HACKERS SE INFILTRAN EN SITIOS WEB EXPLOTANDO NUEVA VULNERABILIDAD EN DRUPAL

Algunas versiones del sistema de administración de contenido presentan una vulnerabilidad crítica que los deja expuestos a ataques de ejecución remota de código

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la presencia de una vulnerabilidad crítica en Drupal, el  popular sistema de administración de contenido.

La vulnerabilidad (CVE-2019-6340) existe porque “algunos tipos de campos no sanean correctamente los datos de fuentes que no son formularios”, menciona el equipo encargado de Drupal, que es un proyecto de código abierto. “Esto podría conducir a la ejecución de código arbitrario”, afirman los especialistas en seguridad en redes.

En días recientes Drupal lanzó las correcciones para actualizar las versiones de 8.6.x hasta 8.6.10, además de Drupal 8.5.x y anteriores a 8.5.11. “No se requiere una actualización del núcleo para Drupal 7, pero varios módulos requieren ser actualizados”.

Según los desarrolladores de Drupal, las versiones del sistema de administración de contenido podrían verse en riesgo si se presenta alguna de las siguientes condiciones:

• Drupal 8 Web Services: Un sitio solo se ve afectado por esto si tiene habilitado el módulo de servicios web RESTful y permite las solicitudes PATCH o POST
• Otros módulos de servicios web: “El sitio tiene otro módulo de servicios web habilitado, como JSON: API en Drupal 8, o Servicios o Servicios web RESTful en Drupal 7

Drupal dice que si bien la versión 7 del módulo de servicios web no está en riesgo, es altamente recomendable aplicar todas las actualizaciones posibles.

Los especialistas en seguridad en redes mencionan que la vulnerabilidad puede ser mitigada desactivando los módulos de servicios web o configurando los servicios para no todas las solicitudes PUT, PATCH, o POST a los recursos de los servicios web.

El equipo del proyecto también observa que cualquier versión de Drupal que sea 8.5.x o anterior ha llegado a su fecha de vencimiento y no recibirá más soporte.

Troy Mursch, especialista en ciberseguridad, mencionó que los hackers han estado explotando esta vulnerabilidad, infiltrándose en sitios web de forma masiva. “Hemos encontrado exploraciones relacionadas con Drupal que intentan usar el método CHANGELOG.txt para localizar sitios vulnerables al error CVE-2019-6340.

Drupal es uno de los sistemas de administración de contenido más populares del mundo, sólo después de Joomla y WordPress, que abarca un 60% del total de este mercado. Acorde a las estimaciones de sus desarrolladores, más de 1 millón de sitios web utilizan Drupal actualmente.

El año pasado, Drupal dio a conocer que alrededor de 500 sitios web habían sido atacados por grupos de hackers desconocidos explotando una vulnerabilidad de ejecución remota de código con el propósito de minar la criptomoneda Monero.

Entre las víctimas de este ataque se encontraban Lenovo, el Zoológico de San Diego y la oficina del Inspector General de la Comisión de Igualdad de Oportunidades Laborales en E.U., entre otros usuarios del sistema de administración de contenido.

Read More

USUARIOS DE INSTAGRAM VÍCTIMAS DE CAMPAÑA DE INVERSIONES FALSAS

Múltiples víctimas, la mayoría jóvenes de entre 18 y 25 años,  son invitadas a invertir a través de anuncios en la app; después los estafadores desaparecen

Autoridades británicas reportan un incremento en la actividad de algunos grupos criminales en línea, sobre todo los que aseguran incrementar inversiones en poco tiempo. En este caso, acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, las víctimas reciben promesas de altos rendimientos después de sólo 24 horas, pero los criminales toman el dinero para desaparecer poco tiempo después.

Durante los últimos 5 meses las autoridades británicas han recibido más de 300 denuncias sobre este tipo de fraude, y las pérdidas acumulan más de 3 millones de euros, sin considerar a las víctimas que no han presentado denuncias.

Acorde a los expertos en seguridad en redes, la estafa comienza con un anuncio en la app de Instagram. En éste, se invita a las víctimas a transferir diversas cantidades (600 euros en promedio), prometiéndoles ganancias casi automáticas. Cuando las víctimas envían el dinero a los estafadores, reciben de vuelta capturas de pantalla con sus supuestas ganancias acumulándose en una cuenta bancaria.

Posteriormente los atacantes incitan a las víctimas a incrementar su inversión, además les mencionan que sus ganancias pueden ser liberadas pagando una cuota, por lo que una sola víctima podría llegar a perder miles de euros.

Después viene lo peor: los estafadores cierran las cuentas de Instagram, dejan de contactar a las víctimas y desaparecen llevándose consigo el dinero.

Acorde a expertos en seguridad en redes, los estafadores recurren al uso de imágenes de aspecto profesional, además pueden prometer descuentos especiales en algunos comercios, consejos de inversión en “acciones secretas”, entre otra información relacionada con el mercado de valores.

Según una firma de ciberseguridad, existen más de dos millones de publicaciones potencialmente fraudulentas en Instagram, fraude apodado por el gobierno de Reino Unido como ‘money-flipping’. Action Fraud, una oficina de concientización sobre el fraude en territorio británico, mencionó en un reporte: “Los criminales siempre tratarán de aprovecharse de las redes sociales, pues se han vuelto parte de la vida cotidiana de las personas”.

Action Fraud insiste en que nunca se debe enviar dinero a desconocidos en línea, además invita a los usuarios a denunciar cualquier publicación potencialmente fraudulenta ante las autoridades competentes.

Read More

FALSO RECAPTCHA ESCONDE MALWARE EN APPS DE ANDROID

En esta campaña de phishing los atacantes se hacen pasar por Google en ataques contra las instituciones bancarias y sus usuarios

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva campaña de phishing que apunta hacia usuarios de servicios bancarios en línea. Los operadores de la campaña se hacen pasar por Google para tratar de obtener las credenciales de acceso de las víctimas.

La campaña ha impactado a una institución bancaria en Polonia y a sus clientes. Los atacantes han hecho pasar el ataque como un sistema de reCAPTCHA de Google y además usan el chantaje y la intimidación para que las víctimas hagan clic en los enlaces maliciosos incluidos en los emails enviados por los operadores de la campaña.

