Archivo de categoría Malwarebytes Empresas

Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela un informe de Labs.

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría de productos de Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas empresas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitió que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos emitidos por el trabajo. Más allá de eso, encontramos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos
Pormalwarebytes

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

El 20 por ciento de las organizaciones experimentaron una infracción debido a un trabajador remoto, revela el informe de Labs

Al corriente: por 
Última actualización:

No es de extrañar que el cambio a un entorno de trabajo completamente remoto debido a COVID-19 provoque una serie de cambios en los enfoques de las organizaciones hacia la ciberseguridad. Lo que ha sido sorprendente, sin embargo, son algunos de los cambios imprevistos en los hábitos de los empleados y cómo han impactado la postura de seguridad de las empresas grandes y pequeñas.

Nuestro último informe de Malwarebytes Labs, Enduring from Home: COVID-19’s Impact on Business Security , revela algunos datos inesperados sobre problemas de seguridad con la fuerza laboral remota de hoy.

Nuestro informe combina la telemetría del producto Malwarebytes con los resultados de la encuesta de 200 tomadores de decisiones de TI y ciberseguridad, desde pequeñas hasta grandes empresas, descubriendo nuevas preocupaciones de seguridad que surgieron después de que la pandemia obligó a las empresas estadounidenses a enviar a sus trabajadores a casa.

Los datos mostraron que desde que las organizaciones pasaron a un modelo de trabajo desde casa (FMH), el potencial de ciberataques y violaciones ha aumentado. Si bien esto no es del todo inesperado, la magnitud de este aumento es sorprendente. Desde el comienzo de la pandemia, el 20 por ciento de los encuestados dijeron que se enfrentaron a violaciones de seguridad como resultado de un trabajador remoto. Esto, a su vez, ha aumentado los costos, y el 24 por ciento de los encuestados dijo que pagaron gastos inesperados para abordar una violación de seguridad cibernética o un ataque de malware después de órdenes de refugio en el lugar.

Notamos un marcado aumento en el uso de dispositivos personales para el trabajo: el 28 por ciento de los encuestados admitieron que están usando dispositivos personales para actividades relacionadas con el trabajo más que los dispositivos que se emiten en el trabajo. Más allá de eso, descubrimos que el 61 por ciento de las organizaciones de los encuestados no instaron a los empleados a usar soluciones antivirus en sus dispositivos personales, lo que agravó aún más el aumento de la superficie de ataque con una falta de protección adecuada.

Encontramos un contraste sorprendente entre la confianza de los líderes de TI en su seguridad durante la transición a entornos de trabajo desde el hogar (FMH) y sus posiciones de seguridad reales, lo que demuestra un problema continuo de arrogancia de seguridad. Aproximadamente tres cuartas partes (73,2 por ciento) de los encuestados le dieron a sus organizaciones una puntuación de 7 o más en preparación para la transición a la FMH, sin embargo, el 45 por ciento de las organizaciones encuestadas no realizaron análisis de seguridad y privacidad en línea de las herramientas de software necesarias para la colaboración de la FMH. .

Conclusiones adicionales del informe

  • El 18 por ciento de los encuestados admitió que, para sus empleados, la ciberseguridad no era una prioridad, mientras que el 5 por ciento dijo que sus empleados eran un riesgo de seguridad y ajenos a las mejores prácticas de seguridad.
  • Al mismo tiempo, el 44 por ciento de las organizaciones de los encuestados no brindó capacitación en ciberseguridad que se enfocara en las amenazas potenciales de trabajar desde casa (como asegurarse de que las redes domésticas tuvieran contraseñas seguras o que los dispositivos no se dejaran al alcance de usuarios no autorizados).
  • Mientras que el 61 por ciento de las organizaciones de los encuestados proporcionaron dispositivos emitidos por el trabajo a los empleados según fuera necesario, el 65 por ciento no implementó una nueva solución antivirus (AV) para esos mismos dispositivos.

Para obtener más información sobre los crecientes riesgos descubiertos en la población actual de trabajadores remotos, lea nuestro informe completo:

Pormalwarebytes

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

El impacto de COVID-19 en la ciberseguridad sanitaria

Al corriente: por 

Como si los niveles de estrés en la industria de la salud no fueran lo suficientemente altos debido a la pandemia de COVID-19, los riesgos para su ya frágil infraestructura de ciberseguridad están en su punto más alto. Desde el aumento de los ataques cibernéticos hasta las vulnerabilidades exacerbadas y los costosos errores humanos, si la ciberseguridad de la atención médica no estaba dando vueltas antes , COVID-19 lo envió en picada.

No hay tiempo para buscar una solución mejor

Como consecuencia de estar demasiado ocupados luchando contra el virus, algunas organizaciones de atención médica se han visto incapaces de buscar diferentes soluciones de seguridad más adecuadas para su situación actual.

Por ejemplo, la agencia Public Health England (PHE), que es responsable de gestionar el brote de COVID-19 en Inglaterra, decidió prolongar su contrato existente con su principal proveedor de TI sin permitir que los competidores presenten una oferta. Hicieron esto para garantizar que su tarea principal, monitorear la enfermedad generalizada, pudiera seguir adelante sin tener que preocuparse por las interrupciones del servicio u otras preocupaciones.

Extender un contrato sin mirar a la competencia no solo es una receta para obtener un mal trato, sino que también significa que las organizaciones no pueden mejorar las fallas que pueden haber encontrado en los sistemas y software existentes.

Ataques dirigidos a organizaciones sanitarias

A pesar de que hubo algunas promesas iniciales de eliminar a los proveedores de atención médica como objetivos después de que golpeó el COVID-19, los ciberdelincuentes simplemente no se molestaron en hacer lo correcto por una vez. De hecho, hemos visto algunos ataques de malware dirigidos específicamente a organizaciones de atención médica desde el comienzo de la pandemia.

Los hospitales y otras organizaciones sanitarias han cambiado su enfoque y recursos a su función principal. Si bien esto es completamente comprensible, los ha colocado en una situación vulnerable. Durante la pandemia de COVID-19, el gobierno y las organizaciones sanitarias controlan y almacenan una cantidad cada vez mayor de datos sanitarios. Según se informa, esto ha impulsado un aumento de ciberataques sofisticados y dirigidos diseñados para aprovechar un entorno cada vez más conectado.

En la atención médica, también ha provocado un aumento de los ataques de los estados nacionales , en un esfuerzo por robar datos valiosos de COVID-19 e interrumpir las operaciones de atención. De hecho, el sector se ha convertido tanto en un objetivo como en un método de ataques avanzados de ingeniería social. Los actores malintencionados que se aprovechan de la pandemia ya han lanzado una serie de campañas de phishing utilizando COVID-19 como señuelo para eliminar malware o ransomware.

COVID-19 no solo ha puesto a las organizaciones de salud en peligro directo de ataques cibernéticos, sino que algunas se han convertido en víctimas de daños colaterales. Existen, por ejemplo, ataques de compromiso de correo electrónico empresarial ( BEC ) con el tema COVID-19 que podrían tener como objetivo objetivos excepcionalmente ricos . Sin embargo, algunos se conformarán con menos si es un objetivo fácil, como uno que podría estar preocupado por luchar contra una pandemia global.

Ataques de ransomware

Como se mencionó anteriormente, los hospitales y otras organizaciones de atención médica corren el riesgo de ser víctimas de los métodos de ataque de «rociar y presa» utilizados por algunos ciberdelincuentes. El ransomware es solo una de las posibles consecuencias, pero podría decirse que es la más perjudicial cuando se trata de operaciones de atención médica, especialmente las que están a cargo del cuidado de pacientes gravemente enfermos.

INTERPOL ha emitido una advertencia a las organizaciones a la vanguardia de la respuesta mundial al brote de COVID-19 sobre los ataques de ransomware diseñados para bloquearlos de sus sistemas críticos en un intento de extorsionarlos. El equipo de INTERPOL de respuesta a amenazas cibernéticas detectó un aumento significativo en el número de intentos de ataques de ransomware contra organizaciones e infraestructura clave involucradas en la respuesta al virus.

Instalaciones especiales COVID-19

Durante la pandemia, muchos países construyeron o renovaron edificios especiales para albergar a los pacientes con COVID-19. Estos fueron creados para aumentar rápidamente la capacidad mientras se mantiene a los pacientes con COVID separados de los demás. Pero estos centros médicos ad-hoc COVID-19 ahora tienen un conjunto único de vulnerabilidades: son remotos, se encuentran fuera de una arquitectura de defensa en profundidad y la naturaleza misma de su existencia significa que la seguridad será una prioridad menor. Estas instalaciones no solo son propensas a carecer de personal en los departamentos de TI, sino que la mayor parte posible de su presupuesto se destina a ayudar a los pacientes.

Otro punto de interés es la transferencia de datos de pacientes desde el entorno hospitalario habitual a estas ubicaciones temporales. Está claro que el personal que trabaja en las instalaciones de COVID necesitará la información sobre sus pacientes, pero ¿con qué seguridad se almacena y transfiere esa información? ¿Está tan protegido en el nuevo entorno como en el antiguo?

Robo y protección de datos

Hace unos meses, cuando la pandemia resultó ser difícil de superar, muchas agencias informaron sobre los esfuerzos dirigidos por los ciberdelincuentes para mejorar la investigación del coronavirus, los datos de pacientes y más de las industrias de la salud, la farmacéutica y la investigación. Entre estas agencias se encontraban la Agencia de Seguridad Nacional, el FBI, la Agencia de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional y la Seguridad Cibernética Nacional del Reino Unido.

