Todos odian el spam (aparte de las personas que lo envían). Si bien muchas personas simplemente denuncian el correo no deseado y lo eliminan, algunas buscan la manera de vengarse de los spammers que pierden el tiempo. De hecho, una pregunta común que se nos pide es, “¿Cómo podemos desperdiciar su  tiempo?”

Mi propia opinión sobre esto está un poco cargada de precaución; simplemente entablar conversaciones con spammers y estafadores sin experiencia previa es una buena manera de meterse en problemas.

Tal vez respondiste desde tu correo de trabajo, y ahora están enviando misivas a tu jefe. Tal vez usaste un servicio de correo que revela tu dirección IP, y ahora están haciendo amenazas vacías pero aterradoras sobre piratearlo. ¿Qué hay de responder a su solicitud de identificación y enviar accidentalmente lo real, en lugar de una imagen construida con humor de MS paint?

Hay mucho en qué pensar antes de emprender este camino, pero si aún quieres perder el tiempo de algunos spammers (y de una manera mucho más segura), sigue leyendo.

Los basicos

1) NINGUNA INFORMACIÓN GENUINA NUNCA . Sí, me doy cuenta de que todas las mayúsculas son un poco gritonas, pero es información lo suficientemente importante como para justificar los gritos. No importa lo que haga, o qué método use para perder el tiempo de un estafador, revelarle cosas sobre usted y los suyos siempre es una mala idea.

2) Use una dirección de correo electrónico anónima.  Y no lo vincules con algo que usas a diario. Evite el correo electrónico del trabajo, el correo electrónico personal, el correo electrónico vinculado a cualquier elemento «crítico para el negocio» (sitios web / registros de dominios u otros inicios de sesión confidenciales).

¿Le preocupa que un spammer no responda si responde con su nueva cuenta anónima / descartable en lugar de la que le enviaron? No seas. No les importa, responderán a cualquier cosa. Correo, correo de voz, carta de amor pintada en el costado de una vaca, cualquier cosa. Un truco común para los spammers es dirigirlo a direcciones de correo electrónico alternativas a las que responder porque su principal es susceptible de cerrarse en cualquier momento de todos modos, por lo que realmente no les importará de dónde provienen sus travesuras que hacen perder el tiempo.

3) No le diga a la gente que haga cosas peligrosas. Existe una forma popular de hostigamiento de estafa 419 llamada «Going on safari», donde la víctima fingida manipula al estafador en una larga y potencialmente peligrosa caminata hacia partes desconocidas. Si bien algunos de estos cuentos son humorísticos en una manera de «Oh, no, ¿qué hiciste?», Realmente no quieres involucrarte en ninguna situación en la que alguien se caiga por un precipicio y tenga una copia impresa en sus pantalones con tu » Hay un tesoro enterrado a 500 millas de esta manera, honesto «correo en ellos.

Fuera de eso, cómo usted pierde su tiempo depende de usted. Las respuestas de una palabra a todas sus misivas tienden a agravarlas de manera espectacular, si eso ayuda. Si no se siente cómodo con el enfoque directo, hay más que unas pocas maneras de mantener sus manos limpias (por así decirlo) mientras consume más de su valioso tiempo.

Deje que otra persona haga el trabajo sucio

Como resultado, un poco de automatización va un largo camino. Hay una variedad de herramientas en línea para que pueda utilizar en la lucha contra los spammers, y la mejor parte es que no tendrán ninguna idea sobre su participación.

4) Use una aplicación de chatbot, como Spamnesty, para automatizar los intercambios de correo no deseado.  Todo lo que debe hacer aquí es eliminar toda su información personal de cualquier intercambio de correo electrónico, enviar el correo no deseado a la dirección de correo electrónico de Spamnesty, y luego sentarse y reírse mucho mientras un chatbot que pretende ser un CEO frustra infinitamente a un estafador. Bonificación: puede leer algunas de las conversaciones. Todos pueden disfrutar eso.

Re: Scam recibe una mención honorífica porque, aunque actualmente no está conectado, tiene la promesa de volver a la vida. Otro chatbot, pasa por varias personalidades para hacer el trabajo y, según sus estadísticas, respondió a más de un millón de correos electrónicos y desperdició aproximadamente cinco años de su tiempo en total, lo que es espectacular.

5) Use una aplicación de bloqueo de spam con respuestas automatizadas para telemercaderes. No todo el spam se basa en el correo electrónico, y volúmenes significativos continúan aterrizando en nuestros dispositivos móviles en forma de llamadas telefónicas. Si tiene mucha mala suerte, es un aluvión incesante de llamadas perdidas, personas que llaman desconocidas y estafas de devolución de llamada con tarifas premium que esperan para sacarle el dinero a su efectivo. Existen varias aplicaciones que bloquearán las llamadas en frío y las agregarán a las listas de correo no deseado (que no siempre es fácil de descifrar en un teléfono convencional), pero no hay muchas que pierdan el tiempo de los estafadores con chatbots.

Robokiller es uno de los primeros en desplegar una variedad de (con suerte?) Chatbots humorísticos para elegir, luego los suelta en llamadas con televendedores no deseados. Al igual que con los equivalentes basados ​​en correo electrónico, perder el tiempo es el nombre del juego porque el tiempo perdido equivale al dinero desperdiciado por parte del spammer. Aunque no creo que este enfoque vaya a evitar que los que envían correos electrónicos no deseados abandonen su trabajo diario , una llamada desperdiciada es otra persona que no pierde una tonelada de dinero o información personal con un estafador. Eso sólo puede ser una buena cosa.

El futuro del desperdicio de tiempo

Quemar a los estafadores ya no es solo un pasatiempo ocasional para los asistentes al foro. Puede convertirlo en una ocupación real con un poco de esfuerzo y trabajo duro. El futuro es que la estafa de estafas en YouTube se ha convertido en algo común . Solo recuerde antes de comenzar a criticar a su siguiente estafador que (dependiendo del método de alcance y de cuánta información pueda estar al acecho en los botaderos), podrían tener su información real. Realmente no es agradable escuchar «Tendremos a nuestra gente en la dirección de tu casa, cuidaremos tu espalda».

En caso de duda, cumpla con la automatización no identificable o deje las cosas a los profesionales. En general, es mucho más seguro de esa manera, y es probable que veas un divertido video de YouTube en el trato. Es una victoria para todos, excepto tal vez para el spammer en el extremo receptor.

No ha habido un pequeño brote de caos en los terrenos móviles recientemente, todo debido a un juego asombrosamente popular llamado Fortnite.

Aquí está el problema: las personas se refieren a Android como «plataforma abierta» y dicen que, en teoría, puedes hacer lo que quieras con ella. En la práctica, compras un teléfono Android y luego estás encerrado en aplicaciones de la tienda Google Play. Puede desactivarlo para permitir instalaciones externas, pero en general no es aconsejable, ya que deja la puerta abierta para instalaciones potencialmente dudosas.

