PROBIV: El mercado negro más famoso para buscar trabajo o comprar cosas ilegales

En la actualidad, existe una plataforma de ventas ilegales que puede resolverle muchos problemas a los ciber delincuentes y afectarnos a todos los demás, mencionan los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS).

En esta plataforma, llamada Probiv, un criminal puede encontrar a la venta  información para poder robar a toda una empresa o un esposo celoso puede conseguir los datos del teléfono celular de su esposa, su ubicación en tiempo real y todo lo que tiene en su cuenta de WhatsApp.

Imagina esta plataforma de ventas como la combinación de Amazon y Fiverr. Se trata de un sitio que ya tiene una gran reputación establecida y a la que cualquier persona puede acceder para obtener información, productos o trabajos a un precio muy accesible.

Amazon y Fiverr, como sabrás, son dos plataformas muy famosas en el mundo digital actual. El primero es conocido por ofrecer una amplia variedad de artículos a la venta, generalmente ubicados en diferentes categorías. Es a Amazon a donde vamos cuando queremos comprar algo que llegue directamente a la puerta de nuestra casa con sólo unos cuantos clics. Por otro lado, Fiverr, mencionan los expertos en forense digital, es a donde la gente recurre cuando busca un servicio o trabajo rápido y barato. Los servicios ofrecidos en Fiverr comienzan desde tan sólo 5 dólares americanos.

Probiv, es una combinación de ambos sitios pero con todo tipo de servicios o información a la venta, sin absolutamente ninguna restricción.

Lo más sencillo sería pensar que Probiv es sólo para los cibercriminales de ligas mayores; sin embargo, la realidad es otra. Esta plataforma es utilizada por mucha gente, desde usuarios principiantes hasta las personas más comunes que puedas imaginar, principalmente debido a que esta plataforma no se encuentra en la deep web.

Esta plataforma nació en el año 2014, como respuesta a una necesidad de ventas muy especializadas, de información, productos y servicios muchas veces ilegales. 

Probiv, que en ruso es un término coloquial para decir “búsqueda”, es una plataforma que actualmente cuenta con millones de publicaciones y cientos de miles de miembros.  Cuando comenzó, era solo un foro de forense digital y cibercriminales dedicados a la venta de información especializada. Hoy en día, no solo ha crecido en ofertas y categorías a la venta, sino que está disponible para casi cualquier persona que esté interesada en unirse. Por lo mismo, su popularidad ha crecido exponencialmente.

En Probiv puedes encontrar productos o servicios listados a diferentes precios. Servicios que podrían afectarte a ti o a tu empresa.

Sus ventas están divididas, básicamente en dos categorías. Existe la venta de información o de servicios y la venta de productos, incluyendo productos conseguidos de manera ilegal.

Venta de información o servicios

Los expertos en forense digital mencionan que la venta de información en esta plataforma ofrece datos actualizados en tiempo real que proviene directamente de los empleados o ex empleados de alguna organización o empresa.

Aquí los precios varían dependiendo de la sensibilidad de la información solicitada y el riesgo que podría implicar para el proveedor de la misma, pero generalmente no son precios tan altos. En Provib se vende información desde sólo 10 dólares americanos. El comprador y el vendedor suelen comunicarse a través de mensajes privados dentro del mismo foro, por medio de Jabber IDs o cuentas  de Telegram. 

Servicios Bancarios

Hay casos en los que las personas no pueden abrir una cuenta bancaria porque no tienen todos los requisitos requeridos. Existen personas viviendo de manera ilegal en algún país o huyendo de la justicia; sin embargo, por medio de esta plataforma lo podrían hacer. En Probiv los vendedores de servicios ofrecen abrir cuentas bancarias a cambio de una tarifa. Ellas las obtienen con documentos de otros ciudadanos registrados o con la ayuda de empleados del banco a quienes no les importa otorgar estas cuentas con tal de obtener ingresos adicionales. Dentro de estos servicios, también hay algunos empleados bancarios que están totalmente dispuestos a vender datos de clientes, como saldos, retiros, pagos y estados de cuenta, mencionan los expertos en forense digital. Adicionalmente ofrecen hacer chequeos o verificaciones ilegales de antecedentes bancarios de alguna persona o empresa.

Aún más, si alguien está solicitando un préstamo pero el banco lo ha rechazado, los vendedores en Probiv se encargan de que sea aprobado. Esto lo hacen con la ayuda de los empleados del banco, usando una dirección verificable del país que requieras.

Otro tipo de información que se vende dentro de estos servicios, es información de tarjetas de crédito. La venta ilegal de tarjetas de crédito no es algo nuevo; sin embargo, a diferencia de otros foros ilegales, la información que se vende en Probiv no proviene de filtraciones de datos de bancos que sufrieron algún ciberataque, sino que estas son obtenidas por empleados o exempleados directamente del banco, por lo que es información actualizada al momento.

Servicios de Telecomunicaciones

En esta plataforma también existe una amplia variedad de vendedores de servicios de telecomunicaciones. Esta proviene de vendedores con acceso a los datos de una compañía de telefonía celular. Dentro de los servicios que ofrecen está la posibilidad de brindar detalles de las llamadas, los registros de SMS y la ubicación del teléfonos de clientes de las empresas en donde trabajan. Desafortunadamente, la mayoría de los compradores de estos servicios son parejas celosas que quieren los detalles de las llamadas y la ubicación en tiempo real de sus esposos o esposas.

Otro servicio que se ofrece es ayudarte a obtener una tarjeta SIM de cualquier país sin una identificación oficial.

Algunos vendedores de esta sección incluso ofrecen hacer llamadas de secuestro o llamadas falsas para cualquier propósito. El criminal que compra este servicio, sólo tiene que  especificar la llamada que necesita y un proveedor de la plataforma lo hace por una tarifa.

Tan sólo hace algunos años, dos empleados de soporte de una conocida empresa de telecomunicaciones fueron arrestados por fotografiar datos en sus teléfonos y enviarlos a sus clientes dentro de esta plataforma.

Servicios de Agencias Gubernamentales

En muchos casos las personas que trabajan en departamentos gubernamentales no cuentan con un salario alto; sin embargo, los especialistas en forense digital señalan que estos empleados sí cuentan con acceso a una gran cantidad de información importante.

Un servicio muy popular en este foro proviene del departamento encargado de manejar impuestos. Los vendedores de Probiv ofrecen servicios de evasión fiscal, lo que significa que pueden modificar tus datos fiscales en el sistema para que no tengas que pagar impuestos. También venden detalles sobre empresas, como para estar al tanto de algún competidor o persona importante. Por supuesto, estos servicios son más costosos que otros. Por si fuera poco, algunos empleados de estos departamentos incluso ofrecen a la venta secretos financieros de empresas.

Otro servicio es  borrar los antecedentes penales

Las empresas contratantes de empleados suelen solicitar una verificación de antecedentes penales cuando estás aplicando para un nuevo trabajo. En Probiv, los vendedores se encargan de borrar historiales criminales. Incluso hay policías corruptos que ofrecen sus servicios en esta plataforma. Además, algunos empleados del gobierno ofrecen su ayuda para resolver problemas legales con alguna institución gubernamental.

Otros proveedores gubernamentales ofrecen información proveniente del departamento de pasaportes, información personal como la que se encuentra en las licencias de conducir, los registros de compras de bienes raíces, etc. Los expertos en forense digital mencionan que incluso hay anuncios sobre cómo conseguir electricidad gratis. Al parecer hay vendedores que dan cursos de cómo modificar los medidores de luz.