En la primavera, muchos países comenzaron a discutir el uso de aplicaciones de rastreo y / o rastreo de contactos en un esfuerzo por ayudar a mantener la pandemia bajo control. Aplicaciones que advertirían a los usuarios si habían estado cerca de un usuario infectado. Es comprensible que los defensores y los periodistas plantearon muchas preocupaciones sobre la privacidad.

Se recopilan y comparten muchos datos con la intención de combatir el COVID-19, pero también existe la necesidad de proteger la información personal de las personas. Entonces, varios senadores estadounidenses presentaron la Ley de Protección de Datos del Consumidor COVID-19 . La legislación brindaría a todos los estadounidenses más transparencia, opciones y control sobre la recopilación y el uso de sus datos personales de salud, dispositivos, geolocalización y proximidad. El proyecto de ley también responsabilizará a las empresas ante los consumidores si utilizan datos personales para combatir la pandemia de COVID-19.

El impacto

Aunque tal acto de protección podría ser bienvenido y necesario, las consecuencias para una industria de ciberseguridad de la atención médica ya estresada podrían ser demasiado abrumadoras. Se podría argumentar que la legislación sobre protección de datos no debería aprobarse caso por caso, sino que debería estar en vigor para proteger a los ciudadanos en todo momento, no solo cuando se necesitan medidas adicionales para luchar contra una pandemia.

Mientras tanto, en Malwarebytes haremos nuestra parte para apoyar a los que trabajan en la industria de la salud al mantener el malware fuera de sus máquinas; es un virus menos del que preocuparse.

Pormalwarebytes

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Extensiones de Chrome que mienten sobre sus permisos

Al corriente: por 

«Pero verifiqué los permisos antes de instalar este bloqueador de ventanas emergentes, no dijo nada acerca de cambiar mis búsquedas», responde mi padre después de que lo regaño por instalar otra extensión de Chrome para secuestrar búsquedas. Por supuesto, no son difíciles de eliminar, pero tener que hacerlo una y otra vez es una molestia. Esto es especialmente cierto porque puede ser difícil averiguar cuál de las extensiones de Chrome es la culpable si el navegador comienza a fallar.

¿Que pasó?

Recientemente, nos encontramos con una familia de secuestradores de búsquedas que engañan acerca de los permisos que van a usar en su solicitud de instalación. Esta extensión, llamada PopStop, afirma que solo puede leer su historial de navegación. Parece bastante inofensivo, ¿verdad?

Mensaje de instalación de PopStop

Se supone que el mensaje de instalación en la tienda web le brinda información precisa sobre los permisos que requiere la extensión que está a punto de instalar. Ya es un hábito que las extensiones del navegador solo soliciten los permisos necesarios para funcionar correctamente desde el principio y luego soliciten permisos adicionales después de la instalación. ¿Por qué? Es más probable que los usuarios confíen en una extensión con advertencias limitadas o cuando se les explican los permisos.

Pero, ¿de qué sirven estas indicaciones informativas si solo te dan la mitad de la historia? En este caso, la extensión PopStop no solo lee su historial de navegación, como explica la ventana emergente, sino que también secuestra sus resultados de búsqueda.

Algunas de estas extensiones son más sencillas una vez que el usuario las instala y se enumeran debajo de las extensiones instaladas.

Extensión de la aplicación Niux

Pero otros son consistentes en sus mentiras incluso después de haber sido instalados, lo que hace que sea aún más difícil descubrir cuál es el responsable del secuestro de búsqueda.

Extensión PopStop

¿Cómo es esto posible?

Google había decidido en algún momento prohibir las extensiones que ofuscan su código. Al hacerlo, es más fácil para ellos leer la programación del complemento y realizar el análisis adecuado.

El primer paso para determinar qué está haciendo una extensión es mirar el archivo manifest.json.

manifest.json

El registro de un script en el manifiesto le dice a la extensión a qué archivo hacer referencia y, opcionalmente, cómo debe comportarse ese archivo.

Lo que este manifiesto nos dice es que el único script activo es «background.js» y los permisos declarados son «pestañas» y «almacenamiento». Más sobre esos permisos más adelante.

Las partes relevantes en background.js son estas piezas, porque nos muestran hacia dónde van nuestras búsquedas:

const BASE_DOMAIN = 's3redirect.com', pid = 9126, ver = 401;
chrome.tabs.create({url: `https://${BASE_DOMAIN}/chrome3.php?q=${searchQuery}`});
        setTimeout(() => {
          chrome.tabs.remove(currentTabId);
        }, 10);

Este script usa dos métodos chrome.tabs: uno para crear una nueva pestaña basada en su consulta de búsqueda y el otro para cerrar la pestaña actual. La pestaña cerrada habría mostrado los resultados de búsqueda de su proveedor de búsqueda predeterminado.

Mirando la API chrome.tabs , leemos:

“Puede utilizar la mayoría de los métodos y eventos de chrome.tabs sin declarar ningún permiso en el archivo de manifiesto de la extensión. Sin embargo, si necesita acceso a las propiedades url, pendienteUrl, título o favIconUrl de tabs.Tab, debe declarar el permiso «tabs» en el manifiesto «.

Y efectivamente, en el manifiesto de esta extensión encontramos:

"permissions": [ "tabs", "storage" ],

El permiso de «almacenamiento» no invoca un mensaje en la pantalla de advertencia que ven los usuarios cuando instalan una extensión. El permiso «pestañas» es el motivo del mensaje «Leer su historial de navegación». Aunque la API chrome.tabs se puede utilizar por diferentes motivos, también se puede utilizar para ver la URL asociada con cada pestaña recién abierta.

Las extensiones que encontramos lograron evitar tener que mostrar el mensaje “Leer y cambiar todos tus datos en los sitios web que visitas” que estaría asociado con el método “tabCapture”. Lo hicieron cerrando la pestaña actual después de capturar su término de búsqueda y abriendo una nueva pestaña para realizar la búsqueda de ese término en su propio sitio.

Las advertencias de permisos «normales» para un secuestrador de búsquedas se parecerían más a esto:

El efecto final es el mismo, pero es menos probable que un usuario experimentado instale esta última extensión, ya que se opondría a la solicitud de permiso o reconocería el complemento como un secuestrador de búsquedas al mirar estos mensajes.

¿Estas extensiones realmente mienten?

Algunos podrían llamarlo mentira. Algunos pueden decir que no, simplemente no ofrecieron toda la verdad. Sin embargo, el objetivo de esas ventanas emergentes de permisos es darles a los usuarios la opción de descargar un programa siendo sincero sobre lo que el programa les pide a sus usuarios.

En el caso de estas extensiones de Chrome, digamos que no están revelando el alcance total de las consecuencias de instalar sus extensiones.

Sería conveniente que Google agregara un posible mensaje para las extensiones que usan el método chrome.tabs.create. Esto informaría al usuario que su extensión podrá abrir nuevas pestañas, que es una forma de mostrar anuncios para que los usuarios conozcan esta posibilidad. Y chrome.tabs.create también resulta ser el método que utiliza esta extensión para reemplazar los resultados de búsqueda que buscábamos por los suyos.

Una ventaja adicional de estas extensiones es el hecho de que no se mencionan en el menú de configuración como lo haría un secuestrador de búsqueda «normal».

Un secuestrador de búsquedas que reemplace su motor de búsqueda predeterminado aparecerá en Configuración> Motor de búsqueda

No aparecer en la lista como el reemplazo del motor de búsqueda, nuevamente, hace que sea más difícil para un usuario descubrir qué extensión podría ser responsable de los resultados de búsqueda inesperados.

Por el momento, estos secuestradores pueden ser reconocidos por el nuevo encabezado que agregan a sus resultados de búsqueda, que se ve así:

Esto probablemente cambiará una vez que sus dominios actuales estén marcados como páginas de destino para secuestradores y se crearán nuevas extensiones utilizando otras páginas de destino.

Más detalles

Estas extensiones interceptan resultados de búsqueda de estos dominios:

  • aliexpress.com
  • booking.com
  • todos los dominios de google
  • ask.com
  • ecosia.org
  • bing.com
  • yahoo.com
  • mysearch.com
  • duckduckgo.com

También intercepta todas las consultas que contienen la cadena «spalp2020». Probablemente esto se deba a que esa cadena es un factor común en las URL del instalador que pertenecen a la familia de secuestradores powerapp.download .

Buscar secuestradores

Hemos escrito antes sobre los intereses de los desarrolladores turbios en la industria de las búsquedas de miles de millones de dólares y hemos informado sobre las diferentes tácticas a las que recurren estos desarrolladores para que los usuarios instalen sus extensiones o usen sus sitios de búsqueda [ 1 ], [ 2 ], [ 3 ].

Si bien esta familia no utiliza las prácticas de marketing más engañosas que existen, aún oculta su mal comportamiento a la vista. Muchos usuarios han aprendido a leer detenidamente los mensajes de solicitud de instalación para determinar si una extensión es segura. Es decepcionante que los desarrolladores puedan evadir dar información honesta y que estas extensiones se introduzcan en la tienda web una y otra vez.

COI

identificadores de extensión:

pcocncapgaibfcjmkkalopefmmceflnh

dpnebmclcgcbggnhicpocghdhjmdgklf

dominios de búsqueda:

s3redirect.com

s3arch.page

gooogle.page <= tenga en cuenta la «o» adicional

Malwarebytes detecta estas extensiones con el nombre de detección PUP.Optional.SearchEngineHijack.Generic .

Pormalwarebytes

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Estafas de phishing de la SBA: desde malware hasta ingeniería social avanzada

Al corriente: por 

Varios actores de amenazas continúan aprovechándose de la pandemia de coronavirus en curso a través de estafas de phishing y otras campañas de distribución de malware.