Los mensajes que los atacantes envían contienen información falsa sobre transacciones recientes con un enlace a un archivo malicioso. En el mensaje, los atacantes solicitan a la víctima que verifique las transacciones haciendo clic en el enlace.

Aunque hasta ahora esta campaña no parece diferente a cualquier ataque de phishing, especialistas en seguridad en redes afirman que esta campaña es fácilmente distinguible en su segunda etapa. En lugar de redirigir a la víctima a una réplica del sitio web legítimo, la víctima encuentra una página falsa de error 404.

La página tiene una cantidad de agentes de usuario específicamente definidos que están limitados a los rastreadores de Google. Si la solicitud no está relacionada con el rastreador de Google, en otras palabras, los motores de búsqueda alternativos están en uso, entonces el script PHP en su lugar carga un Google reCAPTCHA falso compuesto de JavaScript y HTML estático.

“La página muestra una réplica muy buena del reCAPTCHA de Google. Sin embargo, debido a que se basa en elementos estáticos. Las imágenes mostradas siempre serán las mismas, a menos que se cambie la codificación del PHP malicioso”, reportan los especialistas en seguridad en redes. “Además, a diferencia del reCAPTCHA legítimo, no es compatible con la reproducción de audio”.

Luego se vuelve a verificar el agente del navegador para determinar cómo ha visitado la víctima la página. Una vez ahí, los usuarios encontrarán un APK maliciosa reservada para los usuarios de Android que completan el CAPTCHA y descargan la carga útil.

Algunas muestras de este software malicioso ya han sido analizadas. En la mayoría de los casos puede ser encontrado en su forma de Android y puede leer el estado, la ubicación y los contactos de un dispositivo móvil; escanear y enviar mensajes SMS, realizar llamadas telefónicas, grabar audio y robar otra información confidencial.

Acorde a especialistas en seguridad en redes, algunas soluciones antivirus han detectado a este troyano como Banker, BankBot, Evo-gen, Artemis, entre otros nombres.

El pasado mes de enero, especialistas en seguridad en redes descubrieron una campaña de phishing relacionada con el troyano Anubis. Los especialistas descubrieron dos apps en Google Play (un convertidor de divisas y un software de ahorro de energía) cargados con malware listo para activarse en cuanto el usuario interactuara con su dispositivo.

Por último, los investigadores afirman que el malware trató de evitar que recurrieran al uso de un entorno de sandbox usando los datos del sensor de movimiento para detonar su ejecución.

Read More

HACKERS SE INFILTRAN EN SITIOS WEB EXPLOTANDO NUEVA VULNERABILIDAD EN DRUPAL

Algunas versiones del sistema de administración de contenido presentan una vulnerabilidad crítica que los deja expuestos a ataques de ejecución remota de código

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la presencia de una vulnerabilidad crítica en Drupal, el  popular sistema de administración de contenido.

La vulnerabilidad (CVE-2019-6340) existe porque “algunos tipos de campos no sanean correctamente los datos de fuentes que no son formularios”, menciona el equipo encargado de Drupal, que es un proyecto de código abierto. “Esto podría conducir a la ejecución de código arbitrario”, afirman los especialistas en seguridad en redes.

En días recientes Drupal lanzó las correcciones para actualizar las versiones de 8.6.x hasta 8.6.10, además de Drupal 8.5.x y anteriores a 8.5.11. “No se requiere una actualización del núcleo para Drupal 7, pero varios módulos requieren ser actualizados”.

Según los desarrolladores de Drupal, las versiones del sistema de administración de contenido podrían verse en riesgo si se presenta alguna de las siguientes condiciones:

• Drupal 8 Web Services: Un sitio solo se ve afectado por esto si tiene habilitado el módulo de servicios web RESTful y permite las solicitudes PATCH o POST
• Otros módulos de servicios web: “El sitio tiene otro módulo de servicios web habilitado, como JSON: API en Drupal 8, o Servicios o Servicios web RESTful en Drupal 7

Drupal dice que si bien la versión 7 del módulo de servicios web no está en riesgo, es altamente recomendable aplicar todas las actualizaciones posibles.

Los especialistas en seguridad en redes mencionan que la vulnerabilidad puede ser mitigada desactivando los módulos de servicios web o configurando los servicios para no todas las solicitudes PUT, PATCH, o POST a los recursos de los servicios web.

El equipo del proyecto también observa que cualquier versión de Drupal que sea 8.5.x o anterior ha llegado a su fecha de vencimiento y no recibirá más soporte.

Troy Mursch, especialista en ciberseguridad, mencionó que los hackers han estado explotando esta vulnerabilidad, infiltrándose en sitios web de forma masiva. “Hemos encontrado exploraciones relacionadas con Drupal que intentan usar el método CHANGELOG.txt para localizar sitios vulnerables al error CVE-2019-6340.

Drupal es uno de los sistemas de administración de contenido más populares del mundo, sólo después de Joomla y WordPress, que abarca un 60% del total de este mercado. Acorde a las estimaciones de sus desarrolladores, más de 1 millón de sitios web utilizan Drupal actualmente.

El año pasado, Drupal dio a conocer que alrededor de 500 sitios web habían sido atacados por grupos de hackers desconocidos explotando una vulnerabilidad de ejecución remota de código con el propósito de minar la criptomoneda Monero.

Entre las víctimas de este ataque se encontraban Lenovo, el Zoológico de San Diego y la oficina del Inspector General de la Comisión de Igualdad de Oportunidades Laborales en E.U., entre otros usuarios del sistema de administración de contenido.

Read More

USUARIOS DE INSTAGRAM VÍCTIMAS DE CAMPAÑA DE INVERSIONES FALSAS

Múltiples víctimas, la mayoría jóvenes de entre 18 y 25 años,  son invitadas a invertir a través de anuncios en la app; después los estafadores desaparecen

Autoridades británicas reportan un incremento en la actividad de algunos grupos criminales en línea, sobre todo los que aseguran incrementar inversiones en poco tiempo. En este caso, acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, las víctimas reciben promesas de altos rendimientos después de sólo 24 horas, pero los criminales toman el dinero para desaparecer poco tiempo después.