Tráfico de información privilegiada

En Probiv, también se venden secretos empresariales. Esto porque puede haber muchas empresas interesadas en los secretos de sus competidores, como cuáles son sus productos en proceso de desarrollo, sus nuevas estrategias de marketing o incluso hasta escándalos personales que involucren a algún propietario de una empresa y que podrían afectar el costo de las acciones. Esta última información se puede utilizar para comprar o vender acciones antes de que todo el mundo la sepa, obteniendo así grandes beneficios monetarios, mencionan los expertos en forense digital.

Servicios independientes

Hay vendedores independientes en este foro que ofrecen votos en línea, para ganar un concurso de popularidad por ejemplo. Otro servicio en el que muchas personas estarían interesadas es el ayudarte a pasar exámenes en línea o entrevistas telefónicas. Algún vendedor de Probiv puede aprobar el examen o la entrevista que debes hacer por teléfono o en línea y conseguirte así el trabajo o la carrera de tus sueños.

Venta de productos

La venta de productos aquí es muy similar a otros foros ilegales pero accesibles para quien sea. Por supuesto, los precios variarán según el producto, desde cientos hasta miles de dólares. Estos productos son ofrecidos principalmente por empleados que trabajan en empresas muy específicas o incluso en departamentos gubernamentales.

Documentos de identificación y lavado de dinero

En esta sección se incluyen a la venta pasaportes, licencias de conducir y títulos universitarios de diferentes países. Ofrecen una amplia variedad de títulos, desde licenciaturas hasta maestrías, aseguran los expertos en forense digital. Estos regularmente han sido comprados a empleados que trabajan en diferentes universidades de diferentes países.

Cartas de recomendación

También hay vendedores que ofrecen cartas de recomendación que puedes usar para solicitar un nuevo trabajo o en el proceso de ingreso a una nueva escuela. Por lo general, los vendedores son personas con información privilegiada, trabajando en diferentes empresas y que puedan darte una carta de recomendación con el sello original de su empresa o institución.

Boletos de avión y reserva de hoteles

Existen muchos vendedores de boletos de avión y de reserva de hoteles a precios muy bajos. Estos son comprados regularmente utilizando cuentas de millas robadas o aprovechando las vulnerabilidades de algunos sitios de reserva. 

Dispositivos médicos y suplementos medicinales

También se vende el acceso a medicamentos, dispositivos médicos y suplementos de salud totalmente ilegales. La mayoría de los vendedores que los ofrecen son empleados de hospitales gubernamentales.

Adicionalmente se venden teléfonos robados, productos de supermercado, ropa, computadoras, productos de diseñador e imitaciones.

¿Quién está dispuesto a vender todos estos servicios?

En este foro ilegal, incluso se encuentran ofertas de trabajo anunciadas. en Probiv tienen atractivas ofertas de trabajo como segundo empleo para personas que tienen puestos en bancos, compañías de telecomunicaciones, farmacéuticas y departamentos gubernamentales como inmigración, etc. La típica persona que acepta una oferta de trabajo aquí, es un hombre o mujer joven, trabajando en una posición baja pero en un departamento o empresa importante, regularmente con bajos ingresos y en búsqueda de un trabajo adicional de tiempo parcial.

Los que sí han sido atrapados vendiendo información ilegal han sido asistentes de ventas, gerentes, empleados de empresas de telefonía celular o bancos con datos fácilmente disponibles, mencionan los expertos en forense digital.

Debido a la naturaleza del trabajo y los servicios que se venden, no manejan un gran número de solicitudes a la vez, lo que los mantiene relativamente seguros. Después de todo, toda la existencia y el proceso de Probiv está basada en empleados dispuestos a arriesgar sus puestos dentro de una organización o empresa.

Pagos

Los pagos en Probiv generalmente se realizan a través de escrows o custodiadores. Los expertos en forense digital mencionan que estos custodiadores son terceros intermediarios, que reciben y desembolsan el dinero para las partes que realizan la transacción.

El acuerdo regularmente funciona de esta manera, después de que se ha acordado una venta, servicio o trabajo, el comprador envía sus fondos al tercero neutral conocido como escrow o custodiador. Después, ya que el comprador haya confirmado que la información, el producto o trabajo que recibió del vendedor es lo que se acordó, el custodiador le entrega el dinero al vendedor. El custodiador de los fondos también cobra un porcentaje por los servicios prestados. Este sistema de pagos de alguna manera ayuda a crear garantías y a reducir las posibilidades de que los usuarios sean víctimas de una estafa.

Teniendo esta información y sabiendo que existe este foro y que existen empleados de las empresas con las que contratamos servicios en los que no podemos confiar, debemos ser muy cuidadosos al proteger nuestros datos y, por supuesto, no ser parte de estos sistemas de venta. No deberíamos utilizar servicios o productos que se ofrecen en foros ilegales como este, aunque estén disponibles para cualquier persona, ya que existe la posibilidad de meternos en graves problemas.

Aún más, debemos exigir que este tipo de foros se cierren y que no se permita la venta de información o servicios ilegales de ningún modo.

El cargo PROBIV: El mercado negro más famoso para buscar trabajo o comprar cosas ilegales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hackers toman control del dominio web del lenguaje de programación Perl

Un reciente reporte de seguridad indica que el dominio Perl.com, plataforma de comunicación oficial de los desarrolladores del lenguaje de programación Perl, habría sido robado. Acorde a Brian Foy, experto en el lenguaje de programación, un actor de amenazas no identificado tomó control de la plataforma este 28 de enero.

Como los usuarios recordarán, Perl es un popular lenguaje de programación diseñado por Larry Wall hace más de 30 años. Perl toma características del lenguaje C, del lenguaje interpretado bourne shell, AWK, sed, Lisp y, en un grado inferior, de muchos otros lenguajes de programación. En la plataforma Perl.com. Los entusiastas de este lenguaje de programación pueden interactuar con una comunidad de expertos para compartir información, resolver dudas sobre el uso de esta herramienta y más.

A través de Reddit, el especialista mencionó: “Seguimos tratando de determinar exactamente qué pasó. Aunque no podemos aportar más detalles, creemos que se trata de un hackeo de cuenta y no sabemos hasta cuándo podrá ser solucionado”. El experto menciona que los dominios perl.org y perl.com no están relacionados con este incidente, ya que tienen diferentes registrantes legítimos.

Sobre el sitio web comprometido, los actores de amenazas publicaron un mensaje anunciando la venta del dominio, además de enlistar los datos de contacto del registrador. Aunque esto sugiere que el registro ha vencido, el propietario del dominio Tom Christiansen menciona que Pel seguirá vigente al menos hasta 2030.

Aún no se sabe qué método utilizó el hacker malicioso para comprometer la seguridad de esta plataforma, aunque los investigadores creen que este incidente está relacionado con una reciente ola de ciberataques contra ciertos dominios web. La comunidad de la ciberseguridad menciona que entre los sitios web comprometidos se encuentran patterns.com, chip.com, neurologist.com, entre otros.

El experto trató de pedir ayuda a la comunidad de la ciberseguridad para tratar de recuperar el sitio web comprometido, solicitud que aún está a la espera de ser respondida: “Buscamos personas con experiencia en el manejo de incidentes de seguridad para poder recuperar este sitio web; si tiene alguna idea de cómo ocurrió este ataque, póngase en contacto con el equipo de seguridad de Perl”, concluye Foy. Un foro de Reddit ya ha sido habilitado para recibir retroalimentación.

Para más información sobre incidentes de seguridad, vulnerabilidades, exploits, variantes de malware, ciberataques y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers toman control del dominio web del lenguaje de programación Perl apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

¿Cómo ocurrió el ciberataque a Stack Overflow?

Esta semana los desarrolladores de Stack Overflow publicaron un informe técnico sobre el incidente de seguridad que comprometió sus sistemas en 2019. Acorde a este informe, el actor de amenazas se hizo pasar por un usuario más de la plataforma de preguntas y respuestas por largo tiempo con el fin de aprender a realizar diversas tareas de hacking en los sistemas comprometidos.