En este blog, analizamos 3 olas de phishing diferentes dirigidas a solicitantes de préstamos de ayuda Covid-19. Los correos electrónicos de phishing se hacen pasar por la Administración de Pequeñas Empresas de EE. UU. (SBA) y tienen como objetivo entregar malware, robar credenciales de usuario o cometer fraude financiero.

En cada una de estas campañas, los delincuentes falsifican el correo electrónico del remitente para que se parezca al de la SBA oficial. Esta técnica es muy común y, desafortunadamente, a menudo se malinterpreta, lo que resulta en muchas estafas exitosas.

Malware GuLoader

En abril, vimos la primera ola de ataques de la SBA utilizando COVID-19 como señuelo para distribuir malware. Los correos electrónicos contenían archivos adjuntos con nombres como ‘SBA_Disaster_Application_Confirmation_Documents_COVID_Relief.img’.

Estafa de phishing de la SBA de EE. UU.
Figura 1: Correo electrónico no deseado que contiene archivos adjuntos maliciosos

El malware era el popular GuLoader , un descargador sigiloso utilizado por los delincuentes para cargar la carga útil de su elección y evitar la detección de antivirus.

Intento de phishing tradicional

La segunda ola que vimos involucró un enfoque de phishing más tradicional donde el objetivo era recopilar credenciales de las víctimas para estafarlas más adelante.

estafa tradicional de la SBA de EE. UU.
Figura 2: Correo electrónico de phishing que atrae a los usuarios a un sitio para ingresar sus credenciales

Una URL, especialmente si no tiene nada que ver con el remitente, es un gran indicio de que el correo electrónico puede ser fraudulento. Pero las cosas se complican un poco más cuando los atacantes utilizan archivos adjuntos que parecen legítimos.

Intento de phishing avanzado

Esto es lo que vimos en un esquema bastante inteligente y atrevido que engaña a las personas para que completen un formulario completo que contiene información muy personal, incluidos los detalles de la cuenta bancaria. Estos podrían usarse para drenar cuentas directamente o en una capa adicional de ingeniería social, que engaña a los usuarios para que paguen tarifas avanzadas que no existen como parte del programa real de la SBA.

Intento avanzado de phishing de la SBA de EE. UU.
Figura 3: Correo electrónico de phishing que contiene un formulario de solicitud de préstamo

Esta última campaña comenzó a principios de agosto y es lo suficientemente convincente como para engañar incluso a los expertos en seguridad más experimentados. Aquí hay un vistazo más de cerca a algunas de las banderas rojas que encontramos mientras lo analizamos.

La mayoría de las personas no son conscientes de la falsificación de correos electrónicos y creen que si el correo electrónico del remitente coincide con el de una organización legítima, debe ser real. Desafortunadamente, ese no es el caso, y hay verificaciones adicionales que deben realizarse para confirmar la autenticidad de un remitente.

Existen varias tecnologías para confirmar la verdadera dirección de correo electrónico del remitente, pero en cambio nos centraremos en los encabezados de los correos electrónicos, una especie de plano que está disponible para cualquier persona. Dependiendo del cliente de correo electrónico, existen diferentes formas de ver dichos encabezados. En Outlook, puede hacer clic en Archivo y luego en Propiedades para mostrarlos:

encabezados de correo electrónico de Outlook para evitar estafas
Figura 4: Encabezados de correo electrónico que muestran remitente sospechoso

Uno de los elementos a tener en cuenta es el campo «Recibido». En este caso, muestra un nombre de host (park-mx.above [.] Com) que parece sospechoso. De hecho, podemos ver que ya se ha mencionado en otra campaña de estafa .

Si volvemos a este correo electrónico, vemos que contiene un archivo adjunto, una solicitud de préstamo con el número de referencia 3245-0406. Una mirada a los metadatos PDF a veces puede revelar información interesante.

Metadatos de pdf de estafa de SBA
Figura 5: Formulario de solicitud de carga sospechosa y sus metadatos

Aquí notamos que el archivo se creó el 31 de julio con Skia, una biblioteca de gráficos para Chrome. Esto nos dice que los estafadores crearon ese formulario poco antes de enviar los correos electrónicos no deseados.

A modo de comparación, si miramos la aplicación descargada del sitio web oficial de la SBA, vemos algunos metadatos diferentes:

metadatos pdf oficiales de la SBA
Figura 6: Formulario oficial de solicitud de préstamo y sus metadatos

Este formulario de solicitud legítimo se creó con Acrobat PDFMaker for Word el 27 de marzo, que coincide con el cronograma de la pandemia.

Por lo general, la solicitud de préstamo se imprime y luego se envía por correo a una dirección física en una de las oficinas gubernamentales. Si volvemos al correo electrónico original, solicita enviar el formulario completo como respuesta por correo electrónico en su lugar:

malwarebytes correo electrónico falso de estafa sba
Figura 7: El correo electrónico de respuesta enviaría un formulario de solicitud de préstamo a los delincuentes

Aquí es donde las cosas se ponen interesantes. Aunque el correo electrónico del remitente es disastercustomerservice@sba.gov, cuando presiona el botón de respuesta, muestra una dirección de correo electrónico diferente en: disastercustomerservice @ gov-sba [.] Us . Si bien sba.gov es el sitio web oficial y legítimo del gobierno, gov-sba [.] Us no lo es.

correo electrónico falsificado de correo electrónico de phishing sba
Figura 8: Dominio registrado por estafadores poco antes del ataque

Ese nombre de dominio (gov-sba [.] Us) se registró pocos días antes de que comenzara la campaña de correo electrónico y claramente no pertenece al gobierno de EE.

Sin embargo, debemos tener en cuenta que esta campaña es bastante elaborada y que sería fácil caer en la trampa. Lamentablemente, lo último que desearía al solicitar un préstamo es quedarse sin más dinero.

Si responde a este correo electrónico con el formulario completo que contiene información privada que incluye los detalles de su cuenta bancaria, esto es exactamente lo que sucedería.

Consejos sobre cómo protegerse

No hay duda de que las personas deben ser extremadamente cautelosas cuando se les pida que completen información en línea, especialmente en un correo electrónico. Los estafadores acechan en cada esquina y están listos para aprovechar la próxima oportunidad.

Tanto el Departamento de Justicia como la Administración de Pequeñas Empresas han estado advirtiendo sobre estafas relacionadas con los préstamos de la SBA. Sus respectivos sitios proporcionan varios consejos sobre cómo evitar varios esquemas maliciosos.

Quizás lo más importante, especialmente cuando se trata de correos electrónicos de phishing, es que la dirección del remitente puede falsificarse fácilmente y de ninguna manera es una garantía sólida de legitimidad, incluso si se ve exactamente igual.

Debido a que no podemos esperar que todos busquen los encabezados y metadatos de los correos electrónicos, al menos podemos sugerir que verifiquemos la legitimidad de cualquier comunicación con un amigo o llamando a la organización gubernamental. Para esto último, siempre recomendamos no marcar nunca el número que se encuentra en un correo electrónico o que se deja en un buzón de voz, ya que podría ser falso. Busque en Google la organización su número de contacto correcto.

Malwarebytes también protege contra ataques de phishing y malware al bloquear la infraestructura ofensiva utilizada por los estafadores.

Pormalwarebytes

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Compromiso del correo electrónico empresarial: apuntar al objetivo

Al corriente: por 
Última actualización:

El peligro constante del compromiso del correo electrónico empresarial (BEC) se encuentra una vez más en las noticias. Esta vez, los principales equipos de fútbol de la Premier League inglesa casi fueron víctimas de sus engaños , por una suma de £ 1 millón.

Primera mitad: estafadores a la ofensiva

Alguien comprometió el correo electrónico de un Director Gerente después de iniciar sesión en un portal de phishing a través de un correo electrónico falso. Las cuentas falsas configuradas durante la ventana de transferencia para comprar y vender jugadores proporcionaron la apertura requerida. Se insertaron en las conversaciones con facilidad. Ambos clubes estaban conversando con falsificaciones, ya que los estafadores cambiaron los datos bancarios para el pago. No llegó dinero a los estafadores, ya que el banco reconoció la cuenta bancaria fraudulenta.

Al igual que con tantos ataques BEC, el punto débil era el correo electrónico no seguro sin medidas adicionales implementadas. Algún 2FA habría ayudado enormemente aquí, junto con precauciones adicionales. Hemos hablado de esto anteriormente, donde las organizaciones pueden tener que aceptar cierta desaceleración en sus actividades detrás de escena para la protección adicional que se brinda. ¿El director ejecutivo necesita confirmar los cables por teléfono con alguien en otra zona horaria? ¿Ralentizará un poco las cosas?

Eso es, para algunos, el costo de (los estafadores) hacer negocios. El truco está en tratar de encontrar las soluciones que funcionen mejor para usted, de una manera que no encuentre objeciones tanto de la junta como de las personas que utilizan estos procesos a diario.

El sector deportivo está siendo atacado digitalmente en todos los frentes en este momento. Puede leer sobre algunos de los otros ataques y algunas travesuras más relacionadas con BEC en el informe NCSC .

Segunda mitad: BEC mantiene la presión alta

Las estafas de BEC han ganado mucha visibilidad en las últimas semanas.

Las grandes pérdidas financieras acompañan a la vergüenza de hacer público el compromiso. Es casi seguro que no conocemos el verdadero alcance del daño. El ransomware y las amenazas de chantaje similares causan problemas similares al intentar estimar el impacto.

BEC tampoco es una especie de hora amateur. Los profesionales están haciendo absolutamente todo lo que pueden en este ámbito para mejorar aún más sus ganancias .