Puede ahondar en discusiones sobre si Android es de código abierto o no, pero la conversación es un poco más complicada y matizada que simplemente responder «sí» o «no».

Con toda la discordia anterior arrojada a un crisol de fusión y girando, Fortnite entra y hace sonar unas cuantas jaulas más.

¿Que pasó?

Los desarrolladores, Epic, decidieron que preferirían ofrecer el juego en un dispositivo móvil fuera de Google Play , lo que aumenta drásticamente la cantidad de ingresos no mordisqueados por Google. Hay varios problemas potenciales con esto:

• Tener hijos habilitando la opción «permitir instalaciones desde fuentes desconocidas» en un Android es una receta para el desastre. No solo significa que muchos de ellos terminarán descargando por error una aplicación deshonesta , sino que también significa que esos teléfonos ahora son menos seguros que los dispositivos Android completamente bloqueados que existen.
• Como se señaló en Twitter, incluso los niños con instalaciones legítimas de Fortnite a bordo eventualmente caerán en algo desagradable  porque el teléfono está chapoteando en el lodo del malware metafórico.
• Todo se reduce a qué tan bien promocionado es el enlace de descarga oficial, y qué tan eficientemente los desarrolladores del juego le dicen a las personas que solo agarren el juego de ese enlace específico.
• Epic necesita asegurarse de que no sean víctimas de estafas sofisticadas de SEO que apuntan a enlaces fuera de su sitio y hacia descargas malas, y también que la seguridad de su sitio es de primera clase. Si la página está en peligro, un enlace de descarga deshonesto podría estar esperando en las alas.

Así es como se veía el panorama inicial poco después del anuncio de Epic, y muchas cosas predichas rápidamente saldrían terriblemente mal.

¿Las cosas salieron terriblemente mal?

Ciertamente lo hicieron. Al final, ni siquiera fue una aplicación deshonesta que causó caos, sino un problema encontrado con el instalador de Fortnite  que permitió la posibilidad de que las aplicaciones deshonestas a bordo secuestraran el instalador e instalaran su propio junkware. El llamado ataque » Hombre en el disco » busca aplicaciones que no bloqueen el almacenamiento externo tan bien como deberían, y rápidamente se pone a trabajar explotando cosas que suceden bajo el capó.

El alboroto sobre el kerfuffle del instalador se completó con un poco de un debate feroz en Twitter , porque eso es lo que sucede con todo en la vida ahora.

¿Qué pasa después?

Les guste o no, Epic es ahora el abanderado del «desarrollador de aplicaciones que se sale de la naturaleza (increíblemente rica e insegura)». No creo que una aplicación de Android haya atraído tanta atención antes, y eso es sin lanzando el ángulo de instalación de Google Play a la mezcla.

Lo que también les atraviesa es darse cuenta de que mientras continúen fuera del ecosistema de Google Play, las historias volverán a perseguirlos en cuanto a instalaciones de malware que se hacen pasar por reales, trucos de ingeniería social para convencer a los niños de que descarguen datos poco fiables. Complementos de Fortnite de servidores rusos, y posibles envenenamientos SEO que llevan a los aspirantes a jugadores a descarriarse.

Google Play ciertamente no es perfecto , y se han encontrado muchas aplicaciones deshonestas acechando a través de los años. Creo que la mayoría de los profesionales de seguridad argumentarían que todavía es mucho más arriesgado desconectar la prohibición desconocida de instalación de la fuente de lo que es visitar Play y tomar una aplicación.

Tampoco separemos Epic en este caso; no son solo los desarrolladores de juegos los que dan pasos tentativos en el mundo de las instalaciones desconocidas, incluso los proveedores de teléfonos celulares lo hacen. Hace unos cuatro o cinco años, cambié mi teléfono y obtuve un paquete con un conocido minorista del Reino Unido. Parte del trato fue «seis juegos gratis para tu Android». Suena genial, ¿verdad? Excepto que rápidamente me di cuenta de que para obtener los juegos, tenía que habilitar las instalaciones de origen desconocidas y descargar los seis archivos .APK directamente desde el sitio web del proveedor del teléfono.

En ningún momento alguien dijo nada acerca de cómo apagar una función de seguridad del teléfono que acababa de vender era una mala idea. Nada en la literatura provista menciona nada más allá, «Guau, apagar esto es una muy buena idea, ¡juegos gratis! ¡Wow! «Esto también ocurre en un momento en el que escribía regularmente sobre descargas falsas de Angry Birds / Flappy Bird alojadas en sitios web rusos.

Una vez instalados (a través de arrastrar y colocar desde el escritorio al móvil a través de la magia de los cables USB), esos juegos falsos con temas de pájaros normalmente intentarían realizar engaños de SMS con tarifas superiores. Esto solo funcionó porque algunas personas estaban corriendo con instalaciones de origen desconocidas permitidas, y todavía tendrían que intentar ingeniar socialmente aquellas que no estaban encendidas.

Instalaciones desconocidas: tan caliente en este momento

Ahora estamos en un punto en el que las instalaciones de fuentes desconocidas no solo son convencionales, sino que actualmente están conectadas a las ruedas de un monstruo de juego absoluto. Hay graves problemas de seguridad que Epic necesita considerar, y va a ser fascinante mirar hacia atrás en seis a 12 meses y decidir si promocionar instalaciones de fuentes desconocidas de esta manera causó una vorágine de dolores de cabeza de seguridad por todos lados, o una gran cantidad de » absolutamente nada sucedió mucho «.

Si es el último, puede apostar que más desarrolladores querrán aprovechar este método. Entonces, el panorama de amenazas se volverá mucho más complicado en la tierra móvil.

La semana pasada, analizamos las payasadas dudosas en mobile land , un caso peculiar de spam en el sitio web oficial de Cardi B, y nos sumergimos en el malware sin archivos . También exploramos el funcionamiento interno de Hidden Bee , y le dimos un explicador de Regex .

Otras noticias de ciberseguridad:

• Gran brecha de datos afecta a la cadena hotelera china (Fuente: Xinhuanet)
• Cryptojacking no aporta mucho dinero [PDF] (Fuente: Arxiv)
• Hackador «Fappening» sentenciado a prisión (Fuente: Justice.gov)
• La campaña de phishing de cobalto continúa extendiéndose (Fuente: The Register)
• Exposición de datos sensibles a través de wifi (Fuente: Nightwatch Cybersecurity)
• Pobres prácticas de parches en el sistema de análisis de visas (Fuente: Nextgov)
• El error en el correo electrónico de CC enoja a los fanáticos del fútbol (Fuente: The Register)
• Comportamiento de inicio de sesión inusual detectado en la aplicación móvil de Air Canada (Fuente: Air Canada)
• La anatomía de las noticias falsas (Fuente: Help Net Security)
• Informe de seguridad de las telecomunicaciones de la UE (Fuente: Enisa)

¡Mantente seguro, todos!