Durante los últimos 5 meses las autoridades británicas han recibido más de 300 denuncias sobre este tipo de fraude, y las pérdidas acumulan más de 3 millones de euros, sin considerar a las víctimas que no han presentado denuncias.

Acorde a los expertos en seguridad en redes, la estafa comienza con un anuncio en la app de Instagram. En éste, se invita a las víctimas a transferir diversas cantidades (600 euros en promedio), prometiéndoles ganancias casi automáticas. Cuando las víctimas envían el dinero a los estafadores, reciben de vuelta capturas de pantalla con sus supuestas ganancias acumulándose en una cuenta bancaria.

Posteriormente los atacantes incitan a las víctimas a incrementar su inversión, además les mencionan que sus ganancias pueden ser liberadas pagando una cuota, por lo que una sola víctima podría llegar a perder miles de euros.

Después viene lo peor: los estafadores cierran las cuentas de Instagram, dejan de contactar a las víctimas y desaparecen llevándose consigo el dinero.

Acorde a expertos en seguridad en redes, los estafadores recurren al uso de imágenes de aspecto profesional, además pueden prometer descuentos especiales en algunos comercios, consejos de inversión en “acciones secretas”, entre otra información relacionada con el mercado de valores.

Según una firma de ciberseguridad, existen más de dos millones de publicaciones potencialmente fraudulentas en Instagram, fraude apodado por el gobierno de Reino Unido como ‘money-flipping’. Action Fraud, una oficina de concientización sobre el fraude en territorio británico, mencionó en un reporte: “Los criminales siempre tratarán de aprovecharse de las redes sociales, pues se han vuelto parte de la vida cotidiana de las personas”.

Action Fraud insiste en que nunca se debe enviar dinero a desconocidos en línea, además invita a los usuarios a denunciar cualquier publicación potencialmente fraudulenta ante las autoridades competentes.

Read More

FALSO RECAPTCHA ESCONDE MALWARE EN APPS DE ANDROID

En esta campaña de phishing los atacantes se hacen pasar por Google en ataques contra las instituciones bancarias y sus usuarios

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva campaña de phishing que apunta hacia usuarios de servicios bancarios en línea. Los operadores de la campaña se hacen pasar por Google para tratar de obtener las credenciales de acceso de las víctimas.

La campaña ha impactado a una institución bancaria en Polonia y a sus clientes. Los atacantes han hecho pasar el ataque como un sistema de reCAPTCHA de Google y además usan el chantaje y la intimidación para que las víctimas hagan clic en los enlaces maliciosos incluidos en los emails enviados por los operadores de la campaña.

Los mensajes que los atacantes envían contienen información falsa sobre transacciones recientes con un enlace a un archivo malicioso. En el mensaje, los atacantes solicitan a la víctima que verifique las transacciones haciendo clic en el enlace.

Aunque hasta ahora esta campaña no parece diferente a cualquier ataque de phishing, especialistas en seguridad en redes afirman que esta campaña es fácilmente distinguible en su segunda etapa. En lugar de redirigir a la víctima a una réplica del sitio web legítimo, la víctima encuentra una página falsa de error 404.

La página tiene una cantidad de agentes de usuario específicamente definidos que están limitados a los rastreadores de Google. Si la solicitud no está relacionada con el rastreador de Google, en otras palabras, los motores de búsqueda alternativos están en uso, entonces el script PHP en su lugar carga un Google reCAPTCHA falso compuesto de JavaScript y HTML estático.

“La página muestra una réplica muy buena del reCAPTCHA de Google. Sin embargo, debido a que se basa en elementos estáticos. Las imágenes mostradas siempre serán las mismas, a menos que se cambie la codificación del PHP malicioso”, reportan los especialistas en seguridad en redes. “Además, a diferencia del reCAPTCHA legítimo, no es compatible con la reproducción de audio”.

Luego se vuelve a verificar el agente del navegador para determinar cómo ha visitado la víctima la página. Una vez ahí, los usuarios encontrarán un APK maliciosa reservada para los usuarios de Android que completan el CAPTCHA y descargan la carga útil.

Algunas muestras de este software malicioso ya han sido analizadas. En la mayoría de los casos puede ser encontrado en su forma de Android y puede leer el estado, la ubicación y los contactos de un dispositivo móvil; escanear y enviar mensajes SMS, realizar llamadas telefónicas, grabar audio y robar otra información confidencial.

Acorde a especialistas en seguridad en redes, algunas soluciones antivirus han detectado a este troyano como Banker, BankBot, Evo-gen, Artemis, entre otros nombres.

El pasado mes de enero, especialistas en seguridad en redes descubrieron una campaña de phishing relacionada con el troyano Anubis. Los especialistas descubrieron dos apps en Google Play (un convertidor de divisas y un software de ahorro de energía) cargados con malware listo para activarse en cuanto el usuario interactuara con su dispositivo.

Por último, los investigadores afirman que el malware trató de evitar que recurrieran al uso de un entorno de sandbox usando los datos del sensor de movimiento para detonar su ejecución.

Read More

10 MIL DÓLARES DE RECOMPENSA PARA EL HACKER QUE REPORTÓ VULNERABILIDAD EN YAHOO MAIL

La vulnerabilidad podría haber sido utilizada para extraer los mensajes de los usuarios e inyectar de código malicioso sus mensajes salientes

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que Yahoo ha corregido una vulnerabilidad crítica de scripts entre sitios (XSS) en el servicio de Yahoo Mail. La vulnerabilidad podría haber sido explotada por usuarios maliciosos para extraer mensajes de las víctimas, incluso para inyectar código malicioso en la bandeja de salida.

La vulnerabilidad podría haber sido explotada por grupos de hackers para reenviar los correos de las víctimas a sitios web externos bajo su control, incluso podrían haber conseguido hacer cambios en la configuración de las cuentas de Yahoo Mail comprometidas para realizar otras actividades no autorizadas.