Tiempo extra: el largo brazo de la ley

Las organizaciones y las personas a menudo se dan cuenta demasiado tarde de que enviar transferencias significa que el efectivo se ha ido para siempre. El ataque responde sigilosamente y se lleva el dinero sin que nadie se dé cuenta hasta que es demasiado tarde.

Por otro lado, los bustos ocurren. Resulta que ser masivamente visible con unos 2.4 millones de seguidores en Instagram podría no ser la mejor manera de seguir siendo Guy Incognito. Después de que se robó poco menos de 1 millón de dólares de una víctima en los EE. UU., El FBI encontró evidencia de comunicaciones entre una estrella popular de las redes sociales y los presuntos co-conspiradores del fraude. El FBI presentó una denuncia penal en junio que alega que toda la riqueza de la estrella de las redes sociales se obtiene ilegalmente.

Curiosamente, se menciona otro intento en un club de fútbol de la primera división inglesa. Esta vez, sin embargo, el dinero en juego es significativamente mayor: £ 100 millones, frente a £ 1 millón.

Ay.

Penalizaciones: un último ataque de varios frentes

No es solo el BEC estándar de lo que debemos preocuparnos. Hay muchas rutas divergentes hacia su negocio que se originan aproximadamente en la misma posición inicial. El compromiso del correo electrónico del proveedor es algo que está ganando importancia desde que su hermano más conocido salió a la luz, así que agréguelo a la creciente lista de cosas contra las que defenderse. El exitoso ataque a una importante cadena de cines europea por 21 millones de dólares está empezando a parecer una papilla en este punto, aunque definitivamente no para cualquiera que se vea atrapado en las consecuencias.

Algunos estafadores usan malware . Para otros, se trata de quemar un exploit horriblemente caro. La esperanza es que gane varias veces la cantidad pagada inicialmente. ¿El resto acecha en las sombras? Mucho dinero de la publicidad maliciosa o de los juegos en las redes sociales con un toque de propagación viral y muchos clics robados.

Mientras tanto, allí, tenemos un grupo de personas que reconstruyen el funcionamiento interno de su organización a partir de información disponible gratuitamente en línea. En este mismo momento, están considerando enviar una misiva inocente, solo para ver si la dirección de correo está activa y si la persona responsable responde.

No volverá a tener noticias de ellos … pero es casi seguro que verá un correo de algo que dice ser el administrador de su sistema instándole a restablecer sus datos de inicio de sesión.

Dónde terminan tanto usted como las reservas de efectivo de su organización después de eso, depende completamente de la planificación que se haya hecho de antemano.

¿Qué tan preparado estará cuando los atacantes del correo electrónico empresarial llamen?

Pormalwarebytes

Evite estos correos electrónicos de phishing de PayPal

Evite estos correos electrónicos de phishing de PayPal

Evite estos correos electrónicos de phishing de PayPal

Al corriente: por 

Durante las últimas semanas, ha habido una corriente sólida de correos electrónicos falsos de PayPal en circulación, que han convertido a FOMO (miedo a perderse) en HACER ESTO O MALAS COSAS. Es una de las herramientas más comunes en el arsenal del estafador, y un poco de presión aplicada de la manera correcta a menudo les trae resultados.

Reclama que las personas perderán algo, incurrirán en cargos o se perderán un servicio valioso y vendrán corriendo. A continuación se muestra un resumen de quién dicen ser estos correos electrónicos, cómo se ven y el tipo de clics de pánico que están presionando. Estos son solo algunos ejemplos; Hay muchos, muchos otros.

Factores comunes

La mayoría de los correos que hemos visto afirman ser enviados desde

Secure (AT) intl-limited (DOT) com

O variaciones de los mismos, aunque el correo electrónico real que se utiliza con frecuencia es solo una mezcla de letras / palabras / números aleatorios. En su mayoría, también afirman que su cuenta está limitada o restringida de alguna manera, o que ha habido alguna actividad inusual en su cuenta y ahora debe demostrar que fue usted quien realizó las transacciones (inexistentes).

Es muy similar a este lote de misivas de 2015 , donde los estafadores buscaban los detalles de la tarjeta de crédito / pago. Estos son algunos de los correos, para darle una idea de lo que debe tener en cuenta. Por lo general, están llenos de errores tipográficos, y no hemos corregido ninguno de sus errores.

Click para agrandar

Correos de estafa

Re: [Importante] – Su cuenta fue temporalmente limitada

Nos gustaría informarle sobre ciertas modificaciones a nuestros contratos de usuario que le conciernen.

No se requiere ninguna acción de su parte. Sin embargo, si desea obtener más información, lo invitamos a consultar nuestra página de Actualizaciones de políticas donde encontrará los detalles de estas modificaciones, en qué casos se aplican y cómo rechazarlas, si corresponde.

Después de una revisión reciente de la actividad de su cuenta. hemos determinado que infringe la Política de uso aceptable de PayPal. Su cuenta ha sido limitada hasta que tengamos noticias suyas. Si bien su cuenta es limitada, algunas opciones en su cuenta no estarán disponibles.

Re: [Renovación del recibo de la orden] Regístrese para recibir actualizaciones del extracto bancario use Google Chrome de las Islas Marshall

Estimado servicio al cliente

Su cuenta de PayPal ha sido limitada porque hemos notado cambios significativos en la actividad de su cuenta. Como su procesador de pagos, debemos comprender mejor estos cambios. Esta limitación de cuenta afectará su capacidad para:

Envía o recibe dinero

Retirar dinero de su cuenta

Agregar o eliminar una tarjeta y cuenta bancaria

Disputar una transacción

Cierra tu cuenta

¿Qué hacer a continuación?

Inicie sesión en su cuenta de PayPal y proporcione la información solicitada a través del centro de resolución {SIC}

Re: Enviado: Actualización de la declaración de inicio de sesión con Google Chrome de Taiwán, Provincia de China

Su cuenta de PayPal ha sido limitada

Estimado cliente,

Nuestro servicio está mejorando el sistema de seguridad para todas las cuentas de PayPal. La razón, muchas cuentas han sido pirateadas por alguien para pedir un artículo usando una tarjeta de crédito / débito / banco en la cuenta asociada.

Para la conveniencia y seguridad de PayPal, hemos limitado todas las cuentas registradas.

PayPal es la forma más segura y rápida de pagar. Para recuperar su cuenta, puede hacer clic en el botón de enlace a continuación y continuar con la verificación de identidad para demostrar que es su cuenta.

Re: Recordatorio: [Informe diario] [Noticias de actualización] [Sistema conocido] Update-informatie zie factuur van – Declaración Actualización Nuevo inicio de sesión

Su cuenta de PayPal está temporalmente limitada.

Hola cliente

Notamos que has estado usando tu cuenta de Paypal de manera cuestionable. Para entender esto mejor, solo necesitamos más información de usted.

Para garantizar que su cuenta permanezca segura, necesitamos que tome medidas en su cuenta. También hemos limitado temporalmente ciertas funciones en su cuenta

Actualmente, no podrás:

• Enviar pagos

• Retirar Fondos

Que deberias hacer

Inicie sesión en su cuenta de Paypal, siga los pasos y realice las tareas requeridas.

RE: Recordatorio: [Informe diario] [Acuerdo de declaración] Hemos enviado notificaciones. Actualizaciones automáticas 

Su cuenta ha sido limitada.

Hola cliente

Hemos limitado tu cuenta

Después de una revisión reciente de la actividad de su cuenta, hemos determinado que infringe la Política de uso aceptable de PayPal. Inicie sesión para confirmar su identidad y revisar toda su actividad reciente

Puede encontrar la Política de uso aceptable de PayPal completa haciendo clic en Legal en la parte inferior de cualquier página de PayPal.

Ayuda y consejos para evitar estafas

PayPal ha expandido sus recursos de seguridad en los últimos años. Ahora tienen un portal para múltiples formas de actividad sospechosa , una sección para reportar estafas de phishing y protección para compradores y vendedores .

También puede consultar la parte 1 de nuestra guía de phishing 101 de 3 partes .

Estos correos electrónicos no se secarán en el corto plazo, así que tenga cuidado y, como siempre, visite el sitio web de PayPal directamente desde su navegador si recibe algún mensaje que indique que ha sido limitado o bloqueado. Si es genuino, el servicio al cliente podrá ayudarlo. Si no es así, ayude a PayPal y a todos los demás informando el phishing. Es un escenario de ganar-ganar.

Pormalwarebytes

TikTok está siendo desalentado y la aplicación puede ser prohibida

TikTok está siendo desalentado y la aplicación puede ser prohibida

TikTok está siendo desalentado y la aplicación puede ser prohibida

Al corriente: por 

En noticias recientes, el gigante minorista Amazon envió un memorando a los empleados diciéndoles que eliminen la popular aplicación de redes sociales TikTok de sus teléfonos. En el memorando decía que la aplicación representaría un riesgo de seguridad sin entrar en detalles. Más tarde, el memo fue retirado sin una explicación, excepto que se envió por error. ¿Ya tenemos curiosidad, mi querido Watson?

¿Qué es el TikTok?

Para aquellos de nosotros que no podemos distinguir una aplicación de redes sociales de otra, TikTok es una de las más populares y fue especialmente diseñada para permitir a los usuarios subir videos cortos para que otros les den me gusta y compartan. La funcionalidad ha crecido desde una aplicación básica de sincronización de labios para alojar una amplia variedad de videoclips cortos. Es predominantemente popular entre un público más joven. La mayoría de los usuarios tienen entre 13 y 24 años . En el primer trimestre de 2019, TikTok fue la aplicación más descargada en la App Store, con más de 33 millones de instalaciones. TikTok es propiedad de una compañía tecnológica china llamada ByteDance .