El malware puede estar hecho de muchos componentes. A menudo, encontramos macros y scripts que funcionan como descargadores maliciosos. Algunas funcionalidades también pueden lograrse mediante el código independiente de posición, denominado código shell. Pero cuando se trata de elementos más complejos o módulos centrales, casi damos por hecho que será un archivo PE que es un formato ejecutable nativo de Windows.

La razón de esto es simple: es mucho más fácil proporcionar una funcionalidad compleja dentro de un archivo PE que dentro de un shellcode. El formato PE tiene una estructura bien definida, lo que permite mucha más flexibilidad. Tenemos ciertos encabezados que definen qué importaciones se deben cargar y dónde, así como también cómo se deben aplicar las reubicaciones. Este es un formato predeterminado que se genera cuando compilamos aplicaciones para Windows, y su estructura es utilizada por Windows Loader para cargar y ejecutar nuestra aplicación. Incluso cuando los autores de malware escriben cargadores personalizados, son principalmente para el formato PE.

Sin embargo, a veces encontramos excepciones. La última vez, cuando analizamos las cargas útiles relacionadas con Hidden Bee (eliminadas por el kit de explotación de Underminer) , notamos algo inusual. Se eliminaron dos cargas útiles que no siguieron el formato PE. Sin embargo, su estructura se veía bien organizada y más compleja de lo que generalmente encontramos al tratar con piezas de Shellcode. Decidimos mirar más de cerca y descubrimos que los autores de este malware realmente crearon su propio formato ejecutable, siguiendo una estructura consistente.

Visión de conjunto

La primera carga útil: b3eb576e02849218867caefaa0412ccd (con extensión .wasm, imitando Web Assembly) es un cargador que descarga y descomprime un archivo de Cabinet:

La segunda carga útil: 11310b509f8bf86daa5577758e9d1eb5 , desempaquetada desde el gabinete:

Podemos ver al principio que, a diferencia de la mayoría de los códigos de shell, no comienza desde un código, sino desde algunos encabezados. Al comparar ambos módulos, podemos ver que el encabezado tiene la misma estructura en ambos casos.

Encabezados

Examinamos más de cerca para descifrar el significado de campos particulares en el encabezado.

El primer DWORD: 0x10000301 es el mismo en ambos. No encontramos este número correspondiente a ninguna de las piezas dentro del módulo. Entonces, asumimos que es un número mágico que hace un identificador de este formato.

A continuación, dos WORDs se compensan con elementos relacionados con la carga de las importaciones. El primero (0x18) apunta a la lista de DLL. El segundo bloque (0x60) se ve más misterioso al principio. Su significado se puede entender cuando cargamos el módulo en IDA. Podemos ver las referencias cruzadas a esos campos:

Vemos que se usan como IAT: se supone que deben llenarse con las direcciones de las funciones importadas:

El siguiente valor es un DWORD (0x2A62). Si lo seguimos en IDA, vemos que conduce al comienzo de una nueva función:

Esta función no está referenciada por ninguna otra función, por lo que podemos sospechar que se trata del punto de entrada del programa.

El significado del siguiente valor (0x509C) es fácil de adivinar porque es el mismo que el tamaño del módulo completo.

Entonces, tenemos los dos últimos DWORD del encabezado. El segundo DWORD (0x4D78) conduce a la estructura que es muy similar a las reubicaciones del PE. Podemos adivinar que debe ser una tabla de reubicación del módulo, y el DWORD anterior especifica su tamaño.

Así fue como pudimos reconstruir el encabezado completo:

typedef struct {
	Magia DWORD;

	WORD dll_list;
	PALABRA iat;
	DWORD ep;
	DWORD mod_size;

	DWORD relocs_size;
	DWORD se traslada;
} t_bee_hdr;

Importaciones

Como sabemos por el encabezado, la lista de las DLL comienza en el desplazamiento 0x18. Podemos ver que cada uno de los nombres de la DLL está precedido de un número:

Los números no se corresponden con un nombre de DLL: en dos módulos diferentes, la misma DLL tenía diferentes números asignados. Pero si sumamos todos los números, encontramos que su suma total es la misma que el número de DWORD en el IAT. Entonces, podemos adivinar que esos números están especificando cuántas funciones se importarán desde una DLL particular.

Podemos describirlo como la siguiente estructura (donde no se especifica la longitud del nombre):

typedef struct {
	WORD func_count;
	nombre del personaje;
} t_dll_name;

Entonces, el IAT viene como una lista de DWORDs:

Es común en el malware que cuando los nombres de la función no se dan como una cadena explícita, se importen mediante suma de comprobación. Lo mismo se hace en este caso. Adivinar la función apropiada que se usó para calcular la suma de comprobación puede ser más difícil. Afortunadamente, lo encontramos en el componente cargador:

Suma de comprobación DWORD (char * func_name)
{
  Resultado DWORD = 0x1505;
  while (* func_name)
    result = * func_name ++ + 33 * resultado;
  resultado de devolución;
}

Sabiendo que emparejamos las sumas de comprobación apropiadas con los nombres de las funciones:

Una vez que se recupera la dirección de la función, se almacena en el IAT en lugar de la suma de comprobación.

Reubicaciones

Crear una tabla de reubicación es simple. Consiste en la lista de DWORD que identifican los desplazamientos de los lugares en el código a los que debemos agregar la base donde se ha cargado el módulo. Sin las reubicaciones aplicadas, el módulo se bloqueará (por lo tanto, no es independiente de la posición como un shellcode típico).

Comparación con el formato PE

Si bien el formato PE es complejo, con una variedad de encabezados, este contiene solo elementos esenciales. La mayor parte de la información que generalmente se almacena en un encabezado PE se omite por completo aquí.

Puede ver un formato PE visualizado por Ange Albertini aquí .

Compárelo con la visualización del formato analizado actualmente:

Análisis estático

Podemos cargar este código en IDA como una burbuja de código sin formato. Sin embargo, estaremos perdiendo información importante. Debido al hecho de que el archivo no sigue una estructura PE, y su tabla de importación no es estándar, tendremos dificultades para entender qué llamadas API se están realizando con cada desplazamiento. Para resolver este problema, hice una herramienta que resuelve los hashes en nombres de funciones y genera un archivo TAG para marcar los desplazamientos donde se llenará la dirección de cada función.

Esas etiquetas se pueden cargar en IDA usando un  plugin IFL :

Teniendo todas las funciones API etiquetadas, es mucho más fácil entender qué acciones realiza el módulo. Aquí, por ejemplo, podemos ver que establecerá la conexión con el servidor C2:

Análisis dinámico

Este formato es personalizado, por lo que no es compatible con las herramientas típicas para el análisis. Sin embargo, después de entenderlo, podemos escribir nuestras propias herramientas, como el analizador sintáctico para los encabezados y el cargador, que ayudarán a ejecutar este formato y analizarlo dinámicamente.