Los especialistas en seguridad en redes creen que esta vulnerabilidad está relacionada con una inadecuada filtración de código HTML malicioso en las plataformas de correo electrónico. Esta vulnerabilidad XSS fue descubierta alojada en Yahoo Mail a finales del año pasado, aunque Yahoo pudo corregirla hasta enero de 2019. El investigador que reportó la vulnerabilidad a la compañía fue recompensado con 10 mil dólares.

Originario de Finlandia, Jouko Pynnönen, el experto en seguridad en redes que reportó la vulnerabilidad, mencionó que no le es posible revelar detalles técnicos sobre la vulnerabilidad debido a que Oath, empresa propietaria de Yahoo, así se lo ha solicitado, aunque sí mencionó que se relaciona con el filtrado de código HTML.

Pynnönen ha descubierto otras fallas similares en el pasado. Por ejemplo, en 2015 reportó otra vulnerabilidad XSS en Yahoo Mail por la que también le fue otorgada una recompensa. Esa falla en específico podría haber permitido a un hacker enviar emails con código JavaScript oculto, mismo que se ejecutaría una vez que el usuario interactuara con el mensaje.

Asimismo, en 2016 el experto descubrió una nueva vulnerabilidad XSS en el mismo servicio de email, que podría haber expuesto los mensajes personales de cualquier usuario, por la que también recibió una recompensa de 10 mil dólares de parte de Yahoo.

Read More

NUEVA VARIANTE DE ATAQUE CONTRA REDES 4G Y 5G

Estas nuevas técnicas permiten el uso de dispositivos de intercepción de comunicaciones

Durante un reciente evento dedicado a los expertos en seguridad en redes, un equipo de investigadores dio a conocer una serie de vulnerabilidades en redes de telefonía móvil que impactan los protocolos 4G y 5G LTE.

En su investigación, titulada “Violaciones de privacidad contra los protocolos de telefonía celular 4G y 5G”, los expertos afirman que las nuevas variantes de ataque podrían permitir acceso remoto a las telecomunicaciones evadiendo las medidas de seguridad implementadas en estos protocolos, con lo que de nueva cuenta posible el uso de dispositivos IMSI (como el conocido StingRay) para la intercepción de señales de telefonía móvil.

A continuación, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética describen la forma de desplegar estas nuevas variantes de ataques:

• Ataque TORPEDO

Este ataque explota el protocolo de búsqueda en telefonía móvil, permitiendo a los usuarios maliciosos rastrear la ubicación del dispositivo de la víctima. Gracias a esto, los atacantes pueden inyectar mensajes de búsqueda especialmente diseñados para generar condiciones de denegación de servicio (DoS).

Si un equipo no establece comunicación activa con una red celular, éste ingresa en un modo inactivo para ahorrar batería. Antes de que una llamada o mensaje de texto llegue a un dispositivo, la red celular le envía un mensaje de búsqueda para que reconozca la llamada o el mensaje entrantes; este mensaje incluye también un valor conocido como Identidad Temporal del Suscriptor (TMSI), este valor no cambia muy frecuentemente.

Los especialistas en seguridad en redes descubrieron que si un atacante llama y cuelga las llamadas repetidas veces en un lapso breve, la base actualiza el valor TMSI con más frecuencia de lo normal al enviar los mensajes de búsqueda. Si un atacante detecta estos mensajes de búsqueda usando un dispositivo IMSI, puede verificar si la víctima se encuentra dentro de un rango donde sea posible interceptar sus comunicaciones.

Los especialistas en seguridad en redes afirman que el ataque TORPEDO impacta a los protocolos 4G y 5G; también agregan que este ataque fue probado contra proveedores de servicios de telefonía móvil en Estados Unidos y Canadá.

• Ataques de cracking de IMSI y PIERCER

Además de lo mencionado anteriormente, el ataque TORPEDO parece habilitar otras dos variantes de ataques, llamados IMSI cracking y PIERCER.

El ataque de exposición de información por red CORE (PIERCING) existe debido a un error de diseño y permite a los atacantes vincular el IMSI de la víctima con su número de teléfono.

“Algunos proveedores de servicios utilizan IMSI en lugar de TMSI en los mensajes de búsqueda para identificar los dispositivos con servicios pendientes”, mencionan los expertos en su documento. Una prueba manual reveló que es posible dar al proveedor del servicio la impresión de que se está produciendo un caso excepcional que lo obliga a revelar el IMSI de la víctima”, concluyeron los expertos.

Con el número de IMSI de la víctima, los atacantes pueden lanzar otras variantes de ataques descubiertos con anterioridad, con lo que podrían usar receptores IMSI para tener acceso completo a las comunicaciones telefónicas de las víctimas.

Read More

HACKERS ATTACK WEBSITES EXPLOITING NEW VULNERABILITY IN DRUPAL

Some versions of the content management system present a critical vulnerability that leaves them exposed to remote code execution attacks

Network security and ethical hacking specialists from the International Institute of Cyber Security report the presence of a critical vulnerability in Drupal, the popular content management system.

Vulnerability (CVE-2019-6340) exists because “some types of fields do not properly heal data from non-forms sources”, mentions the Drupal team, which is an open source project. “This could lead to arbitrary code execution,” said network security specialists.

In recent days Drupal released the fixes to update the versions of 8.6.x to 8.6.10, as well as Drupal 8.5.x and previous to 8.5.11. “A kernel update is not required for Drupal 7, but several modules need to be updated”.

According to Drupal developers, content management system versions might be at risk if any of the following conditions are present:

• Drupal 8 Web services: A site is only affected by this if you have the RESTful Web Services Module enabled and allow PATCH or POST requests
• Other Web services modules: “The site has another enabled web services module, such as JSON: API in Drupal 8 , or RESTful Web services or services in Drupal 7

Drupal says that although version 7 of the Web Services module is not at risk, it is highly recommended to apply all possible updates.

Network security specialists mention that vulnerability can be mitigated by disabling Web service modules or configuring services for not all PUT, PATCH, or POST requests to Web services resources.

The project team also notes that any version of Drupal that is 8.5.x or earlier has reached its expiration date and will not receive more support.