La nación declara la atención

Esta no fue la primera vez que TikTok se enfrentó a la eliminación de varios dispositivos. India ya prohibió TikTok. Y Estados Unidos y Australia también están considerando bloquear la aplicación. De hecho, en diciembre, el ejército de EE. UU. Prohibió a TikTok de sus teléfonos, y en marzo, los senadores de EE. UU. Propusieron un proyecto de ley que bloquearía a TikTok de todos los dispositivos gubernamentales.

¿Es seguro TikTok?

Para empezar, el hecho de que TikTok sea un producto chino no ayuda. Una serie de aplicaciones y paquetes de software chinos han sido investigados y se encontró que estaban «llamando a casa». Ahora bien, esto no significa que lo estén espiando automáticamente, pero cuando comienza su investigación con una expectativa negativa, se inclina a verlo como tal. Y recopilar información sobre un cliente sin su consentimiento está mal.

El hecho de que TikTok sea diferente en la propia China, donde se conoce con el nombre de Douyin, es otro factor. Pero esto podría explicarse, así como China tiene la reputación de espiar a su población. Entonces, tal vez la versión extranjera es menos intrusiva que la doméstica. Y algunos gobiernos tienen sus propias razones para no confiar en nada de origen chino u otra agenda para boicotear productos originarios de China.

Agregando a la sospecha que un usuario de Reddit por el mango de bangorlol publicó comentarios sobre los datos encontrados para ser enviados a casa cuando realizó la ingeniería inversa de la aplicación. El mismo usuario ha iniciado un hilo en reddit donde desea cooperar con otros ingenieros de ingeniería inversa en las versiones más recientes de la aplicación. Un tipo de comportamiento que fue confirmado por otra fuente es que la aplicación copia información del portapapeles. Lo que sin duda es algo que va más allá de lo que hacen otras aplicaciones de redes sociales.

La defensa de TikTok

La defensa principal de TikTok consiste en el hecho de que la mayoría de su personal superior está fuera de China. En su blog también especificaron dónde se almacenan sus datos y que los datos no están sujetos a la ley china.

“TikTok está liderado por un CEO estadounidense, con cientos de empleados y líderes clave en materia de seguridad, productos y políticas públicas aquí en los Estados Unidos. Nunca hemos proporcionado datos de usuarios al gobierno chino, ni lo haríamos si nos lo pidieran «.

Opciones para prohibir completamente TikTok

Además de organizaciones como Wells Fargo y algunas ramas del ejército de los EE. UU. Que piden a sus empleados que se abstengan de usar la aplicación en dispositivos que también contienen datos sobre la organización, también hemos visto países que abogan por la prohibición total de la aplicación. Pero este no es un objetivo fácil de alcanzar y también podría resultar ineficaz.

Para una prohibición total de una aplicación, debería eliminarla de las tiendas oficiales. Esto es más difícil de lograr para algunos países que para otros. India prohibió TikTok junto con otras 58 aplicaciones chinas. El gobierno de los EE. UU. Tendría que encontrar una razón legal sólida para solicitar que Apple y Google retiren TikTok de sus tiendas de aplicaciones y probablemente se encontrarán con mucha resistencia.

Además, si la gente quiere instalar una aplicación popular como TikTok, hay muchas otras fuentes. Las descargas no se limitan a las tiendas de juegos oficiales, por lo que un usuario determinado podrá encontrar la aplicación en otro lugar. Y no impide que los millones de usuarios activos sigan utilizando la aplicación.

Otra opción es darle a TikTok el mismo tratamiento que le fue entregado a Huawei. Póngalos en la lista de entidades de los Departamentos de Comercio, lo que les negaría el acceso a la tecnología estadounidense. Dadas las circunstancias que no logran mucho más que negarles el acceso a las tiendas de juegos con las mismas consecuencias que discutimos anteriormente.

Redes sociales y privacidad

Hemos advertido muchas veces que no publiquemos información sensible a la privacidad en las redes sociales y que lo guiemos a usted y a sus hijos a usar las redes sociales de manera segura . Incluso publicamos una guía para aquellos que querían eliminarse de las principales redes sociales .

Pero cuando la aplicación de redes sociales está decidida a extraer sus datos, se convierte en una historia completamente diferente. No hemos visto pruebas concluyentes de que esto sea cierto para TikTok, pero algunas de las acusaciones son muy serias y parecen estar respaldadas por hechos e investigaciones autorizadas.

Anónimo advierte sobre TikTok

Otros analistas descartaron los hallazgos de los investigadores como conclusiones rápidas. Una cosa es segura: un análisis completo sin la ayuda de los desarrolladores requerirá mucho esfuerzo y tiempo e incluso entonces, los resultados pueden ser discutibles. En este punto, no podemos estar seguros de si la aplicación TikTok está espiando a sus usuarios de una manera que va más allá de lo que podríamos esperar de una aplicación de redes sociales ordinaria.

Todo lo que podemos hacer en este momento es informar a nuestros usuarios sobre la discusión en curso y tal vez explicar algunos de los puntos que se están planteando. También sentimos la necesidad de repetir nuestras advertencias sobre la difícil relación entre las redes sociales y la privacidad. Obviamente, si surge algún hecho concreto, lo mantendremos informado.

Pormalwarebytes

Deepfakes o no: la nueva imagen de GAN suscita preguntas sobre la falsificación digital

Deepfakes o no: la nueva imagen de GAN suscita preguntas sobre la falsificación digital

Deepfakes o no: la nueva imagen de GAN suscita preguntas sobre la falsificación digital

Al corriente: por 

Las falsificaciones subversivas que entran en la fiesta sin previo aviso, hacen lo suyo, y luego se escabullen en la noche sin que nadie se dé cuenta de dónde está. Los clips fácilmente desacreditados de Donald Trump gritando LOS NUKES ESTÁN ARRIBA o algo igualmente ridículo no son una preocupación importante. Ya hemos investigado por qué ese es el caso .

Lo que también hemos explorado son las formas centradas en las personas con las que puede entrenar su ojo para detectar defectos y errores sobresalientes en imágenes falsas profundas , esencialmente, GANS (redes de confrontación generativas) que salió mal. Por lo general, habrá algo un poco fuera de los detalles, y depende de nosotros descubrirlo.

También se están haciendo progresos en el ámbito de la verificación digital de fraude, con algunas técnicas ingeniosas disponibles para ver qué es real y qué no. Resulta que hay una historia en las noticias que combina la subversión, el ojo humano e incluso una salpicadura de examen automatizado en buena medida.

Una carta falsa al editor

Un muchacho joven, «Oliver Taylor», que estudiaba en la Universidad de Birmingham, se encontró con editoriales publicados en las principales fuentes de noticias como Time of Israel y Jerusalem Post, con su «carrera» de escritura aparentemente  cobrando vida a fines de 2019 , con artículos adicionales en varios lugares a lo largo de 2020.

Después de una corriente de estas piezas, todo explotó en abril cuando un nuevo artículo de «Taylor» aterrizó haciendo algunas acusaciones bastante fuertes contra un par de académicos del Reino Unido.

Después de las inevitables consecuencias, resultó que Oliver Taylor no estaba estudiando en la Universidad de Birmingham . De hecho, aparentemente no era real y casi todos los rastros en línea del autor desaparecieron en el éter. Su número de teléfono móvil era inalcanzable, y nada regresó de su dirección de correo electrónico.

Aún más curiosamente, su fotografía tenía todas las características de una falsificación profunda (o, controvertidamente, no una «falsificación profunda»; más sobre el creciente choque sobre nombres descriptivos más adelante). Independientemente de lo que pretendes clasificar como el rostro ficticio de este hombre, en términos simples, es una imagen generada por IA diseñada para parecer lo más real posible.

¿Alguien había creado una construcción virtual y aprovechó su tiempo con una serie de publicaciones de blog que de otro modo no serían notables simplemente para establecerse en las principales plataformas antes de abandonar lo que parece ser una publicación de rencor?

Fingir para hacerlo

No se equivoquen, las entidades falsas que presionan opiniones influyentes son definitivamente una cosa. Las organizaciones de noticias derechas se han topado recientemente con un problema de este tipo . No hace mucho tiempo, Facebook eliminó unas asombrosas 700 páginas con 55 millones de seguidores en una colosal explosión de desinformación impulsada por la IA denominada » Enjambre de cara falsa «. Esta gran parte de la actividad de estilo Borg hizo pleno uso de las falsificaciones profundas y otras tácticas para impulsar consistentemente los mensajes políticos con un fuerte apoyo anti-China.

Lo que nos lleva de vuelta a nuestro estudiante solitario, con su colección de artículos bajo el radar, que culmina en un ataque directo contra académicos confundidos. El punto final, las travesuras políticas de 700 páginas y una tormenta de gente falsa, podría ser fácilmente puesto en marcha por un valiente humano falso con un sueño y una misión para causar agravación a otros.

¿Cómo determinó la gente que no era real?

Tech avanza hasta el plato

Algunas sospechas, y las personas adecuadas con la tecnología adecuada en la mano, es cómo lo hicieron. Hay muchas cosas que puede hacer para eliminar imágenes falsas, y hay una gran sección en Reuters que lo guía a través de las diversas etapas de detección. Los usuarios ya no tienen que elegir manualmente los defectos; La tecnología (por ejemplo) aislará la cabeza del fondo, haciendo que sea más fácil ver fallas distorsionadas con frecuencia. O tal vez podamos usar mapas de calor generados por algoritmos para resaltar las áreas más sospechosas de interferencia digital.

Aún mejor, hay herramientas disponibles que le darán un resumen de lo que sucede con una imagen.