A diferencia de PE, el módulo no tiene secciones. Por lo tanto, tenemos que cargarlo en una región de memoria continua con acceso RWX (lectura-escritura-ejecución). Al recorrer la lista de reubicaciones, agregaremos el valor de la base en la que se cargó el módulo a las direcciones enumeradas. Luego, tenemos que resolver las funciones importadas por sus valores hash y completar las direcciones en los procesos. Después de preparar la etapa, solo necesita saltar en el punto de entrada del módulo. Cargaremos el cargador preparado debajo del depurador y lo seguiremos hasta el punto de entrada del módulo cargado.

Simple pero raro

Los elementos descritos aquí son bastante simples: sirven como una primera etapa del paquete completo de malware, descargando otras piezas e inyectándolas en los procesos. Sin embargo, lo que los hace interesantes es el hecho de que sus autores han demostrado cierta creatividad y han decidido inventar un formato personalizado que es menos complejo que un PE completo, pero va un paso más allá de una pieza típica de shellcode.

Dicho módulo, a diferencia de Shellcode independiente, no es autosuficiente y no puede cargarse de manera trivial, sino que debe analizarse primero. Dado el hecho de que el formato es personalizado, no es compatible con las herramientas existentes. Aquí es donde las habilidades de programación son útiles para un analista de malware.

Afortunadamente, los formatos completamente personalizados son bastante poco comunes en el mundo del malware; por lo general, los autores dependen en gran medida de los formatos existentes, de vez en cuando corrompen o personalizan partes seleccionadas de los encabezados PE.

Venimos con noticias sobre el mantenimiento adecuado del sitio web y la limpieza general para la cantante Cardi B (o más bien, para su equipo de desarrollo web). A primera vista, parecía como si su sitio web hubiera sido pirateado hace unos días. Pero una mirada debajo del capó contaba una historia diferente.

Nos sorprendió ver el siguiente acecho en el sitio web oficial de Cardi B:

Click para agrandar

Ignore la ventana emergente de la política de privacidad. Los sitios web no pueden obtener suficiente de estos en estos días, gracias a GDPR . No, de lo que estamos hablando es de la peculiar explosión de texto de spam en toda la página. ¿Había sido comprometido? ¿O había algo más que culpar?

Click para agrandar

Las cosas ciertamente no se ven bien. Peor aún para la cantante, la página principal de su sitio promocionaba videos de spam similares:

Click para agrandar

Podría estar equivocado, pero no creo que sus fanáticos estén particularmente interesados ​​en los clics para falsificar transmisiones de películas y un partido de fútbol en el que participen Stoke City y Wigan Athletic. Los enlaces de spam también llegaron a la página de fotos:

Click para agrandar

Esas son definitivamente fotos, pero no tanto de un cantante cantando. ¿Lo que pasó aquí?

Parece que el sitio permite que las personas se registren como usuarios registrados y luego publiquen comentarios. En algún momento, esta característica ha atraído la ira de los remitentes de correo no deseado que descubrieron una forma de no solo enlucir páginas individuales con enlaces de spam, sino también alimentar dicho correo no deseado en varias secciones principales del sitio como un todo.

Publicamos extensamente sobre el tratamiento correcto de los comentarios publicados por los usuarios, y también hemos analizado cómo las cosas pueden salir mal con los  complementos y las herramientas de terceros . Cuando se trata de nuestro propio sitio, seguimos de cerca el spam, los comentarios moderados y las secciones de comentarios cerrados después de un cierto período de tiempo. Con la cantidad de basura flotando en la web, no puede permitirse el lujo de mantener una presencia ordenada en línea.

Si bien las páginas fraudulentas en cuestión parecen haberse eliminado, la simple búsqueda del sitio web Cardi B en Google revela el daño infligido a los resultados de búsqueda del sitio:

Click para agrandar

Los resultados de spam como este pueden llevar mucho tiempo para filtrarse fuera de los motores de búsqueda, y no es genial tener cosas como esa en la parte superior de las búsquedas junto con los resultados legítimos.

Click para agrandar

Hubo una limpieza desde que los fanáticos de Cardi B comenzaron a hablar de eso en las redes sociales. Aunque todavía puede acceder a la página de inicio de sesión para las cuentas de usuario existentes en el sitio, parece que se han deshabilitado los nuevos registros para que los administradores del sitio puedan recuperar todo bajo control.

Click para agrandar

Si bien un brote de spam nunca es bueno, especialmente cuando se extiende a su página de inicio, parece que los estafadores no tenían nada más que spam en mente, por lo que no hubo enlaces de malware. Sin embargo, lo que sí estaba en evidencia era una cantidad de enlaces cortadores de cookies a sitios de transmisión de video y clips de YouTube.

Click para agrandar

Con tantos enlaces spam y tedioso trabajo por hacer para verificar cada uno individualmente, no hay forma de garantizar que los destinos finales estén libres de daños. Si cree que puede haber terminado en algo que no sea una página de registro de videos o películas de YouTube a través de cualquiera de estos enlaces, entonces es una buena idea ejecutar algunos análisis antimalware en su PC y asegurarse de estar limpio.

En cuanto a Cardi B, es de esperar que los administradores del sitio puedan controlar el tipo de brotes de spam que han experimentado en los últimos días. Las características sociales para los usuarios de su sitio son geniales, pero esos servicios deben equilibrarse con moderación estricta y un límite en cuanto a dónde dichas características pueden llevarlo, incluso si se trata de Stoke City versus Wigan Athletic.

Tradicionalmente, los ataques de malware como siempre los hemos conocido son archivos escritos en el disco de una forma u otra que requieren ejecución para poder llevar a cabo su alcance malicioso. El malware sin archivos, por otro lado, está destinado a ser solo residente en memoria, idealmente sin dejar rastros después de su ejecución. La carga maliciosa existe dinámicamente y puramente en la memoria RAM, lo que significa que nunca se escribe nada directamente en la HD.

El objetivo de todo esto para el atacante es dificultar el análisis forense posterior a la infección. Además, esta forma de ataque hace que sea casi imposible que las firmas de los antivirus desencadenen una detección. En algunos casos específicos, como con SamSam , la única forma de recuperar una muestra para analizar sería detectar el ataque en vivo. Este es uno de los mayores desafíos cuando se trata de malware sin archivos.

Malware sin archivos: la serie

En esta serie de artículos, discutiremos los detalles técnicos de todos los tipos de malware sin archivos y sus ataques relacionados en profundidad. Vamos a cubrir una breve descripción general de los problemas y las características generales del malware sin archivos, sentando las bases para el análisis técnico en profundidad específico de varias muestras que emplean métodos sin archivos. Finalmente, terminaremos con algunos ataques y condiciones teóricos sin archivos.

Evolución de los ataques sin archivos

Antes de continuar, sería beneficioso echar un vistazo a un artículo que escribimos hace un par de años, que cubre los aspectos básicos de los ataques sin archivos.