La plataforma reveló la violación de seguridad en mayo de 2019, mencionando posteriormente que este ataque derivó en la filtración de la información personal de algunos usuarios. En un ejercicio de transparencia y rendición de cuentas, Stack Overflow decidió publicar un cronograma detallado de cada etapa del ataque, que creen habría comenzado en abril de 2019 y fue detectado hasta el 12 de mayo, fecha en la que los administradores detectaron que un usuario incrementó sus privilegios sin explicación aparente.

Al parecer los actores de amenazas lograron acceder a la información personal de hasta 184 usuarios, incluyendo detalles como nombres completos, direcciones email y direcciones IP. Los administradores creen que el robo de información personal no era el principal objetivo del atacante, ya que también se demostró el robo del código fuente de Stack Overflow.

Como se menciona anteriormente, el atacante habría comenzado a operar con una cuenta sin privilegios elevados, esperando pacientemente hasta que obtuvo los privilegios necesarios para acceder al código fuente de la plataforma.

El informe hace énfasis en que el actor de amenazas no logró acceder a las bases de datos, públicas o privadas, de la plataforma: “También queremos agregar que no hay evidencia de de acceso directo a nuestras redes internas, por lo que el perpetrador no tuvo acceso a datos en productos como Teams, Talent o Enterprise”, menciona el reporte.

Sin duda lo más llamativo sobre este incidente es la conducta del hacker, quien se mostraba frecuentemente activo en el foro con el fin de obtener información para llevar a cabo un ataque eficaz: “En cierto modo, la orientación que obtuvo de otros usuarios de Stack Overflow ayudó al atacante a completar su objetivo”, menciona el reporte.

La investigación sigue en curso, por lo que los administradores de la plataforma no están en condiciones de compartir información adicional sobre el atacante, limitándose a mencionar que sin duda se trata de un individuo paciente, hábil y determinado. El informe también incluye información sobre las medidas que se tomaron para el manejo del incidente, además de los programas de colaboración que Stack Overflow implementó con otras plataformas desde entonces.

El cargo ¿Cómo ocurrió el ciberataque a Stack Overflow? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Autoridades clausuran operaciones de Netwalker; principal operador del ransomware es arrestado

En un reciente reporte, el Departamento de Justicia de los Estados Unidos (DOJ) informó al público en general sobre la clausura de la operación de ransomware Netwalker, además de presentar cargos contra el ciudadano canadiense Sebastien Vachon-Desjardins de Gatineau, señalado como el principal operador criminal. Este arresto fue posible gracias al trabajo conjunto de las autoridades de E.U. y Bulgaria, que incautaron los sitios web de Netwalker, alojados en dark web, en los que los actores de amenazas publicaban la información robada a las organizaciones infectadas.

Activos desde finales de 2019, los operadores de Netwalker generaron severas pérdidas financieras para cientos de organizaciones en todo el mundo. Los documentos del DOJ mencionan que este grupo cibercriminal obtuvo alrededor de 25 millones de dólares durante los últimos cinco meses.

Sobre el acusado, las autoridades estiman que Desjardins obtuvo una ganancia neta de más de 27 millones de dólares. Cabe mencionar que Desjardins comenzó a operar la infraestructura cibercriminal desde mediados de 2020, por lo que no participó en el desarrollo de esta variante de malware.

Netwalker operaba como una plataforma de ransomware como servicio (RaaS), lo que significa que los desarrolladores buscaban hacer negocios con individuos como Desjardins, quienes se encargan de identificar posibles víctimas y llevar a cabo actividades maliciosas que derivaban en el compromiso de los sistemas afectados. Las ganancias obtenidas eran divididas entre los atacantes y los desarrolladores.

En un incidente relacionado con esta investigación, el Buró Federal de Investigaciones (FBI) logró incautar alrededor de 450 mil dólares en criptomonedas, los cuales formaban parte de las ganancias obtenidas por los actores de amenazas.

Entre las víctimas más destacadas de esta operación de ransomware se encuentran organizaciones como Equinix, Enel Group, la agencia de migración de Argentina, la Universidad de California en San Francisco, además de cientos de pequeñas y medianas compañías. Los cibercriminales también atacaron municipios, hospitales, agencias de investigación, servicios de emergencia, distritos escolares, colegios y universidades a lo largo de todo E.U.

Si bien este es un gran logro de las autoridades, es demasiado optimista pensar que este es el final de la operación de Netwalker. La detección de operaciones similares, el trabajo realizado por los desarrolladores y el nivel de ganancias obtenidas que las autoridades no han podido rastrear permiten al DOJ pensar que los desarrolladores podrían volver a operar una plataforma de ransomware similar en el futuro.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Autoridades clausuran operaciones de Netwalker; principal operador del ransomware es arrestado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Por primera vez, se ordena a estafador multimillonario de criptomoneda devolver el dinero robado a sus víctimas

Un reporte del Departamento de Justicia de Estados Unidos (DOJ) revela que Jerry Ji Guo ha sido sentenciado por su participación en un esquema de fraude de criptomonedas. Acorde a Craig D. Fair, Agente Especial del Buró Federal de Investigaciones (FBI), el acusado deberá pagar más de  4.3 millones de dólares como compensación a los usuarios afectados, además de cumplir con una sentencia de seis meses en prisión. Una vez cumplida su sentencia, Jerry Ji Gou deberá cumplir un periodo de tres años en libertad supervisada.

El acusado de 33 años y residente en San Francisco, California, se declaró culpable a mediados de 2019 de ocho cargos por fraude electrónico, reconociendo que se representaba a sí mismo como un consultor de oferta inicial de criptomonedas y asegurando a sus víctimas que realizaría importantes campañas de marketing. No obstante, Guo utilizó el dinero de las víctimas para sus propios fines y sin realizar inversión alguna en criptomoneda.

Los agentes federales consideran que la criptomoneda puede representar una amenaza seria, pues su uso permite a los grupos cibercriminales ocultar sus registros, aunque estas operaciones pueden ser rastreadas con los métodos adecuados: “Colaboramos con nuestros socios en el sector privado para localizar los activos robados a las víctimas”, agrega el Agente Especial Fair.

El DOJ menciona que, como parte de su acuerdo de culpabilidad, el acusado colaborará con las agencias gubernamentales para la identificación y devolución de la propiedad robada mediante el decomiso. Además, las autoridades obtuvieron órdenes judiciales para incautar el efectivo y activos virtuales robados para finalmente restituirlos a sus propietarios legítimos en febrero de 2020.

Los documentos presentados ante la corte mencionan que el acusado habría defraudado efectivo y criptomoneda por alrededor de 20 millones de dólares actuales. La Sección de Lavado de Dinero y Recuperación de Activos, un componente de la División Criminal del Departamento de Justicia en Washington, D.C., utilizará el proceso de restauración de víctimas en el proceso de reparación de daños.

Aunque este campo escapa de la regulación financiera del gobierno de E.U., el fraude relacionado con criptomonedas se investiga y castiga como cualquier otra variante de fraude electrónico: “Muchos creen, erróneamente, que la ley está completamente alejada del mundo de las criptomonedas; este caso demuestra lo contrario al presentar cargos criminales que permiten la devolución del dinero robado a las víctimas”, concluye el agente especial Fair.  

Para más información sobre cibercrimen, hacking malicioso, vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Por primera vez, se ordena a estafador multimillonario de criptomoneda devolver el dinero robado a sus víctimas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nueva técnica de phishing utiliza avanzada ofuscación y canales de Telegram para evadir la detección. Los hackers pueden esquivar fácilmente su firewall

El equipo especializado FireEye Email Security ha publicado un reporte sobre la detección de múltiples campañas de phishing en las que los operadores emplean la ofuscación del código fuente de los dominios comprometidos o maliciosos. Los actores de amenazas buscan extraer información confidencial, principalmente datos bancarios de las víctimas.