Troy Mursch, a cybersecurity specialist, mentioned that hackers have been exploiting this vulnerability, infiltrating on websites on a massive scale. “We have found Drupal-related scans that try to use the CHANGELOG.txt method to locate sites that are vulnerable to the CVE-2019-6340 error.

Drupal is one of the most popular content management systems in the world, only after Joomla and WordPress, which covers 60% of the total of this market. According to developers, more than 1 million websites are currently using Drupal.

Last year, Drupal announced that around 500 websites had been attacked by groups of unknown hackers exploiting remote code execution vulnerability in order to mine the cryptocurrency Monero.

Among the victims of this attack were Lenovo, the San Diego Zoo and the office of the Inspector General of the U.S. Equal Employment Opportunities Commission, among other users of the content management system.

Read More

INSTAGRAM USERS BECOME VICTIMS OF FAKE INVESTMENT CAMPAIGN

Multiple victims, mostly young people between the ages of 18 and 25, are invited to invest through an ad in the app; then the scammers disappear

British authorities report an increase in the activity of some online criminal groups, especially those that claim to increase investments in a short time. In this case, according to network security and ethical hacking specialists from the International Institute of Cyber Security, victims receive promises of high returns after only 24 hours, but criminals take the money to disappear shortly thereafter.

Over the past 5 months, the British authorities have received more than 300 allegations about this type of fraud, and the losses accumulate over £3M, without considering the victims who have not filed allegations.

According to experts in network security, the scam starts with an ad in the Instagram app. In this, victims are invited to transfer various amounts (£600 on average), promising gains almost automatic. When the victims send the money to scammers, they receive back screenshots with their supposed profits piling up in a bank account.

Later the attackers incite the victims to increase their investment, also mentioning that their earnings can be released paying a fee, so that a single victim could lose thousands of pounds.

Then worst part comes later: scammers close their Instagram accounts, stop contacting the victims and disappear taking the money with them.

According to experts in network security, scammers resort to the use of professional-looking images, and can also promise special discounts in some stores, investment tips in “secret stocks”, among other information related to the stock market.

According to a cybersecurity firm, there are more than two million potentially fraudulent Instagram posts, fraud dubbed by the UK governmentas ‘money-flipping’. Action Fraud, an office of fraud awareness in British territory, mentioned in a report: “Criminals will always try to take advantage of social networks, because they have become part of the daily life of people”.

Action fraud insists that money should never be sent to strangers online, and also invites users to report any potentially fraudulent publication to the competent authorities.

Read More

FAKE RECAPTCHA HIDES MALWARE IN ANDROID APPS

In this phishing campaign the attackers are impersonating Google in attacks against banking institutions and their users

Network security and ethical hacking specialists from the International Institute of Cyber Security report the emergence of a new phishing campaign that targets online banking users. Campaign operators are impersonating Google to try to get the victim’s access credentials.

The campaign has impacted a banking institution in Poland and its customers. Attackers have passed the raid as a Google reCAPTCHA system and also use blackmail and intimidation for victims to click on malicious links included in emails sent by campaign operators.

The messages that the attackers send contain fake information about recent transactions with a link to a malicious file. In the message, attackers ask the victim to verify the transactions by clicking on the link.

Although so far this campaign does not seem different from any phishing attacks, network security specialists claim that this campaign is easily distinguishable in its second stage. Instead of redirecting the victim to a replica of the legitimate Web site, the victim finds a fake 404 error page.

The page has a number of specifically defined user agents that are limited to Google crawlers. If the request is not related to the Google crawler, in other words, alternative search engines are in use; then the PHP script instead loads a fake Google reCAPTCHA composed of JavaScript and static HTML.

“The page shows a very good replica of Google’s reCAPTCHA. However, because it is based on static elements, the images shown will always be the same, unless the malicious PHP coding is changed”, network security specialists report. “In addition, unlike legitimate reCAPTCHA, it is not compatible with audio playback”.

The browser agent is then re-verified to determine how the victim has visited the page. Once there, users will find a malicious APK reserved for Android users who complete the CAPTCHA and download the payload.

Some samples of this malicious software have already been analyzed. In most cases it can be found in its Android form and can read the status, location and contacts of a mobile device; Scan and send SMS messages, make phone calls, record audio and steal other sensitive information.

According to specialists in network security, some antivirus solutions have detected this Trojan as banker, BankBot, Evo-Gen, Artemis, among other names.

Last January, network security specialists discovered a phishing campaign related to the Anubis Trojan. The specialists discovered two apps in Google Play (a currency converter and energy saving software) loaded with malware ready to be activated as soon as the user interacted with his device.

Finally, the investigators claim that the malware tried to prevent them from resorting to using a sandbox environment using the motion sensor data to detonate their execution.

Read More

A $10K USD BOUNTY FOR THE HACKER WHO REPORTED CRITICAL VULNERABILITY IN YAHOO MAIL

The vulnerability could have been used to extract messages from users and to inject malicious code their outgoing messages

Network security and ethical hacking specialists from the International Institute of Cyber Security reported that Yahoo has corrected a critical cross-site scripting vulnerability (XSS) in the Yahoo Mail service. The vulnerability could have been exploited by malicious users to extract messages from the victims, even to inject malicious code into their outgoing messages.

The vulnerability could have been exploited by groups of hackers to extract the victims’ emails and forward them to external websites under their control; they might even have managed to make changes to the configuration of compromised Yahoo Mail accounts to perform other unauthorized activities.

Network security specialists believe that this vulnerability is related to inadequate filtering of malicious HTML code on email platforms. This XSS vulnerability was discovered hosted in Yahoo Mail at the end of last year, although Yahoo could fix it until January 2019. The investigator who reported the vulnerability to the company was rewarded with $10k USD.

Finland born, Jouko Pynnönen, the network security expert who reported the vulnerability, mentioned that it is not possible to disclose technical details about the vulnerability because Oath, Yahoo proprietary company, has asked for it, but he did mention that it’s related to Yahoo Mail HTML-code filtering.