Ahora, los ataques sin archivos no son necesariamente algo nuevo, ya que vimos malware residente en memoria en la naturaleza hace más de 15 años. Un ejemplo es el Virus Lehigh , en el que «rellena una parte no utilizada del código del archivo host en su espacio de pila, sin causar un aumento en el tamaño del host. Puede infectar otro archivo COMMAND.COM si se inserta un disco de DOS mientras el virus está en la memoria «.

Sin embargo, con el paso del tiempo, las técnicas y herramientas utilizadas para llevar a cabo estos ataques se han vuelto cada vez más avanzadas. De hecho, esta evolución es lo que ha hecho que el malware sin archivos reciba mucha atención entre los expertos en seguridad en los últimos años.

La progresión a lo largo de los años ha sido interesante:

• Como se mencionó con Lehigh, el virus infectado en realidad contenía el código malicioso y la carga útil en memoria.
• Avanzando en el tiempo, el malware como Poweliks  utilizó una Runkey «NULO» (que hace que el contenido sea invisible) en el registro para ejecutar JavaScript y usó PowerShell para ejecutar un script codificado oculto en otro lugar del registro. Esencialmente, la carga útil se almacenó en el registro, recuperación, decodificación y ejecución durante el tiempo de ejecución solamente.
• Los kits de exploits de hoy en día, como Magnitude EK , pueden transmitir la carga útil y ejecutarla sin soltarla primero en el disco.
• El malware como DNSMessenger  recupera el script de PowerShell malicioso de un servidor C2.
• SamSam  escribe una carga de malware cifrada en el disco, y solo se descifra cuando el atacante ejecuta manualmente una secuencia de comandos que introduce la contraseña de descifrado.

El problema con el malware sin archivos

Cuando un equipo de SOC o un ingeniero de seguridad interno monitorean la red de una compañía y reciben una alerta de actividad sospechosa durante la búsqueda de amenazas, solo pueden esperar que exista malware tradicional basado en archivos. ¿Por qué? Es mucho más fácil para ellos poder rastrear qué daño se ha hecho, así como también el alcance del ataque.

Tener rastros de un malware basado en archivos en la red le da al equipo SOC un punto de partida definitivo para revisar. Estos archivos permiten a los ingenieros rastrear los orígenes del malware y generalmente dan una idea clara de cómo se violaron la red. Ya sea por correo electrónico vinculado a una descarga maliciosa o un compromiso del sitio web, tener el historial de archivos proporciona una línea de tiempo limpia que, en última instancia, hace que el trabajo sea mucho más fácil. Aún más, tener el binario permite a los equipos SOC analizar el código y ver exactamente qué sucedió, y qué sistemas y datos fueron dirigidos.

Me gusta comparar el malware sin archivos con un ataque manual que un pirata informático podría llevar a cabo si obtenía acceso directo a una máquina remota. El malware sin archivos es, en muchos sentidos, idéntico al enfoque de piratería manual, pero en lugar de tener que arrastrarse por la víctima remota, el malware sin archivos se puede ejecutar automáticamente. En muchos casos, las mismas herramientas exactas utilizadas por el hacker manual son utilizadas por el malware sin archivos.

Por ejemplo, un ataque que utiliza la ejecución de scripts de PowerShell usa herramientas incorporadas de Windows para realizar actividad maliciosa. Dado que las herramientas como PowerShell suelen estar en la lista blanca (ya que se utilizan a diario para actividades no maliciosas), tanto los atacantes manuales como los malware sin archivos tienen a su disposición una herramienta gratuita para llevar a cabo el ataque. Esto hace que la actividad maliciosa sea mucho más difícil de rastrear para un equipo SOC. No hay un archivo para rastrear el historial de. El ingeniero de seguridad ahora debe mirar otros artefactos y eventos registrados para intentar llegar a una conclusión. Ya sea un ataque sin archivos o una violación manual, deja al ingeniero de seguridad con el mismo problema.

Mitigación

Ahora, hay formas de ayudar a combatir esto. Continúo llamándolo un problema porque manejar y prevenir este tipo de ataques es un proceso continuo. La diferencia entre el uso benigno de PowerShell y el uso malintencionado a veces puede ser minuto. Un ojo no entrenado puede observar la ejecución y actividad de PowerShell y no darse cuenta de que es malicioso en absoluto.

Alternativamente, a menudo ocurre exactamente lo contrario. El observador puede mirar un registro de actividad benigno y pensar que es sospechoso. El hecho de que discernir entre estas dos condiciones sea difícil incluso para los expertos en seguridad es la razón por la que este problema es increíblemente difícil de resolver con la tecnología moderna. Este tipo de ataques crea un escenario donde la solución no es una ciencia exacta. Es un problema continuo y se siguen realizando avances.

Como mencioné anteriormente, algunos de estos ataques crean un escenario de «vivir de la tierra» en el que aprovechan las herramientas integradas de Windows. Debido a esto, un método para evitar este ataque sería identificar la amenaza en su punto de entrega, antes de que llegue al sistema.

Déjame elaborar un poco. En el ejemplo de la explotación sin archivos / en el navegador, es importante probar primero y bloquear el ataque antes de que comience. Es por eso que Malwarebytes desarrolló tecnología como la mitigación de exploits en sus programas de software . Monitorear la memoria y examinar la cadena de ejecución es un gran primer paso para poder bloquear genéricamente estos ataques. Nuestra tecnología de mitigación de exploits ha demostrado históricamente ser efectiva contra este tipo de ataque. Sin embargo, incluso si el código puede infectar el sistema, una buena solución de protección de punto final puede identificar la actividad anómala, rastrear el código oculto y eliminarlo del sistema, lo que interrumpirá la capacidad del malware de reiniciarse después del reinicio.

Como expliqué, la lucha está en curso, y esa es la razón por la cual una gran parte de asegurarse de que estas amenazas no puedan causar daños también es responsabilidad del equipo SOC. Aplicar parches y habilitar el registro y el control de acceso son una precaución necesaria. El mantenimiento a veces puede marcar la diferencia como la primera y última línea de defensa. Esto también ayudará a acelerar el tiempo de reacción en caso de un compromiso.

Series futuras: tipos sin archivos y semi-sin archivos

El objetivo del resto de esta serie será cubrir los tipos de malware sin archivos y los ataques de los últimos cinco años. Las técnicas utilizadas en este grupo son más comunes y proporcionan una mejor preparación y conocimiento útil cuando se trata de futuros ataques de malware sin archivos.

Además, veremos no solo el malware puro sin archivos, sino también algunos ataques sin archivos. Por ejemplo,  Kovter utiliza caracteres que no son ASCII para crear claves de registro ilegibles que contienen JavaScript ofuscado. En este caso, la secuencia de comandos maliciosa técnicamente existe en el disco como claves de registro, sin embargo, no es un archivo en el disco en el sentido tradicional.