Sobre el tema utilizado en esta campaña, los actores de amenazas están tratando de aprovecharse del incremento en el comercio electrónico derivado de la pandemia con la creación de una página falsa de seguimiento de DHL. Esta no es una variante de ataque inédita, aunque este método es más complejo que otros detectados anteriormente. Los operadores emplean un cifrado de sustitución basado en Web Open Font Format (WOFF), orientación específica de localización, además de múltiples técnicas de evasión.

Método de ataque

Todo inicia con un email supuestamente enviado por DHL. Como podemos ver a continuación, los cibercriminales tratarán de engañar a los usuarios para que hagan clic en un enlace adjunto que redirige al sitio fraudulento.

Una vez que el usuario ingresa a este sitio web, se le pedirá ingresar los detalles de su tarjeta de pago, con lo que obtendrá un mensaje genérico en respuesta mientras su información financiera es enviada a los actores de amenazas en segundo plano.

Como se menciona al inicio, algo inusual sobre esta campaña es la avanzada técnica de ofuscación que los actores de amenazas emplean para ocultar el origen fraudulento de su sitio web: “El código fuente de la página contiene las cadenas adecuadas, etiquetas válidas y un formato bien elaborado, además de un texto codificado al cargar la página”, menciona el reporte. Por lo general, la decodificación de dicho texto se realiza al incluir funciones de script dentro del código, no obstante, en este caso las funciones de decodificación no están incluidas en el script.

La decodificación se realiza mediante WOFF, lo que ocurre al cargar la página en un navegador y no será visible en el contenido de la página en sí mismo. La siguiente captura de pantalla muestra el método de cifrado de sustitución y el archivo de fuente WOFF. Los cibercriminales buscan de este modo evadir la detección, ya que la mayoría de las soluciones de seguridad usan reglas basadas en formas estáticas.

La carga de esta fuente personalizada que decodifica el texto se realiza en Cascading Style Sheets (CSS), una técnica poco común en comparación con el uso de JavaScript para cifrar y descifrar texto HTML.

La captura de pantalla anterior muestra el archivo CSS utilizado para cargar el archivo de fuente WOFF. Los investigadores también han visto el mismo archivo CSS, style.css, alojado en otros dominios web como:

• hxxps://https://ift.tt/3a7T7GZ
• hxxps://candyman-shop.com/auth/DHL_HOME/style.css
• hxxps://mail.rsi-insure.com/vendor/ship/dhexpress/style.css
• hxxps://https://ift.tt/3tcaShc

Los investigadores también analizaron estos dominios de apariencia legítima, concluyendo que no albergan campañas de phishing activas. A continuación se analizan algunas de las características más complejas de esta campaña.

Ubicación

Una de las cosas que más llamaron la atención de los investigadores es que el sitio web de phishing muestra el idioma local dependiendo de la ubicación del usuario objetivo. Empleando un código de localización, los hackers pueden enviar mensajes en inglés, español y portugués.

El backend contiene archivos de recursos PHP para cada idioma admitido, que será seleccionado de forma dinámica según la dirección IP del usuario.

Evasión

Los operadores emplean una amplia variedad de técnicas para evadir la detección, como la verificación de direcciones IP bloqueadas. El código backend proporciona a los usuarios un encabezado de respuesta “HTTP/1.1 403 Forbidden” en las siguientes condiciones:

• La IP se ha visto cinco veces (función AntiBomb_User)
• El host IP resuelve su lista de nombres de host evitados (‘google’, ‘Altavista’, ‘Israel’, ‘M247’, ‘barracuda’, ‘niw.com.au’ y más) (AntiBomb_WordBoot func)
• La IP está en su propia lista de bloqueo local csv (x.csv en el kit) (función AntiBomb_Boot)
• La IP ha visto POSTING tres veces (función AntiBomb_Block)

Después de mirar la lista de hosts bloqueados, los expertos concluyeron que los atacantes intentaban bloquear los rastreadores web.

Robo de datos

El principal objetivo de esta campaña es el robo de datos, los cuales son enviados a direcciones email y canales de Telegram controlados por los actores de amenazas. Empleando la API de Telegram Bot, los investigadores lograron descubrir uno de los canales de Telegram a los que se envía esta información.

Aunque el uso de la función php mail() para enviar credenciales robadas es bastante común, en el pasado cercano, las aplicaciones de mensajería instantánea cifradas como Telegram son empleadas con frecuencia para enviar información de phishing a los servidores C&C. El equipo de FireEye logró acceder a uno de los canales de Telegram controlados por el atacante, como se muestra en la siguiente captura de pantalla. La información enviada al canal de Telegram incluye direcciones IP y datos de tarjetas de crédito.

Conclusiones

El phishing es una de las principales amenazas de ciberseguridad, por lo que los usuarios siempre se verán expuestos a este riesgo. Sobre esta campaña, la ofuscación les da a los atacantes una ventaja clara sobre cualquier solución de seguridad disponible, además de que les permite obtener datos de los usuarios en tiempo real.

Para prevenir esta variante de ataques, los expertos en ciberseguridad recomiendan a los usuarios ignorar cualquier mensaje de apariencia sospechosa, además de no compartir sus datos personales y financieros con ningún sitio web de apariencia insegura.

El cargo Nueva técnica de phishing utiliza avanzada ofuscación y canales de Telegram para evadir la detección. Los hackers pueden esquivar fácilmente su firewall apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en WeChat permite a los hackers ejecutar código remoto en sistemas afectados

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en WeChat, el servicio de mensajería, llamadas telefónicas y plataforma de redes sociales desarrollado por la compañía tecnológica Tencent, con sede en China. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas podría desencadenar la ejecución de código remoto en los sistemas vulnerables.

A continuación se presenta una breve descripción de la falla reportada, además de su clave de identificación y puntaje establecido por el Common Vulnerability Scoring System (CVSS).

Identificada como CVE-2020-27874, esta falla de seguridad existe debido a un error de límite dentro del decodificador WXAM, lo que permitiría a los actores de amenazas remotos crear un archivos especialmente diseñados, hacer que la víctima los abra para generar daños en la memoria y ejecutar código arbitrario en el sistema objetivo.

Esta es una falla de alta severidad que recibió un puntaje CVSS de 7.7/10.

En su reporte, los expertos en ciberseguridad mencionan que la explotación exitosa de esta falla podría llevar al compromiso total del sistema vulnerable.

La falla reside en las siguientes versiones de WeChat: 7.0.0, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.0.7, 7.0.9, 7.0.10, 7.0.12, 7.0.13, 7.0.14, 7.0.15, 7.0.16, 7.0.17 y 7.0.18.

Si bien la vulnerabilidad podría ser explotada por actores de amenazas no autenticados a través de Internet, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware asociada a este ataque. Las correcciones ya están listas, por lo que se recomienda a los usuarios de WeChat actualizar a las más recientes versiones disponibles lo antes posible.

Al tratarse de una aplicación desarrollada por una compañía establecida en China, WeChat menciona a sus usuarios que las autoridades pueden disponer y almacenar la información recolectada por la aplicación durante tiempo indefinido, por lo que su mercado es principalmente local e independiente del mercado en Occidente.