Cavando en la tierra

Si edita muchas fotografías en su PC, probablemente esté familiarizado con los metadatos EXIF. Esta es una combinación de muchos bits de información en el momento en que se toma la foto. Tipo de cámara / teléfono, lente, GPS, detalles de color: el cielo es el límite. Por otro lado, algunos de ellos, como los datos de ubicación, pueden ser potencialmente una amenaza a la privacidad, por lo que es bueno saber cómo eliminarlos si es necesario.

Como con la mayoría de las cosas, realmente depende de lo que quieras de él. Las imágenes generadas por IA a menudo no son diferentes.

Hay muchas formas de unir sus imágenes GAN. Esto deja rastros, a menos que intentes ofuscarlo o de alguna manera eliminar alguna información. Hay formas de profundizar en la parte inferior de una imagen GAN y obtener resultados útiles.

Deslizamiento de imagen: a menudo una idea de último momento

En noviembre de 2019, pensé que sería divertido si los creadores de «Katie Jones» simplemente hubieran deslizado perezosamente una imagen de un sitio web de generación de rostros, en lugar de agonizar por los detalles de la imagen falsa.

Para nuestro estudiante universitario ficticio, parece que las personas detrás de él pueden haber hecho exactamente eso [ 1 ], [ 2 ]. El creador del sitio del que probablemente se extrajo la imagen ha dicho que están tratando de hacer que sus imágenes ya no se puedan descargar, y / o colocar las cabezas de las personas frente a un fondo falso identificable al 100 por ciento como el «espacio». También afirman que «los verdaderos malos actores alcanzarán soluciones más sofisticadas», pero como hemos visto en dos casos de alto perfil, los malos actores con grandes plataformas y alcance influyente de hecho solo están tomando la imagen falsa que desean.

Esto probablemente se deba a que, en última instancia, la imagen es solo una ocurrencia tardía; la guinda de un pastel de propaganda abultado.

Solo rueda con eso

Como hemos visto, la imagen no fue hecha a medida para esta campaña. Casi con certeza no estaba en la vanguardia del plan para quien se le ocurrió, y no estaban planificando su esquema de dominación mundial comenzando con fotos de perfil falsas. Está justo allí, y necesitaban uno, y (parece), de hecho, simplemente tomaron uno de un sitio web de generación de rostros disponible gratuitamente. Podría haber sido fácilmente una imagen de modelo de stock robada, pero eso es, por supuesto, algo más fácil de rastrear. 

Y así, mis amigos, es cómo terminamos con otro uso más sutil de la tecnología sintética cuya presencia puede no haber importado tanto.

¿Son estos incluso deepfakes?

Una pregunta interesante, y una que parece aparecer cada vez que una cara generada por GAN se adjunta a travesuras dudosas o una estafa absoluta. Algunos dirían que una imagen estática, totalmente sintética, no es una falsificación profunda porque es un tipo de salida totalmente diferente.

Para desglosar esto:

  1. El tipo más familiar de deepfake, donde terminas con un video de [estrella de cine] diciendo algo desconcertante o haciendo algo salaz, se produce al alimentar una herramienta con múltiples imágenes de esa persona. Esto empuja a la IA a hacer que la [estrella de cine] diga lo desconcertante, o realice acciones en un clip en el que de otro modo no existirían. Las falsificaciones pornográficas increíblemente comunes serían el mejor ejemplo de esto.
  2. La imagen utilizada para «Oliver Taylor» es un tiro en la cabeza procedente de una GAN que se alimenta con muchas imágenes de personas reales, con el fin de juntar todo de una manera que escupe una imagen pasable de un humano 100 por ciento falso. Él es absolutamente la suma de sus partes, pero de una manera que ya no se parece a ellas.

Entonces, cuando la gente dice: «Eso no es falso», quieren mantener una división firme entre «imagen o clip falso basado en una persona, generado a partir de esa misma persona» versus «imagen o clip falso basado en varias personas, para crear una persona totalmente nueva «.

La otra marca negativa común establecida en contra de las falsificaciones profundas de imágenes GAN sintéticas es que las manipulaciones digitales no son las que la hacen efectiva. ¿Cómo puede ser una falsificación profunda si no fue muy bueno?

Llama a los testigos al stand.

Todos los puntos válidos, pero los contrapuntos también son convincentes.

Si vamos a descartar su derecho al estado de deepfake porque las manipulaciones digitales no son efectivas, entonces terminaremos con muy pocas falsificaciones de buena fe. Las manipulaciones digitales no lo hicieron efectivo, porque no era muy bueno. Del mismo modo, nunca sabríamos si las manipulaciones digitales no han sido buenas porque las extrañaríamos por completo, ya que vuelan por debajo del radar.

Incluso las mejores variantes basadas en películas tienden a contener cierto nivel de falta de exactitud, y todavía tengo que colocar un montón delante de mí donde no pude detectar al menos nueve de cada 10 falsificaciones de GAN mezcladas con fotos reales.

Por interesante e interesante que sea la tecnología, la producción sigue siendo en gran medida un poco desordenada. Por experiencia, la combinación de un ojo entrenado y algunas de las herramientas de detección que existen hacen que las ambiciones del falsificador sean breves. La idea es hacer lo suficiente para impulsar cualquier persona / intención ficticia adjunta a la imagen que esté por encima de la línea y hacerla plausible, ya sea blogs, artículos de noticias, artículos de opinión, publicaciones de trabajo falsas, lo que sea. La falsificación digital funciona mejor como un ruido extra en el fondo. Realmente no desea llamar la atención como parte de una operación más grande.

¿Es este término general una ayuda o un obstáculo?

En cuanto a mantener la etiqueta «deepfake» lejos de las personas falsas de GAN, aunque aprecio la diferencia en la salida de imágenes, no estoy 100 por ciento seguro de que esto sea necesariamente útil. La palabra deepfake es un acrónimo de «aprendizaje profundo» y «falso». Ya sea que termine con Nicolas Cage caminando en The Matrix, o si tiene una cara simulada obtenida de un sitio web de generación de imágenes, ambos son falsos de alguna forma de aprendizaje profundo.

El resultado final es el mismo: una cosa falsa que hace una cosa falsa, incluso si el camino tomado para llegar allí es diferente. Algunos argumentarían que esta es una división / eliminación potencialmente innecesaria e innecesaria de una definición general que logra aplicarse de manera útil y precisa a los dos escenarios anteriores, y sin duda a otros.

Sería interesante saber si hay un consenso en el espacio de análisis profundo de AI / creación de GAN / analista sobre esto. Desde mi propia experiencia hablando con personas en esta área, la bolsa de opiniones es tan variada como la calidad de los resultados de GAN. Quizás eso cambie en el futuro.

El futuro de la detección falsa

Le pregunté a Munira Mustaffa , analista de seguridad, si las técnicas de detección automatizadas superarían a simple vista para siempre:

He estado reflexionando sobre esta pregunta, y no estoy seguro de qué más podría agregar. Sí, creo que una verificación automática de falsificación profunda probablemente pueda hacer una mejor evaluación que el ojo humano eventualmente. Sin embargo, incluso si tiene la IA perfecta para detectarlos, siempre será necesaria la revisión humana. Creo que el contexto también es importante en términos de su pregunta. Si estamos detectando deepfakes, ¿contra qué estamos detectando?

Creo que también es importante reconocer que no existe una definición establecida de lo que es un falso falso. Algunos dirían que el término solo se aplica a audio / videos, mientras que las manipulaciones de fotos son «falsificaciones baratas». El lenguaje es crítico. Dejando a un lado la semántica, a lo sumo, la gente está jugando con deepfakes / cheapfakes para producir cosas tontas a través de FaceApp. Pero el problema aquí no es realmente sobre deepfakes / cheapfakes, sino que es la intención detrás del uso. Los usos anteriores han indicado cómo se han empleado los deepfakes para influir en la percepción, como el video ‘tonto’ de Nancy Pelosi.

Al final del día, no importa cuán sofisticado sea el software de detección si las personas no van a estar atentas para investigar a quién permiten su red o quién está influyendo en su punto de vista. Creo que la gente está demasiado enfocada en el concepto de que las aplicaciones de deepfakes son principalmente para porno de venganza y para influir en los votantes. Todavía tenemos que ver operaciones a gran escala empleándolos. Sin embargo, como nos demostró el caso reciente de Oliver Taylor, las aplicaciones deepfake / cheapfake van más allá de eso.

Existe un peligro potencial real de que un buen deepfake / cheapfake que esté correctamente respaldado pueda transformarse en un individuo creíble y persuasivo. Esto, por supuesto, plantea más preguntas preocupantes: ¿qué podemos hacer para mitigar esto sin sofocar las voces que ya están luchando por encontrar una plataforma?

Somos falsos en la luna

Estamos en un punto en el que se podría argumentar que los videos falsos son más interesantes conceptualmente que en ejecución. El Centro de Virtualidad Avanzada del MIT ha reunido una versión del discurso que se suponía que Richard Nixon pronunciaría si el alunizaje terminara en tragedia . Es absolutamente una cosa escalofriante mirar; sin embargo, el clip en sí no es el mejor técnicamente.

La cabeza no juega bien con las fuentes de luz a su alrededor, el escote de la camisa está mal contra la mandíbula y la voz tiene múltiples rarezas digitales en todo momento. Tampoco ayuda que usen su discurso de renuncia para el cuerpo, ya que uno tiene que preguntarse sobre la óptica de barajar papeles cuando anuncia que los astronautas han muerto horriblemente.

