características del ransomware Maze

El ransomware Maze se desarrolló como una variante del ransomware ChaCha y fue descubierto inicialmente por el Director de Inteligencia de Amenazas Jérôme Segura de Malwarebytes en mayo de 2019. Desde diciembre de 2019, la pandilla ha estado muy activa haciendo muchas víctimas de alto perfil en casi todas las verticales: finanzas, tecnología, telecomunicaciones, atención médica, gobierno, construcción, hotelería, medios y comunicaciones, servicios públicos y energía, farmacia y ciencias de la vida, educación, seguros, venta al por mayor y legal.

Las principales formas de distribución de Maze son:

• campañas de malspam que utilizan archivos adjuntos armados, principalmente archivos de Word y Excel
• RDP ataques de fuerza bruta

Inicialmente, Maze se distribuyó a través de sitios web utilizando un kit de exploits como Fallout EK y Spelevo EK , que se ha visto utilizando vulnerabilidades de Flash Player. El ransomware Maze también ha utilizado exploits contra Pulse VPN , así como la vulnerabilidad de ejecución remota de código del motor VBScript de Windows para ingresar a una red.

Independientemente del método utilizado para establecerse en la red, el siguiente paso para los operadores de Maze es obtener privilegios elevados, realizar movimientos laterales y comenzar a implementar el cifrado de archivos en todas las unidades. Sin embargo, antes de cifrar los datos, se sabe que estos operadores extraen los archivos que encuentran. Estos archivos se utilizarán como un medio para obtener un apalancamiento adicional, amenazando con la exposición pública.

MAZE usa dos algoritmos para encriptar los archivos, ChaCha20 y RSA . Después del cifrado, el programa agrega una cadena de caracteres aleatorios de 4 a 7 al final de cada archivo. Cuando el malware ha terminado de encriptar todos los archivos de destino, cambia el fondo de escritorio a esta imagen:

Además, se reproduce un mensaje de voz para el usuario del sistema afectado, alertándolo del cifrado.

COI para ransomware Maze

Maze crea un archivo llamado DECRYPT-FILES.txt en cada carpeta que contiene archivos cifrados. Se salta algunas carpetas entre las que se encuentran:
•% windir%
•% programdata%
• Archivos de programa
•% appdata% \ local

También omite todos los archivos de los siguientes tipos:
• dll
• exe
• lnk
• sys

Esta nota de rescate llamada DECRYPT-FILES.txt contiene instrucciones para la víctima:

Luego prometen que:

Después del pago, los datos se eliminarán de nuestros discos y se le dará un desencriptador, para que pueda restaurar todos sus archivos.

SHA 256 hashes:

19aaa6c900a5642941d4ebc309433e783befa4cccd1a5af8c86f6e257bf0a72e 

6878f7bd90434ac5a76ac2208a5198ce1a60ae20e8505fc110icsofte42b3657d13

9ad15385f04a6d8dd58b4390e32d876070e339eee6b8da586852d7467514d1b1

b950db9229db2f37a7eb5368308de3aafcea0fd217c614daedb7f334292d801e

Proteccion

Malwarebytes protege a los usuarios con una combinación de diferentes capas, incluida una que detiene el ataque desde el principio y es completamente sin firma.

Además de usar Malwarebytes, también recomendamos:

• Denegar el acceso a IP públicas a puertos importantes (puerto RDP 3389).
• Permita el acceso a solo las IP que están bajo su control.
• Junto con el bloqueo del puerto RDP, también sugerimos bloquear el puerto SMB 445. En general, se recomienda bloquear los puertos no utilizados.
• Aplique los últimos paquetes de actualización de Microsoft y mantenga su sistema operativo y antivirus totalmente actualizados.

Pagos

Si bien nuestro consejo, como siempre, es no pagar a los delincuentes, ya que usted mantiene vivo su modelo de negocio al hacerlo, entendemos que la falta de archivos cruciales puede ser una razón de peso para pagarlos de todos modos. Y con el nuevo giro de la publicación de datos exfiltrados que presentaron los operadores de Maze, hay una razón adicional a la mano. Lanzar datos confidenciales en línea ha demostrado ser una persuasión adicional efectiva, ya que muchas organizaciones no pueden permitirse tenerlos a disposición del público.