Pynnönen has discovered other similar flaws in the past. For example, in 2015 reported XSS vulnerability in Yahoo Mail which was also granted a reward. That specific flaw could have allowed a hacker to send emails with hidden JavaScript code, which would run once the user interacted with the message.

In addition, in 2016 the expert discovered a new vulnerability XSS in the same email service, which could have exposed the personal messages of any user, which also received a reward a $10k USD bounty from Yahoo.

Read More

NEW ATTACK VARIANT AGAINST 4G AND 5G NETWORKS

These new techniques allow the use of communication intercepting devices again

During a recent event dedicated to network security experts, a team of researchers unveiled a set of vulnerabilities in mobile networks that impact 4G and 5G LTE protocols.

In their research, entitled “Privacy attacks against 4G and 5G cell phone protocols,” experts say that new attack variants could allow remote access to telecommunications by evading security measures implemented in these protocols, which brings back again the possible use of IMSI devices (like the known StingRay) for the interception of mobile telephony signals.

Then, network security and ethical hacking specialists from the International Institute of Cyber Security describe how these new attack variants work:

• Torpedo attack

This attack exploits the paging protocol in mobile telephony, allowing malicious users to trace the location of the victim’s device. Because of this, attackers can inject specially designed paging messages to generate denial-of-service (DoS) conditions.

If a device does not establish active communication with a cellular network, it enters into a kind of battery saving mode. Before a call or text message reaches a device, the cellular network sends it a paging message to recognize the incoming call or message; this message also includes a value known as the Temporary Mobile Subscriber Identity (TMSI), this value does not change very frequently.

Network security specialists found that if an attacker calls and hangs phonecalls repeatedly over a short period of time, the database updates the TMSI value more often than usual when sending the paging messages. If an attacker detects these search messages using an IMSI device, it can verify whether the victim is within a range where it is possible to intercept their communications.

Network security specialists say the Torpedo attack impacts 4G and 5G protocols; they also add that this attack was tested against mobile phone service providers in the United States and Canada.

• IMSI cracking and Piercer attacks

In addition to the aforementioned, the Torpedo attack seems to enable two other variants of attacks, called IMSI cracking and PIERCER.

Persistent Information Exposure by the Core Network (PIERCER) attack exists due to a design error and allows attackers to link the victim’s IMSI to their phone number.

“Some service providers use IMSI instead of TMSI in paging messages to identify devices with outstanding services,” the experts mention in their paper. A manual test revealed that it is possible to give the service provider the impression that an exceptional case is occurring that forces him to disclose the victim’s IMSI,” the experts concluded.

With the victim’s IMSI number, attackers can launch other variants of previously discovered attacks, thereby using IMSI receptors to have full access to victims’ phone communications.

Read More

10 MIL DÓLARES DE RECOMPENSA PARA EL HACKER QUE REPORTÓ VULNERABILIDAD EN YAHOO MAIL

La vulnerabilidad podría haber sido utilizada para extraer los mensajes de los usuarios e inyectar de código malicioso sus mensajes salientes

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que Yahoo ha corregido una vulnerabilidad crítica de scripts entre sitios (XSS) en el servicio de Yahoo Mail. La vulnerabilidad podría haber sido explotada por usuarios maliciosos para extraer mensajes de las víctimas, incluso para inyectar código malicioso en la bandeja de salida.

La vulnerabilidad podría haber sido explotada por grupos de hackers para reenviar los correos de las víctimas a sitios web externos bajo su control, incluso podrían haber conseguido hacer cambios en la configuración de las cuentas de Yahoo Mail comprometidas para realizar otras actividades no autorizadas.

Los especialistas en seguridad en redes creen que esta vulnerabilidad está relacionada con una inadecuada filtración de código HTML malicioso en las plataformas de correo electrónico. Esta vulnerabilidad XSS fue descubierta alojada en Yahoo Mail a finales del año pasado, aunque Yahoo pudo corregirla hasta enero de 2019. El investigador que reportó la vulnerabilidad a la compañía fue recompensado con 10 mil dólares.

Originario de Finlandia, Jouko Pynnönen, el experto en seguridad en redes que reportó la vulnerabilidad, mencionó que no le es posible revelar detalles técnicos sobre la vulnerabilidad debido a que Oath, empresa propietaria de Yahoo, así se lo ha solicitado, aunque sí mencionó que se relaciona con el filtrado de código HTML.

Pynnönen ha descubierto otras fallas similares en el pasado. Por ejemplo, en 2015 reportó otra vulnerabilidad XSS en Yahoo Mail por la que también le fue otorgada una recompensa. Esa falla en específico podría haber permitido a un hacker enviar emails con código JavaScript oculto, mismo que se ejecutaría una vez que el usuario interactuara con el mensaje.

Asimismo, en 2016 el experto descubrió una nueva vulnerabilidad XSS en el mismo servicio de email, que podría haber expuesto los mensajes personales de cualquier usuario, por la que también recibió una recompensa de 10 mil dólares de parte de Yahoo.

Read More

NUEVA VARIANTE DE ATAQUE CONTRA REDES 4G Y 5G

Estas nuevas técnicas permiten el uso de dispositivos de intercepción de comunicaciones

Durante un reciente evento dedicado a los expertos en seguridad en redes, un equipo de investigadores dio a conocer una serie de vulnerabilidades en redes de telefonía móvil que impactan los protocolos 4G y 5G LTE.

En su investigación, titulada “Violaciones de privacidad contra los protocolos de telefonía celular 4G y 5G”, los expertos afirman que las nuevas variantes de ataque podrían permitir acceso remoto a las telecomunicaciones evadiendo las medidas de seguridad implementadas en estos protocolos, con lo que de nueva cuenta posible el uso de dispositivos IMSI (como el conocido StingRay) para la intercepción de señales de telefonía móvil.

A continuación, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética describen la forma de desplegar estas nuevas variantes de ataques:

• Ataque TORPEDO

Este ataque explota el protocolo de búsqueda en telefonía móvil, permitiendo a los usuarios maliciosos rastrear la ubicación del dispositivo de la víctima. Gracias a esto, los atacantes pueden inyectar mensajes de búsqueda especialmente diseñados para generar condiciones de denegación de servicio (DoS).