No es ninguna sorpresa que el Partido Comunista Chino exija a las compañías nacionales permitir el acceso a sus centros de datos, limitando así el uso de opciones como WhatsApp o Telegram. En la realidad, esta aplicación opera virtualmente como el canal oficial de comunicación en China, lo que supone un gran riesgo para activistas, disidentes políticos e incluso cualquier persona poco conforme con las restrictivas medidas imperantes en el gigante asiático.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en WeChat permite a los hackers ejecutar código remoto en sistemas afectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Encuentran vulnerabilidades día cero en múltiples versiones de iOS

Apple anunció el lanzamiento de algunas actualizaciones de seguridad en iOS que abordarán tres vulnerabilidades día cero que habrían sido explotadas en escenarios reales. Estos errores fueron reportados a la compañía tecnológica por un hacker ético no identificado hasta el momento.

Sobre las fallas, la primera afecta al kernel del sistema operativo iOS (identificada como CVE-2021-1782), mientras que las dos vulnerabilidades restantes residen en el motor del navegador WebKit (identificadas como CVE-2021-1870 y CVE-2021-1871).

La primera falla (el error del kernel de iOS) fue descrita como un error de condición de carrera que permitiría a los atacantes realizar una escalada de privilegios para su propio código de ataque. Por otra parte, las dos vulnerabilidades días cero de WebKit fueron descritas como fallas lógicas que podrían permitir a los actores de amenazas remotos ejecutar su propio código malicioso en el contexto del navegador de los usuarios.

La comunidad de la ciberseguridad en seguridad cree que los tres errores son parte de una cadena de exploits en la que los usuarios son atraídos a un sitio malicioso que aprovecha el error de WebKit para ejecutar código que luego aumenta sus privilegios para ejecutar código a nivel de sistema y comprometer el sistema operativo. No obstante, los detalles técnicos sobre los incidentes de explotación activa que involucran estas fallas no se hicieron públicos, cumpliendo con la política de divulgación de fallas día cero vigente en Apple.

Las tres fallas de fueron detectadas después de que Apple corrigiera otro conjunto de tres vulnerabilidades día cero en iOS en noviembre del año pasado. Este último conjunto de fallas fue reportado por los investigadores de Google Project Zero.

El reporte de vulnerabilidades día cero se ha convertido en algo común para Apple. Hace un par de meses, los investigadores de Citizen Lab también publicaron un informe sobre múltiples ataques a periodistas de Al Jazera empleando fallas no detectadas en sistemas iOS. Al parecer, la compañía corrigió estas vulnerabilidades de forma inadvertida con el lanzamiento de iOS 14.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Encuentran vulnerabilidades día cero en múltiples versiones de iOS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en Sudo permitiría escaladas de privilegios en sistemas afectados

Los mantenedores de Sudo anunciaron la corrección de una vulnerabilidad que podría haber permitido a los usuarios locales obtener privilegios de root en sistemas similares a Unix sin autenticación alguna. Sudo es un programa de Unix con el que los administradores de sistemas pueden proporcionar privilegios root a usuarios regulares en sudoers al tiempo que llevan un registro de actividades.

Este sistema funciona con el principio de privilegio mínimo, con el que se otorgan a los usuarios los requisitos necesarios para trabajar sin comprometer la seguridad del sistema. No obstante, al ejecutar comandos en sistemas similares a Unix, los usuarios con privilegios mínimos pueden usar el comando <<sudo>> para ejecutar comandos como usuario root.

Este comando también puede ser configurado para permitir que los usuarios normales ejecuten comandos como cualquier otro usuario al incluir directivas especiales en el archivo de configuración de sudoers.

Identificada como CVE-2021-3156, esta es una vulnerabilidad de escalada de privilegios inicialmente reportada por la firma de seguridad Qualys a inicios de 2021. Según su reporte, el problema existe por un desbordamiento de búfer basado en el montón que puede ser explotado por un usuario local  sin necesidad de utilizar contraseñas de administrador.

“Este desbordamiento de búfer se activa cuando sudo elimina incorrectamente las diagonales invertidas en cualquier argumento”, mencionan los expertos. El reporte de Qualys también especifica que, por lo general, sudo escapa de los caracteres especiales cuando se ejecuta un comando a través de shell (sudo-s o sudo-i), no obstante, también era posible ejecutar sudoedit con los indicadores -s o -i, en cuyo caso no se había realizado ningún escape, haciendo posible un desbordamiento del búfer.

Los investigadores usaron tres exploits para CVE-2021-3156 con el fin de demostrar que un actor de amenazas puede abusar con éxito de esta vulnerabilidad. Usando estos exploits, los investigadores pudieron obtener privilegios de root completos en múltiples distribuciones de Linux, incluyendo Debian 10, Ubuntu 20.04 y Fedora 33.

La falla habría sido introducida con la versión de Sudo lanzada en 2011, y está presente en las configuraciones predeterminadas de todas las versiones estables desde 1.9.0 a 1.9.5p1, además de todas las versiones heredadas desde 1.8.2 a 1.8.31p2. Los colaboradores de Sudo han solucionado la vulnerabilidad en la versión de sudo 1.9.5p2 lanzada hoy, al mismo tiempo que Qualys reveló públicamente sus hallazgos.

Para probar si su sistema es vulnerable, debe iniciar sesión como usuario no root y ejecutar el comando “sudoedit -s /”. Los sistemas vulnerables arrojarán un error que comienza con “sudoedit:” mientras que los parcheados mostrarán un error que comenzará con “usage:”.

El cargo Vulnerabilidad crítica en Sudo permitiría escaladas de privilegios en sistemas afectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Grindr, la aplicación de citas gay, será multada con 10 millones de euros por incumplimiento al GDPR

Las autoridades noruegas han notificado a Grindr LLC su intención de imponer una multa de aproximadamente 10 millones de euros debido a las múltiples infracciones cometidas por esta plataforma al Reglamento General de Protección de Datos de la Unión Europea (GDPR). Después de una investigación, la Autoridad Noruega de Protección de Datos concluyó que esta aplicación compartió los datos de sus usuarios con terceros sin previo consentimiento o alguna base legal definida.

Grindr es una app de citas especialmente pensada para la comunidad homosexual, bisexual y trans que conecta a sus usuarios basándose en su ubicación aproximada e intereses similares. Hace unos meses el Consejo de Protección al Consumidor en Noruega presentó una queja contra la app por un presunto uso indebido de información personal con fines publicitarios; la información comprometida incluía datos de ubicación, información personal y estado de la cuenta en Grindr.

Las autoridades argumentan que Grindr requiere del consentimiento expreso de sus usuarios para compartir esta información con terceros, puesto que sus políticas en ningún momento hacen mención de tal práctica, sin mencionar que al compartir detalles sobre las preferencias sexuales de sus usuarios, Grindr está exponiendo información especialmente sensible. Cabe aclarar que la investigación se refiere solamente a la información de los usuarios de la versión gratuita de Grindr.  

Bjørn Erik Thon, director general de protección de datos en Noruega, considera que este es un problema muy serio: “Los usuarios no pueden ejercer control real sobre la información que Grindr comparte con otras plataformas; estas compañías obtienen consentimiento de forma muy poco clara, por lo que la ley tiene que tomar cartas en el asunto”.

La legislación europea establece que el consentimiento explícito es un elemento esencial en el manejo de datos personales sensibles, por lo que es necesario que las compañías informen de forma simple a los usuarios sobre la información que recolectarán y sus posibles usos (principalmente asociados al marketing). Las autoridades mencionan que, en muchos casos, los usuarios simplemente se ven obligados a aceptar las políticas de estas plataformas, ignorando completamente el consentimiento explícito, lo que consiste en una violación al GDPR.

Grindr recibió un borrador del proyecto de multa, por lo que la compañía tiene alrededor de 15 días para emitir cualquier comentario o inconformidad al respecto. Una vez vencido este plazo, la autoridad de protección de datos europea emitirá su resolución final.  

Las autoridades de Noruega también presentaron quejas contra cinco compañías de terceros que recibieron datos de Grindr, incluyendo MoPub (propiedad de Twitter), y OpenX Software.