SamSam  es otro tipo de malware que considero semi-sin archivos, en el sentido de que después de obtener los archivos involucrados en el ataque, todavía no tienes suficiente información para analizar la carga útil. Si bien hay algunos archivos en el disco, como cargadores y cargas cifradas, la carga no se puede acceder a menos que intercepte el script que inició toda la cadena de eventos.

Sintonícese para la segunda parte de esta serie, donde trataremos los detalles técnicos de las diversas tácticas y técnicas utilizadas en los ataques de archivos actuales, haciendo referencia a muestras que utilizan estas técnicas en la naturaleza.

La primavera pasada, encontramos otra pieza de software de riesgo en Google Play que llamamos Android / PUP.Riskware.FakeGift . Según los caracteres hindi que se encuentran en el código, podemos suponer que proviene de la India. Con más de 50,000 instalaciones antes de ser removidas de Google Play, FakeGift aparentemente siguió dando frustración a sus usuarios, es decir.

Dinero en efectivo de regalo

Como su nombre lo indica, FakeGift solo ofrece regalos falsos. Es cierto que lo hace de una manera divertida. Así es como funciona: todos los días se le otorgan 10 «regalos» gratuitos. Como se muestra a continuación, después de la pantalla inicial, la página de inicio muestra una caja de regalo.

Presiona la caja de regalo y recibirás un «regalo» en rupias. La cantidad de rupias dotadas es aleatoria. La cantidad de talento se agrega a un equilibrio que se encuentra en la parte superior derecha de la pantalla.

Después de presionar la caja de regalo 10 veces, le hará saber que ya terminó el día, incluso después de cerrar y volver a abrir.

También puede acumular rupias presionando «Compartir», que lo redirige a WhatsApp. Tenga en cuenta que si no tiene Whatsapp, solo muestra un mensaje de error que dice: «Whatsapp no ​​está instalado en este dispositivo». Una vez en Whatsapp, simplemente elija una víctima … er … amigo para enviar un mensaje. En hindi, el mensaje dice:

सभी स्मार्टफोन यूजर ध्यान दे ऑनलाइन पैसे कमाने का एक बहुत ही सुनहरा अवसर हैं आपके पास, “ इसे एक बार जरूर पढ़े” | गिफ्ट मनी में आपका स्वागत हैं गिफ्ट मनी दे रहा हैं पैसे कमाने का एक सुनहरा मौका गिफ्ट खोले de Más पैसा कमाए | गिफ्ट मनी प्प में????????? ??? ???आप रोजाना 400-500 रूपए आसानी से कमा सकते हो | महीने के 15000 से 20000 रूपए आपकी इनकम हो सकती हैं | दोस्तों आपको 1 दिन में 10 गिफ्ट मिलेंगे उन गिफ्ट को आपको खोलना हैंआपके लक के अनुसार गिफ्ट में कितने भी रूपए निकल सकते हैं de Más गिफ्ट मनी आपको फ्री मेंगिफ्ट नहीं दे रहा हैं आपकोरोजाना अप्प में 10 मिनट का वर्क करना हैं उसी के पैसे आपको दे रहा हैं तो दोस्तों पैसे कमाने के इस अच्छे मोके को गवांये नहीं de Más अभी डाउनलोड करे de Más वर्क स्टार्ट कर दे | Descargar este enlace <enlace oculto de Google Play>

Traducción aproximada con Google Translate :

Todos los usuarios de teléfonos inteligentes prestan atención. ???El dinero en línea es una gran oportunidad para ganar dinero. «Debe leerlo una vez». में Bienvenido a Gift MoneyGift Money le brinda una oportunidad de oro para ganar dinero, abrir regalos y ganar dinero. Puede ganar fácilmente entre 400 y 500 rupias por día en la aplicación Gift Money. Puede ganar de 15,000 a 20000 rupias por mes. Amigos, recibirán 10 regalos en 1 día, deben abrir esos obsequios de acuerdo con su suerte, cuántas rupias pueden obtener en el obsequio y obsequiarles no es obsequiarles un obsequio. Tienes que trabajar 10 minutos diarios en el trabajo del dinero. Si lo estás dando, entonces los hombres no se pierden esta cosa buena para ganar dinero y descargarlo ahora y comenzar a trabajar. Descargar este enlace <enlace oculto de Google Play>?????

Cada mensaje de WhatsApp enviado es un adicional de 10 rupias.

FakeGift, el regalo que sigue dando … absolutamente nada

Después de acumular algunas rupias, puede presionar «Pago» desde la pantalla de inicio para canjear. Como se muestra a continuación, tiene tres opciones de pago.

Escogiendo PayPal , aparece este mensaje.

Traducción: para la transferencia de saldo en Paypel First Time debe ser de 5000 rupias. Después de eso, puede transferir el saldo diariamente. Gracias.

Aquí es donde se pone turbio. Después de acumular las 5,000 rupias requeridas, aún no puede transferir el dinero. Las críticas enojadas de Google Play muestran la decepción.

Una revisión (muy) se traduce aproximadamente como «El dinero tiene que ser 5000 cada vez que se corta dinero y no se agrega, esta es una aplicación falsa. Amigos, no pierdan su tiempo «.

La diversión termina

Aunque al principio es divertido, darse cuenta de que no hay premios al final convierte la diversión en frustración. Para muchos, esto viene solo después de compartir con múltiples amigos a través de WhatsApp. Con este método, la aplicación pudo obtener más de 50,000 instalaciones. Además, se encontró otra variante usando un nombre diferente, pero jugando el mismo juego. También recibió alrededor de 50,000 instalaciones. La buena noticia es que el único daño hecho es tiempo perdido y nada peor. Manténgase seguro allí!

La semana pasada en Labs, nos dimos un vistazo a las amenazas internas , dobla hacia atrás sobre la privacidad de las extensiones del navegador de búsqueda , perfilado estafas de tarjetas verdes , revisada Defcon  badgelife , y habló de lo que ocurre con las cuentas de un usuario cuando mueren .