Si un equipo no establece comunicación activa con una red celular, éste ingresa en un modo inactivo para ahorrar batería. Antes de que una llamada o mensaje de texto llegue a un dispositivo, la red celular le envía un mensaje de búsqueda para que reconozca la llamada o el mensaje entrantes; este mensaje incluye también un valor conocido como Identidad Temporal del Suscriptor (TMSI), este valor no cambia muy frecuentemente.

Los especialistas en seguridad en redes descubrieron que si un atacante llama y cuelga las llamadas repetidas veces en un lapso breve, la base actualiza el valor TMSI con más frecuencia de lo normal al enviar los mensajes de búsqueda. Si un atacante detecta estos mensajes de búsqueda usando un dispositivo IMSI, puede verificar si la víctima se encuentra dentro de un rango donde sea posible interceptar sus comunicaciones.

Los especialistas en seguridad en redes afirman que el ataque TORPEDO impacta a los protocolos 4G y 5G; también agregan que este ataque fue probado contra proveedores de servicios de telefonía móvil en Estados Unidos y Canadá.

• Ataques de cracking de IMSI y PIERCER

Además de lo mencionado anteriormente, el ataque TORPEDO parece habilitar otras dos variantes de ataques, llamados IMSI cracking y PIERCER.

El ataque de exposición de información por red CORE (PIERCING) existe debido a un error de diseño y permite a los atacantes vincular el IMSI de la víctima con su número de teléfono.

“Algunos proveedores de servicios utilizan IMSI en lugar de TMSI en los mensajes de búsqueda para identificar los dispositivos con servicios pendientes”, mencionan los expertos en su documento. Una prueba manual reveló que es posible dar al proveedor del servicio la impresión de que se está produciendo un caso excepcional que lo obliga a revelar el IMSI de la víctima”, concluyeron los expertos.

Con el número de IMSI de la víctima, los atacantes pueden lanzar otras variantes de ataques descubiertos con anterioridad, con lo que podrían usar receptores IMSI para tener acceso completo a las comunicaciones telefónicas de las víctimas.

Read More

HACKERS ATTACK WEBSITES EXPLOITING NEW VULNERABILITY IN DRUPAL

Some versions of the content management system present a critical vulnerability that leaves them exposed to remote code execution attacks

Network security and ethical hacking specialists from the International Institute of Cyber Security report the presence of a critical vulnerability in Drupal, the popular content management system.

Vulnerability (CVE-2019-6340) exists because “some types of fields do not properly heal data from non-forms sources”, mentions the Drupal team, which is an open source project. “This could lead to arbitrary code execution,” said network security specialists.

In recent days Drupal released the fixes to update the versions of 8.6.x to 8.6.10, as well as Drupal 8.5.x and previous to 8.5.11. “A kernel update is not required for Drupal 7, but several modules need to be updated”.

According to Drupal developers, content management system versions might be at risk if any of the following conditions are present:

• Drupal 8 Web services: A site is only affected by this if you have the RESTful Web Services Module enabled and allow PATCH or POST requests
• Other Web services modules: “The site has another enabled web services module, such as JSON: API in Drupal 8 , or RESTful Web services or services in Drupal 7

Drupal says that although version 7 of the Web Services module is not at risk, it is highly recommended to apply all possible updates.

Network security specialists mention that vulnerability can be mitigated by disabling Web service modules or configuring services for not all PUT, PATCH, or POST requests to Web services resources.

The project team also notes that any version of Drupal that is 8.5.x or earlier has reached its expiration date and will not receive more support.

Troy Mursch, a cybersecurity specialist, mentioned that hackers have been exploiting this vulnerability, infiltrating on websites on a massive scale. “We have found Drupal-related scans that try to use the CHANGELOG.txt method to locate sites that are vulnerable to the CVE-2019-6340 error.

Drupal is one of the most popular content management systems in the world, only after Joomla and WordPress, which covers 60% of the total of this market. According to developers, more than 1 million websites are currently using Drupal.

Last year, Drupal announced that around 500 websites had been attacked by groups of unknown hackers exploiting remote code execution vulnerability in order to mine the cryptocurrency Monero.

Among the victims of this attack were Lenovo, the San Diego Zoo and the office of the Inspector General of the U.S. Equal Employment Opportunities Commission, among other users of the content management system.

Read More

INSTAGRAM USERS BECOME VICTIMS OF FAKE INVESTMENT CAMPAIGN

Multiple victims, mostly young people between the ages of 18 and 25, are invited to invest through an ad in the app; then the scammers disappear

British authorities report an increase in the activity of some online criminal groups, especially those that claim to increase investments in a short time. In this case, according to network security and ethical hacking specialists from the International Institute of Cyber Security, victims receive promises of high returns after only 24 hours, but criminals take the money to disappear shortly thereafter.

Over the past 5 months, the British authorities have received more than 300 allegations about this type of fraud, and the losses accumulate over £3M, without considering the victims who have not filed allegations.

According to experts in network security, the scam starts with an ad in the Instagram app. In this, victims are invited to transfer various amounts (£600 on average), promising gains almost automatic. When the victims send the money to scammers, they receive back screenshots with their supposed profits piling up in a bank account.

Later the attackers incite the victims to increase their investment, also mentioning that their earnings can be released paying a fee, so that a single victim could lose thousands of pounds.

Then worst part comes later: scammers close their Instagram accounts, stop contacting the victims and disappear taking the money with them.

According to experts in network security, scammers resort to the use of professional-looking images, and can also promise special discounts in some stores, investment tips in “secret stocks”, among other information related to the stock market.

According to a cybersecurity firm, there are more than two million potentially fraudulent Instagram posts, fraud dubbed by the UK governmentas ‘money-flipping’. Action Fraud, an office of fraud awareness in British territory, mentioned in a report: “Criminals will always try to take advantage of social networks, because they have become part of the daily life of people”.

Action fraud insists that money should never be sent to strangers online, and also invites users to report any potentially fraudulent publication to the competent authorities.