El cargo Grindr, la aplicación de citas gay, será multada con 10 millones de euros por incumplimiento al GDPR apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Google Chrome etiqueta el proyecto Nmap como malware

Por un error de análisis, el servicio de navegación segura de Google Chrome ha etiquetado al popular proyecto Network Mapper (Nmap) como una potencial “amenaza de seguridad”. Este es un ejemplo más de la identificación errónea de herramientas legítimas, lo que dispara falsas alertas de malware, phishing, entre otros riesgos de ciberseguridad.

Como recordará, Nmap es un escáner de código abierto para el análisis de redes ampliamente utilizada por la comunidad del hacking ético. Hace unos días, los desarrolladores de Nmap mencionaron que Chrome había etiquetado una versión anterior del software “Ncat”, bloqueando su directorio completo, mismo que incluía Nmap.

Días antes, Chrome también bloqueó los archivos del código fuente del proyecto, identificándolo como malware. Al respecto Gordon Lyon, desarrollador principal de Nmap, mencionó: “Google ejerce un poder tan inmenso que sus prácticas se vuelven descuidadas, especialmente porque considera nuestro sitio web como ‘peligroso’ cuando se trata de un error de la compañía”.

El equipo detrás de Nmap enfrentó una gran disyuntiva, pues aunque presentar un reporte ante Google era el método obvio para resolver este problema, su implementación podía demorar mucho más tiempo del necesario, dificultando la labor de los usuarios del proyecto. Lyon concluyó que había dos soluciones alternativas: eliminar un archivo en Nmap, o bien tratar de convencer a Google de que su sistema de seguridad cometió un error. Finalmente el desarrollador se limitó a descargar su frustración en Twitter, donde un miembro del equipo de seguridad de Google se encontró con el error.

Google Chrome has been blocking Nmap downloads all day because their broken "Safe Browsing" system suddenly labeled a 10-year-old version of our Ncat software as a threat. We will get this resolved with Google, but wanted to let you know that your Nmap downloads are still safe! pic.twitter.com/5iR7a07wzF

— Nmap Project (@nmap) January 21, 2021

Aunque parecía que la discusión estaba escalando a un nivel personal, un par de horas después la falla había sido corregida por Google. La compañía no agregó mayores detalles al respecto.

Este es un error en el que las herramientas de seguridad automáticas de Google han incurrido frecuentemente: “En sus labores rutinarias de análisis de seguridad, el algoritmo de Google puede generar un impacto negativo en las herramientas desarrolladas por investigadores independientes”, menciona el youtuber Stök, especialista en ciberseguridad que también ha sido afectado por errores similares. El investigador también menciona que evitar el uso de algunas palabras o frases puede reducir las posibilidades de experimentar esta falla, aunque la eficacia de esta solución siempre dependerá de las políticas vigentes de Google.

En ocasiones anteriores Chrome ha identificado incorrectamente otras aplicaciones legítimas como Burp Suite, de PortSwigger Web Security. Kieron Hughes, director de PortSwigger, menciona: “Contamos con un proceso de monitoreo de desempeño, lo que nos permite tomar las medidas necesarias para corregir estos errores cuando se presentan, reportándolos automáticamente a Google”.

El cargo Google Chrome etiqueta el proyecto Nmap como malware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Revelan detalles sobre la vulnerabilidad NTLM en sistemas Windows

Acorde a un reporte de seguridad, una de las fallas recientemente corregidas en sistemas Microsoft permitiría a los actores de amenazas retransmitir una sesión de autenticación NTLM para luego ejecutar código remoto empleando la interfaz de cola de impresión MSRPC. Identificada como CVE-2021-1678, esta falla es considerada grave para todas las versiones de sistemas Windows y Windows Server.

El equipo de investigadores de CrowdStrike, responsable del hallazgo, menciona que esta no es una variante de ataque poco común, pues la transmisión de autenticaciones NTLM a otros protocolos es viable cuando este proceso no cuenta con las medidas de seguridad requeridas. Los expertos mencionan que la falla reside en la interfaz IRemoteWinSpool MSRPC, diseñada para la administración remota de la cola de impresión.

El reporte también menciona que MSRPC es, por diseño, vulnerable a los ataques de retransmisión, esto debido a que en un nivel de autenticación de RPC_C_AUTHN_LEVEL_CONNECT, los usuarios se autentican en la solicitud inicial pero no se aplica cifrado o firma de los comandos en transferencia.

Los actores de amenazas remotos podrían conectarse a la interfaz IRemoteWinspool y elegir un nivel de autenticación débil para transmitir la autenticación NTLM al dispositivo del atacante con el fin de ejecutar los comandos arbitrarios. Los expertos afirman que lograron desarrollar una prueba de concepto (PoC), aunque esta no será publicada hasta que la compañía considere que el riesgo de explotación ha sido completamente mitigado.

Por su parte, Microsoft anunció la corrección del problema agregando las comprobaciones necesarias para así garantizar que el nivel de autenticación del cliente sea suficientemente seguro. Cabe señalar que la verificación sólo será realizada de forma correcta si se establece un valor específico; en caso contrario, el sistema seguirá siendo vulnerable.

En su reporte, Microsoft señala: “La actualización lanzada corrige el problema aumentando el nivel de autenticación RPC, además de introducir una política y clave de registro para permitir que los clientes habiliten o inhabiliten el modo de aplicación en el lado del servidor”. La compañía también explica que, si bien las conexiones RPC vulnerables aún están permitidas después de esta actualización, una fase de cumplimiento comenzará el 8 de junio de 2021, aplicando los cambios para abordar CVE-2020-1678 al aumentar el nivel de autorización sin tener que configurar el valor de registro.

El cargo Revelan detalles sobre la vulnerabilidad NTLM en sistemas Windows apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cibercriminales despliegan malware a través de WhatsApp para hackear dispositivos Android

Un reciente reporte de seguridad detalla la detección de una nueva variante de malware para dispositivos Android desplegada de forma automática a través de plataformas de mensajería instantánea, principalmente WhatsApp.

Acorde a Lukas Stefanko, autor del reporte de seguridad, el objetivo de los operadores es engañar a los usuarios para es engañar a los usuarios para instalar adware en sus sistemas o exponerlos a estafas de suscripciones no autorizadas: “El malware es desplegado a través de servicios como WhatsApp, forzando a la aplicación a responder automáticamente a cualquier mensaje que contenga un enlace a una versión maliciosa de Huawei Mobile”, menciona el investigador.

Analysis of Android Worm that spreads via WhatsApp messages as Huawei Mobile app#MobileSecurity #AndroidSecurity [VIDEO] by @LukasStefankohttps://t.co/GMxyTPKClW

— Mobile Security (@mobilesecurity_) January 22, 2021

Este enlace redirige a los usuarios a un sitio de apariencia similar a Google Play Store donde se pide a los usuarios descargar una aplicación maliciosa que solicita a los usuarios acceso al envío de notificaciones, un factor fundamental para desplegar un ataque exitoso. Este ataque se enfoca en la función de respuesta rápida de WhatsApp, empleada para responder a un mensaje entrante directamente desde la barra de notificaciones. A continuación se muestra un ejemplo de cómo el virus es desplegado a través de aplicaciones de mensajería.

Además de acceder a las notificaciones del sistema, esta aplicación maliciosa también solicita permiso para ejecutarse en segundo plano y modificar las configuraciones de otras aplicaciones, lo que podría conducir al robo de credenciales de autenticación. Analizado en una versión anterior, se comprobó que el código de la aplicación puede enviar respuestas automáticas a los contactos de WhatsApp de la víctima, no obstante, Stefanko cree que versiones posteriores de este malware podrán enviar respuestas a través de otras aplicaciones que cuenten con configuraciones similares a WhatsApp para Android.