No, lo interesante para mí es decidir mostrar la naturaleza engañosa de los deepfakes utilizando un hombre que nació en 1913 y murió hace 26 años. ¿Alguien menor de 40 años recuerda su aspecto, el sonido de su voz fuera de la parodia y las películas lo suficientemente bien como para hacer una comparación? ¿O el punto es la disociación de una gran parte de la memoria colectiva? ¿Eso lo hace más efectivo o menos?

No estoy seguro, pero definitivamente agrega peso a la idea de que, por ahora, las falsificaciones profundas, ya sea video o imagen estática, son más efectivas como pequeños aspectos de las campañas de desinformación más grandes que las piezas de engaño digital que llaman la atención.

¿Nos vemos en tres meses?

Es inevitable que tengamos otra historia delante de nosotros lo suficientemente pronto, explicando cómo otra entidad fantasma ha preparado una identificación falsa el tiempo suficiente para dejar caer su carga útil o sembrar alguna discordia en los niveles más altos. Recuerde que las imágenes falsas son simplemente un pequeño trampolín hacia un objetivo general y no el objetivo final en sí mismo. Es un nuevo mundo valiente de interrupción, y tal vez para cuando levantes otra silla, incluso podría darte una convención de nomenclatura definitiva.

Pormalwarebytes

El grupo APT chino apunta a India y Hong Kong usando una nueva variante de malware MgBot

El grupo APT chino apunta a India y Hong Kong usando una nueva variante de malware MgBot

El grupo APT chino apunta a India y Hong Kong usando una nueva variante de malware MgBot

Al corriente: por el 

Esta publicación de blog fue escrita por Hossein Jazi y Jérôme Segura.

El 2 de julio, encontramos un archivo con un documento incrustado que pretendía ser del gobierno de la India. Este archivo utiliza la inyección de plantilla para eliminar una plantilla maliciosa que cargó una variante de Cobalt Strike.

Un día después, el mismo actor de amenazas cambió su plantilla y soltó un cargador llamado MgBot, ejecutando e inyectando su carga útil final mediante el uso del Servicio de Administración de Aplicaciones (AppMgmt) en Windows.

El 5 de julio, observamos otro archivo con un documento incrustado que tomó prestada una declaración sobre Hong Kong del primer ministro del Reino Unido, Boris Johnson. Este documento utilizó los mismos TTP para descartar y ejecutar la misma carga útil.

Considerando las continuas tensiones entre India y China, así como las nuevas leyes de seguridad sobre Hong Kong, creemos que esta nueva campaña es operada por un actor chino patrocinado por el estado. Según nuestro análisis, creemos que este puede ser un grupo APT chino que ha estado activo desde al menos 2014.

Target activo con diferentes señuelos

Pudimos rastrear las actividades relacionadas con estos actores de amenazas durante la sucesión de varios días basados ​​en intentos únicos de phishing diseñados para comprometer su objetivo.

‘Comprobación de seguridad del correo’ con Cobalt Strike (variante 1)

Esta campaña probablemente se llevó a cabo a través de correos electrónicos de spear phishing. El archivo .rar ( Mail security check.rar ) incluye un documento con el mismo nombre (Figura 1).

Figura 1: Verificación de seguridad del correo.docx

El documento utiliza la inyección de plantilla para descargar una plantilla remota desde la siguiente URL (Figura 2).

Figura 2: inyección de plantilla

La plantilla descargada utiliza el protocolo de intercambio dinámico de datos (DDE) para ejecutar comandos maliciosos, que están codificados dentro del contenido del documento (Figura 3).

Figura 3: comando codificado

Después de la decodificación, podemos ver la lista de comandos que DDE ejecutará:

Figura 4: comandos decodificados

Como muestra la Figura 4, los actores de la amenaza usaron certutil con los parámetros -urlcache -split -f para descargar un scriptlet de su servidor y luego usaron la técnica Squiblydoo para ejecutar el scriptlet descargado a través de regsvr32.exe en la máquina víctima.

Este scriptlet se almacena en el directorio Documentos como «ff.sct». El scriptlet es un archivo XML que tiene incrustado VBscript (Figura 5).

Figura 5: ff.sct snipplet

El scriptlet crea una macro VB y llama a Excel para ejecutarlo. La macro se ha ofuscado para evitar el mecanismo de seguridad estático y es responsable de inyectar la carga útil integrada en rundll32.exe utilizando el método de inyección reflectante de DLL. La carga útil inyectada es una variante de Cobalt Strike.

El siguiente diagrama muestra el proceso general de este ataque:

Figura 6: Proceso general

‘Verificación de seguridad del correo’ con MgBot (variante 2)

Como mencionamos anteriormente, un día después del primer ataque, el grupo APT cambió su plantilla remota. En esta nueva variante, los actores dejaron de usar la técnica Squiblydoo y Cobalt Strike como carga útil.

La Figura 7 muestra los nuevos comandos codificados incrustados en el archivo de plantilla.

Figura 7: comando codificado

La Figura 8 muestra la lista de comandos que DDE ejecutará.

Figura 8: comandos decodificados

En este nuevo archivo de plantilla, el scriptlet storm.sct fue reemplazado por storm.txt . Similar a la versión anterior, certutil se utiliza para descargar el archivo storm.txt, que es un ejecutable almacenado en el directorio Documentos como ff.exe.

El siguiente diagrama muestra el proceso de ejecución general:

Figura 9: Proceso de ejecución general

«Boris Johnson se compromete a admitir 3 millones de Hong Kong» con MgBot (variante 3)

El último documento utilizado por el grupo APT chino en esta campaña se centró en los problemas que ocurren en Hong Kong. El archivo fue incrustado dentro de un archivo llamado «Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKrar».

Este documento cita al primer ministro después de que China emitiera una nueva ley de seguridad contra Hong Kong (Figura 10).

Figura 10: Boris Johnson se compromete a admitir 3 millones desde Hong Kong a Reino Unido

Similar a los otros documentos, también utiliza la inyección de plantillas para descargar la plantilla remota (Figura 11).

Figura 11: plantilla remota

La plantilla descargada (BNOHK.docx) es similar a ADIN.docx (variante 2) en la que usa DDE para descargar y soltar su cargador.

Análisis de carga útil: MgBot (BLame, Mgmbot)

El ejecutable eliminado (ff.exe) es una nueva variante de un cargador llamado MgBot que elimina y carga la carga útil final. Este cargador pretende ser una herramienta Realtek Audio Manager (Figura 12).

Figura 12: Información de la versión del archivo

Tiene cuatro recursos integrados en los que dos de ellos están en chino simplificado. Este es un indicador que sugiere que esta campaña probablemente sea operada por un grupo APT chino.

Figura 13: lenguaje de recursos

El cargador comienza su proceso mediante la escalada de privilegios a través de un bypass UAC utilizando la interfaz COM CMSTPLUA .

MgBot utiliza varias técnicas anti-análisis y anti-virtualización. El código se auto modifica, lo que significa que altera sus secciones de código durante el tiempo de ejecución. Esto hace que el análisis estático de la muestra sea más difícil.

MgBot intenta evitar ejecutarse en entornos virtualizados conocidos como VmWare , Sandboxie y VirtualBox . Para identificar si se está ejecutando en uno de estos entornos, busca los siguientes archivos DLL: vmhgfs.dll , sbiedll.dll y vboxogl.dll y, si encuentra alguno de estos archivos DLL, pasa a un bucle infinito sin realizar ninguna actividad maliciosa. (Figura 14).

Figura 14: Anti-VM

También verifica la presencia de productos de seguridad en la máquina de la víctima y toma un flujo de ejecución diferente si se detecta un producto de seguridad. Por ejemplo, comprueba zhudongfangyu.exe, 360sd.exe, 360Tray.exe, MfeAVSvc.exe y McUICnt.exe en diferentes partes del código (Figura 15). El malware no realiza todas las comprobaciones a la vez, sino que comprueba algunas de ellas en diferentes pasos de su ejecución.

Figura 15: Verificaciones de productos de seguridad

Para invocar las API requeridas, el malware no las llama directamente, sino que crea una tabla de puntero de función para las API requeridas. Cada solicitud a una llamada API se realiza a través del acceso al índice relevante de esta tabla.

Figura 16: Tabla de puntero de función de construcción

Como ejemplo, cuando el malware necesita invocar WinExec , lo invoca a través de su índice desde la tabla de punteros de función.

Figura 17: API de llamada mediante el uso de la tabla de puntero de función

Después de compilar la tabla de llamadas API necesarias, el malware realiza los siguientes procedimientos:

  • Se llama CreateFileW para crear iot7D6E.tmp (nombre aleatorio a partir de IOT) en el % Temp% APPDATA directorio. Este archivo tmp es un archivo cab que incorpora la carga útil final.
  • Llama a WriteFile para llenar su contenido
  • Llama a CreateProcessInternalW para invocar expand.exe para descomprimir el contenido de iot7D6E.tmp en ProgramData \ Microsoft \ PlayReady \ MSIBACF.tmp \ tmp.dat (el nombre del directorio MSIBACF.tmp se genera aleatoriamente y comienza con MSI y luego es seguido por un MSI combinación de números aleatorios y caracteres)
Figura 18: Llamar a expand.exe
  • Llama a CopyFileW para copiar tmp.dat en pMsrvd.dll
  • Llama a DeleteFileW para eliminar tmp.dat
  • Cae DBEngin.EXE y WUAUCTL.EXE en el Datos de programa \ Microsoft \ PlayReady directorio. Ambos archivos son rundll32.exe que se usa más tarde para ejecutar la DLL eliminada.
  • Modifica la sección de registro de la ubicación de registro HKLM \ SYSTEM \ CurrentControlSet \ Services \ AppMgmt para hacerse persistente. Para realizar esta modificación, coloca dos archivos de registro llamados iix * .tmp (se han agregado números aleatorios a iix) en el directorio% APPDATA% Temp, que son las colmenas de registro antiguas y nuevas para la ubicación de registro mencionada.