Otras noticias de ciberseguridad

• Hubo un error de archivo en Twitch HQ. Desafortunadamente, eso dejó algunos mensajes de usuarios privados (incluso aquellos con información confidencial en ellos) expuestos al público durante un tiempo. (Fuente: Blog de seguridad desnuda de Sophos)
• Investigadores de la Universidad Católica descubrieron que las aplicaciones que ofrecen bloqueo de anuncios y privacidad pueden pasarse por alto . (Fuente: Blog de seguridad desnuda de Sophos)
• Investigadores asociados con Proyecto de Inseguridad encontraron una falla en los servicios de discapacidad en las empresas canadienses de telecomunicaciones. (Fuente: el Threatpost de Kaspersky)
• Facebook continuó limpiando la casa, eliminando más páginas de campañas que se originaron en Irán y Rusia para frenar el «comportamiento coordinado e inauténtico». (Fuente: Sala de prensa de Facebook)
• Un profesor de ciencias de la computación en la Universidad de Vanderbilt publicó un estudio de 55 páginas sobre cómo Google continúa recopilando datos sobre los usuarios, incluso cuando el dispositivo está inactivo. (Fuente: The Washington Post)
• Philips reveló que sus dispositivos de imágenes cardiovasculares tienen un defecto que podría proporcionar a un hacker de bajo nivel una «gestión de privilegios inapropiada». (Fuente: ZDNet)
• El proveedor de servicios Videomaker Animoto fue violado . (Fuente: TechCrunch)
• Ryuk, un nuevo ransomware, entrenó su punto de mira en grandes organizaciones capaces de pagar un rescate de alto valor en Bitcoin. (Fuente: ZDNet)
• El Grupo Lazarus de Corea del Norte lanzó su primer malware Mac e infiltró con éxito sistemas de TI de una plataforma de intercambio de criptomonedas con sede en Asia. (Fuente: Bleeping Computer)
• Superdrug, el popular minorista de salud y belleza con sede en el Reino Unido, fue violado . (Fuente: Revista InfoSecurity)
• Cobalt Dickens, una campaña que se originó en Irán, apuntó a universidades en 14 países para robar credenciales. (Fuente: SecureWorks)
• Los hackers ganan millones vendiendo comunicados de prensa inéditos. (Fuente: The Verge)

¡Mantente seguro, todos!

Gracias a @nullcookies por proporcionar clientes potenciales.

La mayoría de las estafas en línea dependen de dos cosas para tener éxito: un proceso quebrado u oneroso para tratar con una entidad legítima y una población objetivo desesperada. Con la inmigración, hay muchos, muchos procesos onerosos para navegar, y la mayoría de los solicitantes involucrados están al menos algo desesperados debido a los costos y los largos gastos de tiempo. El resultado es un entorno maduro para las estafas de tarjetas verdes.

Officialgreencardlottery.org (que, de hecho, ninguna de estas cosas) es un gran ejemplo de cómo tomar prestado el simbolismo y el lenguaje de las autoridades legítimas, combinado con comunicaciones auténticas limitadas de esas autoridades, puede crear un entorno propicio para estafar.

El sitio está diseñado profesionalmente, hasta un logotipo falso que se aproxima al logotipo del Departamento de Estado de los EE. UU. Lo más cerca posible de la legalidad. Hay muchas llamadas a la acción urgentes, con botones rojos «Aplicar hoy» en la mayoría de las páginas y advertencias extremas sobre lo que puede sucederle si su aplicación se ingresa demasiado tarde. Pero desplazándonos hacia abajo, vemos lo siguiente:

Que dice:

La Green Card Office de los EE. UU. No está afiliada al gobierno de los EE. UU. Ni a ninguna agencia gubernamental. Puede ingresar a la Lotería de Visas de Diversidad de los EE. UU. De forma gratuita en www.state.gov entre sus fechas de registro abiertas, que normalmente comienzan a principios de octubre de 2018. No somos una firma de abogados, no proporcionamos asesoramiento legal y no sustituimos a un abogado. Este sitio proporciona un servicio de revisión y presentación que requiere una tarifa.

Por lo tanto, no solo no están afiliados al gobierno de los EE. UU., No son abogados, y por lo tanto, probablemente no saben nada sobre la ley de inmigración y no pueden brindar ayuda significativa con los problemas de la tarjeta verde.

El DNS pasivo en el sitio no revela mucho, excepto sitios adicionales usa-dvprogram [.] Info y us-dvprogram [.] Info. Retroceder hasta la última resolución de IP muestra lo siguiente:

official-dvlottery.us, official-usagcl.org, officialusagcl.org, usagc-eligibility.online, usagclmessage1.online

Después de encontrar poco interés en la infraestructura de estafa, decidimos registrarnos como posible inmigrante y ver qué servicios se ofrecían.

Después de pagar $ 129 por el privilegio de entregar cierta información personal, de inmediato recibimos una «llamada de verificación» de un hombre con acento del sur de Asia. Preguntamos repetidamente sobre el proceso, cuándo se enviaría nuestra solicitud a los funcionarios pertinentes y cómo seguir adelante. El operador respondió con una venta difícil para «actualizar» nuestra aplicación para tener múltiples oportunidades de ganar. (Así no es como funciona la lotería real)

En ningún momento se nos proporcionó información sobre el proceso real, ni el operador divulgó en absoluto lo que su compañía haría por nosotros. En función de nuestra experiencia con la llamada, el proveedor no ofrece ningún tipo de servicio, pero con mucho gusto recibirá tanto dinero como cantidades significativas de datos personales. Como una estafa en general, la calificamos como B-.

Una pregunta que a veces surge con este tipo de estafas entre los defensores es a menudo, «¿Quién podría caer en la trampa?» La respuesta es típicamente «probablemente usted». Veamos por qué.

A continuación se muestra el sitio real de la tarjeta verde en https://www.dvlottery.state.gov:

A diferencia del sitio de estafa, el real no proporciona esencialmente información sobre lo que es la lotería o cómo aplicarla. Los significados de autenticidad están limitados a un pequeño logotipo en la esquina superior izquierda. No hay orientación sobre cómo obtener más información.

Por el contrario, el sitio de estafa proporciona información básica sobre lo que es la lotería, algunas estadísticas breves de la aplicación y una marca grande e importante en todo el sitio. Si a usted, un candidato potencial, se le presentaran ambos sitios, ¿cuál de ellos se  sentiría  más auténtico? ¿Cuál elegirías si tuvieras recursos financieros limitados y solo pudieras postular una vez? ¿Qué se sentiría más complaciente si tuvieras habilidades limitadas de inglés?

Lo que está sucediendo con este sitio de estafa y el sitio del Departamento de Estado de EE. UU. Más arriba es bastante similar a lo que vemos con soporte técnico legítimo y estafadores de soporte técnico. Una entidad oficial hace un mal trabajo de comunicación con su electorado, y eso crea un vacío que los estafadores están demasiado ansiosos por llenar. Entonces, si bien hay pasos concretos que puede tomar un usuario final para mantenerse a salvo de este tipo de cosas ( ver aquí ), las grandes empresas y las agencias gubernamentales también cargan con la culpa.

En lugar de descartar a la persona por haber caído en la estafa, una solución más viable para el personal de seguridad es colaborar en toda la empresa para garantizar que las comunicaciones corporativas no dejen espacio a los estafadores para explotarlas. ¿Su boletín de marketing parece una estafa? ¿Sus empleados de soporte se autentican a pedido? ¿Pueden verificar a terceros que trabajan con usted? Todos estos son problemas solucionables que pueden evitar que al menos una parte de los usuarios sean víctimas.

Una de las cosas más comunes que la mayoría de nosotros hacemos en Internet es buscar, ya sea que estemos buscando el último gadget o necesitamos encontrar la dirección de ese gran restaurante recomendado por un amigo. El vertiginoso número de consultas de búsqueda de Google por segundo (más de 40,000, en promedio) nos dice que hay mucho dinero para hacer mediante la publicidad en los resultados de búsqueda.