Las respuestas automáticas se envían al mismo contacto una vez por hora, aunque el contenido del mensaje y el enlace malicioso se recuperan de un servidor remoto; en otras palabras, el malware puede usarse para propagar otros sitios web y aplicaciones maliciosas. Stefanko menciona que le fue imposible determinar exactamente cómo se produce la infección inicial, aunque menciona que hay múltiples posibilidades: “Todo comienza con el envío de mensajes de texto, emails, posts en redes sociales, uso de grupos de chat, entre otras opciones”.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cibercriminales despliegan malware a través de WhatsApp para hackear dispositivos Android apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

BBVA BANCOMER, SANTANDER: HACKEO DE 4 MILLONES DE CLIENTES. USUARIOS DEBEN CONTACTAR A BANCOS Y ASEGURAR SU DINERO Y DATOS

Los especialistas de una firma de ciberseguridad afirman haber encontrado a un hacker que vende base datos de los BBVA Bancomer México y Santander. Banco Santander México y BBVA son entidades bancarias mexicanas. Según los reportes, el hacker está vendiendo datos personales de 3 millones de clientes de BBVA y 1 millón de los clientes de Santander. Los incidentes de brecha de seguridad sin duda son muestra de lo vulnerable que son los sistemas, recordando las más de 180 empresas financieras que han sido víctimas recientes de estas amenazas.

La semana pasada, un hacker malicioso afirmo contar con la clave BIOS de los cajeros automáticos de BBVA Bancomer, por lo que sería relativamente sencillo desplegar una campaña de jackpotting contra las máquinas comprometidas.

La información comprometida de ambos bancos incluye

Nombre completo

Nombre paterno

Nombre materno

Dirección Completo

Teléfonos

Sexo

Ingresos

RFC

Nivel Económico

Una alerta técnica de seguridad cibernética emitida en conjunto por cuatro agencias federales, incluidos el Departamento del Tesoro y el FBI, menciona que este año se ha detectado un nuevo incremento en los esfuerzos de hacking con motivaciones financieras desplegadas por el gobierno norcoreano después de un periodo de casi nula actividad. Gran parte de los datos identificados por expertos de empresas de seguridad cibernética están disponibles públicamente, y casi todos son del tipo que los ciberdelincuentes compran y venden regularmente en plataformas de dark web.

A Threat Actor is sharing the following Databases:
– 3 Million customer records allegedly related to BBVA Bancomer México 🇲🇽 (@BBVA_Mex)
– 1 Million customer records allegedly related to Banco Santander México 🇲🇽 (@SantanderMx)

The DBs include PII data, Phone numbers and more. pic.twitter.com/eLRXW84ZqB

— Bank Security (@Bank_Security) January 23, 2021

Pero el hecho de que se encontraron 4.7 millones de registros personales confidenciales a la venta a granel subraya la facilidad con que los delincuentes y adversarios extranjeros pueden utilizar esta información para encontrar vulnerabilidades o estafar a los clientes de banco, como ha mencionado el FBI en repetidas ocasiones. Corea lo ha hecho recientemente, enviando correos electrónicos de phishing a clientes bancarios.

Por otra parte, los especialistas en ciberseguridad que detectaron este material señalan la facilidad con la que los hackers pueden acceder a estos datos: “Una enorme cantidad de datos de clientes financieros está disponible para los ciberdelincuentes y adversarios extranjeros; en las manos equivocadas, esta información se puede utilizar para robar millones de cuentas bancarias y estafar a millones de usuarios a través de las redes sociales, phishing y estafas de mensajes de texto y telefónicos”.

Los datos parecen ser de los clientes, por lo que los investigadores deducen que el hacker pudo robar estos datos comprometiendo algún servidor de empresa o servidor perteneciente al proveedor de la empresa . El año pasado, Scotiabank también se metió en muchos problemas cuando un grupo de hacking logró acceder su repositorio GitHub, pudiendo filtrar el código de aplicación móvil del banco.

Al monitorear los foros de dark web en busca de información sobre amenazas, los expertos de Bank Security encontraron al hacker, quien estaba ofreciendo los datos y ofreció muestra de datos para que compradores puedan validar. Este hacker tiene buena reputación en foros de darkweb y por eso puede ser ciertos que base datos es real. Los expertos en seguridad cibernética utilizaron identidades ficticias para obtener más información del hacker, incluyendo los detalles de una billetera en línea de Bitcoin para cobrar el pago.

Los expertos en ciberseguridad de IICS mencionan que las carteras de Bitcoin, instalaciones de almacenamiento virtual para la criptomoneda más utilizada, muestran públicamente las transacciones pero no las identidades de quienes las realizan. Según los expertos, si la empresa financiera quiere, pueden trabajar junto con las agencias gubernamentales para rastrear los pagos a esta billetera. La misma billetera seguramente se usa en otras estafas e incidentes de hacking.

La amplia disponibilidad de datos no es una problemática nueva, pero la idea de que una base de datos tan grande esté a la venta durante la pandemia, cuando todo el mundo depende del pago móvil y en línea, subraya lo fácil que sería para los agentes malintencionados causar serios problemas. Los expertos en seguridad cibernética dijeron que el hacker no ha mencionado el precio ya que primero quiere validar que el comprador no es de alguna agencia de seguridad.

Los datos a la venta permitirían a los actores de amenazas atacar a BBVA y SANTANDER y algunos de los clientes que estén utilizando estos servicios podrían verse afectados, incluyendo a los clientes empresariales.

Nadie tiene certeza sobre la autenticidad de la publicación encontrada en dark web, pero los investigadores han intentado contactar la empresa para confirmar la autenticidad de los datos filtrados y no recibimos respuesta.

En México y otros países de Latinoamérica, muchos clientes de bancos sufrieron estafas telefónicas y han perdido millones. Estas personas incluso han conformado un grupo de Facebook para demandar a los bancos y muchas de estas personas han afirmado que los estafadores también tienen los detalles de los clientes cuando llaman y parece ser una llamada al centro de llamadas de un banco real como el que se muestra en el video de arriba.

Esperamos que BBVA y Santander verifiquen esta filtración, confirmen su autenticidad y tomen acciones necesarias para que los clientes no pasen por más problemas.

El cargo BBVA BANCOMER, SANTANDER: HACKEO DE 4 MILLONES DE CLIENTES. USUARIOS DEBEN CONTACTAR A BANCOS Y ASEGURAR SU DINERO Y DATOS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Falla de seguridad crítica en SAP Solution Manager; exploit disponible en GitHub

Especialistas en seguridad informática reportan que un grupo de actores de amenazas ha publicado un exploit para abusar de una falla de seguridad crítica en el software empresarial SAP. Este exploit es capaz de comprometer sistemas que aún no reciben las actualizaciones que corrigen CVE-2020-6207, una falla en el proceso de verificación de autenticación en EEM Manager, un componente de SAP Solution Manager (SolMan).

A pesar de que SAP corrigió esta falla en marzo de 2020, aún existen sistemas vulnerables debido a que sus administradores no han instalado las actualizaciones necesarias. Acorde a un reporte de Onapsis Research Labs, hace unos días se publicó el exploit para esta falla en un repositorio de GitHub: “Un ataque exitoso pondría en riesgo las aplicaciones SAP, los procesos comerciales y la información crítica de las organizaciones afectadas”, mencionan los expertos.

Sobre el producto vulnerable, los expertos mencionan que SolMan es un sistema de administración empleado en todos los entornos de SAP de forma similar a soluciones como Windows Active Directory: “Algunas compañías no se apegan a la política de actualización de seguridad de SolMan, lo que juega a favor de los hackers maliciosos”, añaden los investigadores.