Para cargar el archivo DLL caído ( pMsrvd.dll ), el cargador lo registra como un servicio. Para lograr esto, hace uso del servicio ya instalado, AppMgmt, para cargar la carga útil como se muestra en las siguientes imágenes:

Figura 18: ServiceDll
Figura 19: ImagePath

Finalmente, ejecuta la DLL eliminada ejecutando net start AppMgmt . Después de cargar la DLL, el cargador crea un archivo cmd ( lgt * .tmp .cmd) en el directorio% APPDATA% TEMP con el contenido que se muestra en la Figura 20. Luego lo ejecuta para eliminar el archivo cmd y el cargador de la máquina de la víctima.

Figura 20: archivo cmd

Pudimos identificar varias variantes diferentes de este cargador. En general, todas las variantes descartan la carga útil final usando expand.exe o extrac32.exe y luego usan «net start AppMgmt » o «net start StiSvc» para ejecutar la DLL caída con una de las siguientes configuraciones:

  • svchost.exe -k netsvcs -p -s AppMgmt
  • svchost.exe -k netsvcs
  • svchost.exe -k imgsvc

La DLL eliminada es la carga principal utilizada por este actor de amenazas para realizar actividades maliciosas. A continuación se muestra la información de la versión del archivo que pretende ser una aplicación de Video Team Desktop.

Figura 21: Información del archivo

El tiempo de creación de esta DLL parece ser «2008-04-26 16:41:12». Sin embargo, según los datos del encabezado Rich, podemos afirmar que el actor de la amenaza podría haber alterado esto.

Figura 22: encabezado enriquecido

La DLL tiene ocho funciones de exportación con nombres cuidadosamente seleccionados para fingir que están haciendo tareas normales. Puede verificar los servicios en ejecución y, en función de eso, puede inyectarse en el espacio de memoria de WmiPrvSE.exe.

Figura 23: Inyección en WmiPrvse.exe
Figura 24: la DLL de RAT se inyecta en el espacio de memoria de WmiPrvse.exe

Utiliza varias técnicas anti-depuración y anti-virtualización para detectar si se está ejecutando en un entorno virtualizado o si un depurador lo está depurando. Utiliza las llamadas API GetTickCount y QueryPerformanceCounter para detectar el entorno del depurador.

Para detectar si se está ejecutando en un entorno virtual, utiliza instrucciones de detección anti-vm como sldt y cpid que pueden proporcionar información sobre el procesador y también verifica los puertos Vmware IO (VMXH).

Figura 25: Detección de entorno

Todas las cadenas utilizadas por este RAT están ofuscadas o codificadas con XOR para dificultar su análisis.

Este último fragmento de código incluido en MgBot es un troyano de administración remota con varias capacidades como:

  • Comunicación C2 sobre TCP (42.99.116 [.] 225: 12800)
  • Posibilidad de tomar capturas de pantalla
  • Keylogging
  • Gestión de archivos y directorios.
  • Gestión de proceso
  • Crear MUTEX

Relaciones de infraestructura

A continuación se muestra la infraestructura utilizada por este APT y las relaciones entre los hosts utilizados por este grupo. Este grupo APT ha utilizado varias direcciones IP diferentes para alojar sus cargas maliciosas y también para sus comunicaciones C2.

Lo interesante es que la mayoría de las direcciones IP utilizadas por este APT se encuentran en Hong Kong y casi todas estas direcciones IP basadas en Hong Kong se utilizan para la comunicación C2. Incluso en sus campañas anteriores, en su mayoría han utilizado infraestructura en Hong Kong. El gráfico también muestra la relación entre las diferentes direcciones IP utilizadas por este grupo APT.

Figura 26: Conexiones de infraestructura

Android RAT

También encontramos varias aplicaciones maliciosas de Android que creemos que son parte del conjunto de herramientas utilizadas por este grupo APT. Malwarebytes los detecta como Android / Trojan.Spy.AndroRat.KSRemote .

Figura 27: APK malicioso de Android

Todas estas aplicaciones falsas contienen un archivo jar llamado ksremote.jar que proporciona la funcionalidad RAT:

  • Pantalla de grabación y audio usando la cámara / micrófono del teléfono
  • Localización de teléfono con coordenadas
  • Robo de contactos telefónicos, registro de llamadas, SMS, historial web
  • Enviar mensajes SMS
Figura 28: capacidad de captura de contactos

Esta RAT se comunica con los servidores de C&C utilizando números de puerto aleatorios dentro del rango 122.10.89.170 a 179 (todos en Hong Kong)

  • 122.10.89 [.] 172: 10560
  • 122.10.89 [.] 170: 9552
  • 122.10.89 [.] 172: 10560

TTP en línea con los APT chinos

Los señuelos utilizados en esta campaña indican que el actor de la amenaza puede estar apuntando al gobierno indio y a las personas en Hong Kong, o al menos a quienes están en contra de la nueva ley de seguridad emitida por China.

Los TTP observados en estos ataques han sido utilizados por varios grupos chinos de APT:

Teniendo en cuenta estos factores, atribuimos este ataque APT con moderada confianza a un nuevo grupo APT chino. Con base en los TTP utilizados por este grupo de APT, pudimos rastrear sus actividades al menos hasta 2014. En todas sus campañas, el actor ha utilizado una variante de MgBot.

Un actor de amenazas con una larga historia documentada

Una aguja en una publicación de blog del pajar de 2014 detalló una campaña que arroja un troyano disfrazado como una biblioteca legítima de codificadores de MP3. En esta campaña, el actor utilizó CVE-2012-0158 para soltar su troyano. El resto de los TTP, incluidos los métodos utilizados por el actor de la amenaza para ejecutar MgBot y las modificaciones del registro, son similares a esta campaña en curso.

En 2018, este grupo realizó otra operación en la que utilizaron una vulnerabilidad VBScript ( CVE-2018-8174) para iniciar su ataque para eliminar una variante de MgBot. En marzo de 2020, se envió un archivo de archivo ( warning.rar ) a VirusTotal que creemos que es parte de otra campaña utilizada por este actor.

Continuaremos las actividades de este grupo para ver si sus objetivos o técnicas evolucionan. Los usuarios de Malwarebytes están protegidos de esta campaña gracias a nuestra capa anti-exploit sin firma.

Figura 29: Nebulosa de Malwarebytes que bloquea documentos maliciosos de Word

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Detalles
Ejecución T1059 Interfaz de línea de comandos Inicia CMD.EXE para la ejecución de comandos.
T1106 Ejecución a través de carga de módulo Cargas caídas o ejecutables reescritas
– WUAUCTL.EXE
– svchost.exe
– rundll32.exe
T1053 Rundll32 Utiliza RUNDLL32.EXE para cargar la biblioteca
T1064 Scripting WScript.exe: inicia MSHTA.EXE para abrir archivos HTA o HTMLS
T1035 ejecución del servicio Inicia NET.EXE para la gestión del servicio.
T1170  mshta Inicia MSHTA.EXE para abrir archivos HTA o HTMLS
T1086 Potencia Shell  Ejecuta scripts de PowerShell
Escalada de privilegios T1050 nuevo servicio Crea o modifica servicios de Windows a través de rundll32.exe
T1088 Bypass UAC Ataque de escalada de privilegios conocido a través de DllHost.exe
Persistencia T1031 Modificar servicio existente Crea o modifica servicios de Windows a través de rundll32.exe
T1050 nuevos servicios Crea o modifica servicios de Windows a través de rundll32.exe
Evasión de defensa T1107 Eliminación de archivos Inicia CMD.EXE para borrarse automáticamente
T1085  Rundll32 Utiliza RUNDLL32.EXE para cargar la biblioteca
T1088 bypass UAC Ataque de escalada de privilegios conocido a través de DllHost.exe
T1497 Virtualización / Evasión de Sandbox El cargador utiliza varias técnicas de detección anti-virtualización.
T1221 Inyección de plantilla Maldoc usa inyección de plantillas para descargar plantillas remotas
T1218 Ejecución de proxy binario firmado Use Squiblydoo para cargar el ejecutable
Descubrimiento T1012 Registro de consultas  Lee el GUID de la máquina del registro
T1082 Descubrimiento de información del sistema  Lee el GUID de la máquina del registro
T1007 Descubrimiento de servicio del sistema Inicia NET.EXE para la gestión del servicio.
Movimiento lateral T1105 Copia remota de archivos – certutil.exe: descarga archivos ejecutables de Internet
– cmd.exe: inicia CertUtil para descargar archivos
C&C T1105 Copia remota de archivos – certutil.exe: descarga archivos ejecutables de Internet
 – cmd.exe: inicia CertUtil para descargar archivos
Tabla 1: TTP de ataque de inglete

COI

2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKdocx

fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc BNOHK.docx.zip

3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790 Boris_Johnson_Pledges_to_Admit_3_Million_From_Hong_Kong_to_U.K.rar

ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03 Email security check.rar

1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6 Correo electrónico de verificación de seguridad.docx

3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b ADIN.docx (storm.sct)

855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8 ADIN.docx (storm.sct)

1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585 ff.exe (storm.txt)

99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a huelga de cobalto

flash.governmentmm.com : este dominio utilizado por el actor para alojar plantillas remotas. Ha sido registrado hace 3 meses por alguien en Estados Unidos.

Muestras de MgBot

2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2

45.77.245 [.] 0: Esta IP ha sido utilizada por Cobalt Strike como un servidor de C&C.

42.99.116 [.] 225 : servidor C&C utilizado por la carga útil final.

Muestras de Android

b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46