No solo los grandes nombres de la industria de la búsqueda son conscientes de este hecho. Otros quieren un pedazo del pastel, también. Pero, ¿qué pueden esperar lograr cuando su presupuesto no está cerca de los jugadores de marquesina, y uno de sus posibles competidores ha logrado convertir su marca en un verbo ?

Lo único que tiene sentido en este escenario es ofrecer algo que otros no tienen. Y con las brechas de datos recientes, el seguimiento en línea, la publicidad dirigida y otros eventos que amenazan la privacidad, todos nos preocupan por nuestra privacidad en línea, algunos desarrolladores inteligentes han creado  extensiones de navegador que prometen apartar las miradas de nuestras búsquedas.

Hemos notado bastantes nombres nuevos en esta incipiente industria. De hecho, algunos de ellos son tan similares en su publicidad, redacción, codificación y uso de imágenes, que no hay otra explicación además de que sus desarrolladores decidan que el poder radica en números: extensiones, nombres de marcas y nombres de dominio. Y todos están haciendo, o más bien no haciendo, lo mismo en un intento de hacer sonar la caja registradora.

En caso de que se pregunte si alguno de ellos vale la pena el tiempo que lleva instalarlos, la respuesta breve es no .

Investigación

Para investigar esta tendencia que hemos estado observando desde el verano de 2017, analizamos 25 extensiones que anuncian que ofrecen más privacidad durante las búsquedas. Una de las primeras cosas que notamos fue que más de la mitad de estas extensiones eran tan parecidas, las clasificamos como una sola familia.

Nuestro nombre genérico de detección para variantes más pequeñas que pertenecen a esta familia es PUP.Optional.SearchAlgo.Generic . Se llama así por el dominio que usa esta familia para enrutar sus búsquedas. Por lo que puedo decir, todos terminan mostrando resultados de búsqueda de Yahoo, pero esto no está codificado en la extensión, por lo que la redirección probablemente se decida sobre la marcha por el código en los servidores de searchalgo.com. Eso les facilitaría el cambio en caso de que reciban una oferta mejor que la de Yahoo Search.

Descompostura

Hemos examinado algunos de los mejores resultados encontrados mientras buscamos extensiones de búsqueda privadas, y encontramos varias similitudes nefastas o cuestionables. No es de extrañar que todas estas extensiones, no solo la de la familia «searchalgo», se hayan agregado a nuestras detecciones como programas potencialmente no deseados (PUP) . Aquí hay un desglose de lo que encontramos:

Protocolo: aunque algunas de las extensiones realmente usan el protocolo https para realizar sus búsquedas, la mayoría de ellas no. Esto nos deja deseando de inmediato más privacidad cuando presionamos el botón de búsqueda. El uso del protocolo https al menos dificultaría el espionaje.

Resultados: la tasa de división de aquellos que muestran sus resultados en un sitio propio y aquellos que simplemente nos redireccionan a la Búsqueda de Yahoo es aproximadamente de cincuenta y cincuenta.

Código: Revisamos el código de las extensiones para ver si los desarrolladores prestaban atención a la privacidad de la búsqueda o los resultados de búsqueda. No encontramos ningún rastro de tal código.

Navegadores: la  mayoría de las extensiones que encontramos solo estaban disponibles para Chrome. Algunos fueron pensados ​​para Firefox. Probablemente esto se deba a la participación de mercadomucho mayor para Chrome en este momento.

Los detalles técnicos

Al observar el código de una de las principales familias, podemos ver que esta es la rutina de búsqueda principal:

 

En caso de que tenga esperanzas cuando descubrió la palabra «codificar», la función encodeURIComponent () codifica un componente de Identificador uniforme de recursos (URI) al reemplazar cada instancia de ciertos caracteres por una, dos, tres o cuatro secuencias de escape que representan el Codificación UTF-8 del personaje. Esto solo se usa para garantizar que ciertos caracteres especiales, como las barras diagonales inversas, no se lean como código. Entonces, no hay mejora de privacidad allí.

Como se mencionó anteriormente, una de las familias más grandes en esta categoría usa su propio dominio para redirigir las búsquedas al motor de búsqueda establecido más rentable.

Lo más rentable para los autores de la extensión debe ser Yahoo Search por el aspecto de los resultados. Otros obtienen resultados de un motor de búsqueda popular y agregan su propio encabezado y algunos «anuncios» para ganar dinero.

Funcionalidad extra

Algunas de estas extensiones de búsqueda también prometen una funcionalidad adicional. Hemos visto variantes que prometen especializarse en:

• Música
• Películas
• Juegos
• Descargas

Y generalmente, cuando visita los dominios que se enumeran como el origen de la extensión en la tienda web, descubrirá que anuncian estas extensiones de búsqueda especializadas, pero no sus extensiones que mejoran la privacidad.

 

Descubrimos que algunas de estas extensiones son anteriores al aumento de las extensiones de búsqueda de privacidad, pero aún usan el mismo código, imágenes y dominios de búsqueda. Por ejemplo,  WowMovix .com ha estado presente desde finales de 2015 y hasta la fecha todavía usa el dominio de búsqueda searchalgo.

¿Es posible que hayan cambiado el esquema de comercialización y no el código subyacente?

Privacidad en línea

Por supuesto, apreciamos el deseo de las personas de tener más privacidad en línea. Pero para aquellos tentados por la promesa de privacidad mejorada durante las búsquedas en línea, tenemos algunas alternativas mejores:

• Antes que nada, debería echar un vistazo a esta publicación sobre publicidad basada en intereses y qué puede hacer al respecto.
• Además, recomendamos usar una herramienta menos limitada para bloquear el seguimiento . Hay muchos que bloquean el seguimiento en cada sitio que visita, no solo durante las búsquedas.
• O bien, puede anonimizar su tráfico de Internet mediante el uso de una VPN .

Detener publicidad

Uno de los efectos secundarios de todas las extensiones de «búsqueda de privacidad» que vimos fue la afluencia adicional de anuncios. Si desea detenerlos, ya sea que estén orientados o no, debería echarle un vistazo a esta publicación sobre bloqueo de anuncios , así como a esta sobre qué bloqueadores de anuncios desea usar y cómo instalarlos.

La respuesta larga

Aunque los editores de estas extensiones intentan decirnos que se puede obtener privacidad durante sus búsquedas en línea, somos de la opinión de que existen muchas formas mejores de lograr ese nivel de privacidad que instalar estas extensiones. No tuvimos tiempo para buscar y examinar cada extensión que promete mantener privadas sus búsquedas, pero tenemos razones para creer que la mayoría de ellas están más interesadas en sus ingresos personales que en su privacidad. Le aconsejamos que considere una de las otras opciones con un impacto más amplio en su privacidad, como VPN, herramientas anti-seguimiento, tomando otras medidas contra la publicidad basada en intereses.