Read More

FAKE RECAPTCHA HIDES MALWARE IN ANDROID APPS

In this phishing campaign the attackers are impersonating Google in attacks against banking institutions and their users

Network security and ethical hacking specialists from the International Institute of Cyber Security report the emergence of a new phishing campaign that targets online banking users. Campaign operators are impersonating Google to try to get the victim’s access credentials.

The campaign has impacted a banking institution in Poland and its customers. Attackers have passed the raid as a Google reCAPTCHA system and also use blackmail and intimidation for victims to click on malicious links included in emails sent by campaign operators.

The messages that the attackers send contain fake information about recent transactions with a link to a malicious file. In the message, attackers ask the victim to verify the transactions by clicking on the link.

Although so far this campaign does not seem different from any phishing attacks, network security specialists claim that this campaign is easily distinguishable in its second stage. Instead of redirecting the victim to a replica of the legitimate Web site, the victim finds a fake 404 error page.

The page has a number of specifically defined user agents that are limited to Google crawlers. If the request is not related to the Google crawler, in other words, alternative search engines are in use; then the PHP script instead loads a fake Google reCAPTCHA composed of JavaScript and static HTML.

“The page shows a very good replica of Google’s reCAPTCHA. However, because it is based on static elements, the images shown will always be the same, unless the malicious PHP coding is changed”, network security specialists report. “In addition, unlike legitimate reCAPTCHA, it is not compatible with audio playback”.

The browser agent is then re-verified to determine how the victim has visited the page. Once there, users will find a malicious APK reserved for Android users who complete the CAPTCHA and download the payload.

Some samples of this malicious software have already been analyzed. In most cases it can be found in its Android form and can read the status, location and contacts of a mobile device; Scan and send SMS messages, make phone calls, record audio and steal other sensitive information.

According to specialists in network security, some antivirus solutions have detected this Trojan as banker, BankBot, Evo-Gen, Artemis, among other names.

Last January, network security specialists discovered a phishing campaign related to the Anubis Trojan. The specialists discovered two apps in Google Play (a currency converter and energy saving software) loaded with malware ready to be activated as soon as the user interacted with his device.

Finally, the investigators claim that the malware tried to prevent them from resorting to using a sandbox environment using the motion sensor data to detonate their execution.

Read More

A $10K USD BOUNTY FOR THE HACKER WHO REPORTED CRITICAL VULNERABILITY IN YAHOO MAIL

The vulnerability could have been used to extract messages from users and to inject malicious code their outgoing messages

Network security and ethical hacking specialists from the International Institute of Cyber Security reported that Yahoo has corrected a critical cross-site scripting vulnerability (XSS) in the Yahoo Mail service. The vulnerability could have been exploited by malicious users to extract messages from the victims, even to inject malicious code into their outgoing messages.

The vulnerability could have been exploited by groups of hackers to extract the victims’ emails and forward them to external websites under their control; they might even have managed to make changes to the configuration of compromised Yahoo Mail accounts to perform other unauthorized activities.

Network security specialists believe that this vulnerability is related to inadequate filtering of malicious HTML code on email platforms. This XSS vulnerability was discovered hosted in Yahoo Mail at the end of last year, although Yahoo could fix it until January 2019. The investigator who reported the vulnerability to the company was rewarded with $10k USD.

Finland born, Jouko Pynnönen, the network security expert who reported the vulnerability, mentioned that it is not possible to disclose technical details about the vulnerability because Oath, Yahoo proprietary company, has asked for it, but he did mention that it’s related to Yahoo Mail HTML-code filtering.

Pynnönen has discovered other similar flaws in the past. For example, in 2015 reported XSS vulnerability in Yahoo Mail which was also granted a reward. That specific flaw could have allowed a hacker to send emails with hidden JavaScript code, which would run once the user interacted with the message.

In addition, in 2016 the expert discovered a new vulnerability XSS in the same email service, which could have exposed the personal messages of any user, which also received a reward a $10k USD bounty from Yahoo.

Read More

NEW ATTACK VARIANT AGAINST 4G AND 5G NETWORKS

These new techniques allow the use of communication intercepting devices again

During a recent event dedicated to network security experts, a team of researchers unveiled a set of vulnerabilities in mobile networks that impact 4G and 5G LTE protocols.

In their research, entitled “Privacy attacks against 4G and 5G cell phone protocols,” experts say that new attack variants could allow remote access to telecommunications by evading security measures implemented in these protocols, which brings back again the possible use of IMSI devices (like the known StingRay) for the interception of mobile telephony signals.

Then, network security and ethical hacking specialists from the International Institute of Cyber Security describe how these new attack variants work:

• Torpedo attack

This attack exploits the paging protocol in mobile telephony, allowing malicious users to trace the location of the victim’s device. Because of this, attackers can inject specially designed paging messages to generate denial-of-service (DoS) conditions.

If a device does not establish active communication with a cellular network, it enters into a kind of battery saving mode. Before a call or text message reaches a device, the cellular network sends it a paging message to recognize the incoming call or message; this message also includes a value known as the Temporary Mobile Subscriber Identity (TMSI), this value does not change very frequently.

Network security specialists found that if an attacker calls and hangs phonecalls repeatedly over a short period of time, the database updates the TMSI value more often than usual when sending the paging messages. If an attacker detects these search messages using an IMSI device, it can verify whether the victim is within a range where it is possible to intercept their communications.

Network security specialists say the Torpedo attack impacts 4G and 5G protocols; they also add that this attack was tested against mobile phone service providers in the United States and Canada.

• IMSI cracking and Piercer attacks

In addition to the aforementioned, the Torpedo attack seems to enable two other variants of attacks, called IMSI cracking and PIERCER.

Persistent Information Exposure by the Core Network (PIERCER) attack exists due to a design error and allows attackers to link the victim’s IMSI to their phone number.

“Some service providers use IMSI instead of TMSI in paging messages to identify devices with outstanding services,” the experts mention in their paper. A manual test revealed that it is possible to give the service provider the impression that an exceptional case is occurring that forces him to disclose the victim’s IMSI,” the experts concluded.

With the victim’s IMSI number, attackers can launch other variants of previously discovered attacks, thereby using IMSI receptors to have full access to victims’ phone communications.

Read More