Los investigadores también advierten que diversos grupos de actores de amenazas han realizado escaneos masivos en Internet para detectar implementaciones de SAP vulnerables a este ataque, por lo que el problema debe ser tomado en cuenta con la seriedad necesaria. Los administradores deben recordar que la instalación de las actualizaciones corrige por completo la falla.

Al respecto, un portavoz de SAP menciona: “Nuestro reporte de seguridad sobre CVE-2020-6207 también incluye los pasos para habilitar algunas soluciones alternativas, pero el parche de seguridad es la principal medida que recomendamos. SAP agrega que con la publicación del exploit un ataque sería relativamente sencillo y las consecuencias podrían ser desastrosas, por lo que se invita a los administradores de sistemas a actualizar sus instalaciones a la brevedad.

Por otra parte, Satnam Narang, especialista de Tenable, menciona: “Este reciente informe platea un importante desafío para la comunidad de la ciberseguridad; esta vulnerabilidad de ausencia de autenticación implica que los actores de amenazas podrían acceder a sistemas vulnerables de forma trivial, por lo que es fundamental que las organizaciones se replanteen su política de actualización de sistemas para prevenir que estos ataques lleguen a escalas insospechadas”.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Falla de seguridad crítica en SAP Solution Manager; exploit disponible en GitHub apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero afecta soluciones VPN de SonicWall. ¿Cómo mitigar el riesgo de explotación?

El equipo de seguridad de SonicWall emitió una alerta de seguridad relacionada con un grupo de hackers que ha estado explotando una falla día cero en sus soluciones de red privada virtual (VPN) que podría permitir el despliegue de ataques internos. Los productos de SonicWall son empleados por toda clase de pequeñas y medianas y grandes empresas, por lo que los expertos consideran que este es un problema de gran alcance.

En su alerta, publicada el viernes, la compañía menciona que los hackers han explotado esta falla en su dispositivo Secure Movile Access (SMA) VPN, además de abusar del cliente VPN NetExtender en una campaña de ataque sofisticado: “Hemos identificado un ataque coordinado asociado a la explotación de vulnerabilidades día cero en algunos productos VPN”. Según el reporte, los productos afectados por esta campaña maliciosa son:

• Cliente VPN NetExtender v10.x, lanzada en 2020
• Secure Mobile Access (SMA) v10.x, empleada por dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 y el dispositivo virtual SMA 500v

Sobre los productos vulnerables, SMA es un dispositivo físico que proporciona acceso VPN a redes internas, mientras que NetExtender es un cliente de software empleado para la conexión a firewalls compatibles con la conexión VPN. El reporte menciona que los clientes pueden mitigar los riesgos de explotación habilitando un mecanismo de autenticación multi factor en los dispositivos afectados, además de restringir el acceso a un dispositivo vulnerable en función de las direcciones IP consideradas legítimas por los administradores de sistemas.

SonicWall publicó un informe incluyendo descripciones detalladas de los productos vulnerables, además de una lista completa de las posibles soluciones temporales. Por el momento la compañía no revelará detalles técnicos sobre las fallas, aunque se sabe que las vulnerabilidades pueden ser explotadas de forma remota en dispositivos de acceso público.

Sobre los ataques detectados hasta el momento, un informe de ciberseguridad menciona que los actores de amenazas tienen pleno conocimiento de estas fallas: “Diversos grupos de hacking afirman contar con información sobre un conocido proveedor de firewall y otras soluciones de seguridad; las grandes compañías son especialmente vulnerables a esta clase de ataques”, afirma el reporte.

La explotación de fallas en productos VPN es una de las principales amenazas de seguridad para miles de organizaciones en todo el mundo, ya que un ataque exitoso permitiría a los hackers maliciosos obtener acceso privilegiado a los sistemas comprometidos e incluso permitiría el despliegue de ataques posteriores. Muchas de las más peligrosas campañas de ataque en tiempos recientes se dirigen a esta clase de soluciones, por lo que es necesario adoptar un mayor enfoque de prevención.

El cargo Vulnerabilidad día cero afecta soluciones VPN de SonicWall. ¿Cómo mitigar el riesgo de explotación? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Pasos para crear tu propia VPN

Alphabet Inc., a través de su subsidiaria en ciberseguridad Jigsaw, anunció el lanzamiento de Outline, un proyecto que permite a cualquier usuario crear y ejecutar su propio servidor de red privada virtual (VPN) para brindar a otros usuarios a estas funciones.

Acorde a los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), hay dos componentes principales en Outline: la aplicación de control Outline Manager, y el cliente. Outline Manager se basa en el marco Electron y está disponible para los sistemas Windows, Linux y macOS.

Puede crear un servidor VPN en otro servicio de hosting. El objetivo de Outline es facilitar al máximo el lanzamiento de su propio servicio VPN. Si elige DigitalOcean, por ejemplo, se abrirá una página web en la aplicación donde deberá ingresar su nombre de usuario, contraseña y código de un solo uso. A continuación, debe habilitar Outline para usar la API de DigitalOcean, completando así el proceso de preconfiguración.

El siguiente paso es crear un servidor VPN, mencionan los expertos en hacking ético. De forma predeterminada, Outline elige el plan DigitalOcean más barato ($5 USD al mes por 1 TB de tráfico). Los centros de datos de DigitalOcean están ubicados en 8 ciudades diferentes alrededor del mundo: Ámsterdam, Singapur, Bangalore, Frankfurt, Londres, San Francisco, Toronto y Nueva York.

A continuación deberá elegir una ciudad, para que la aplicación de gestión descargue automáticamente la imagen del contenedor de Docker y cree un servidor en DigitalOcean basado en esta imagen. El software de este servidor se actualizará automáticamente cada hora, mencionan los expertos en hacking ético.

DigitalOcean realizará automáticamente actualizaciones de seguridad para el sistema operativo y se reiniciará cuando sea necesario, mencionan los expertos en hacking ético; podrá controlar su propio servidor VPN desde la aplicación de gestión. De forma predeterminada, Outline genera solo una clave por usuario, no obstante, puede agregar nuevos usuarios al servidor para invitar a amigos o colegas.

Outline Manager permite agregar o eliminar servidores y restringir el acceso a usuarios; esta aplicación también nos mostrará información sobre el consumo de tráfico de los usuarios registrados. Por otra parte, el sitio web de invitación es una plataforma estática de Amazon Web Services (AWS) con dos elementos principales:

• La página invita a los usuarios a descargar la aplicación cliente en sus dispositivos
• Los usuarios reciben una clave única que forma parte de una URL. El navegador muestra la clave dada cuando carga la página

Es importante recordar que no debe invitar a otros usuarios a través de canales no cifrados como Facebook o vía correo electrónico.

Establecer conexión con el servidor VPN es relativamente sencillo. Todo lo que se requiere es instalar la aplicación o hacer clic en el enlace de invitación.

La aplicación cliente para conectarse al servidor VPN está disponible para las plataformas Windows, Android, macOS e iOS. Esta consta de una interfaz muy simple que solo permite conectarse o desconectarse del servidor.

Una buena alternativa a los servicios VPN convencionales

Los expertos en hacking ético señalan que Outline usa el protocolo Shadowsocks, muy diferente a otras opciones como OpenVPN, IPSec y WireGuard, principalmente debido a que no se trata de un protocolo VPN.

Shadowsocks es un proyecto de código abierto para crear un servidor proxy cifrado SOCKS5 para redirigir el tráfico de Internet. Técnicamente, una VPN es un túnel cifrado entre un dispositivo y un servidor, por lo que todo este tráfico pasa por el túnel, interactuando con Internet público. Empleando Shadowsocks podrá estar completamente seguro de que su compañía proveedora de Internet no podrá entrometerse con su tráfico, además de acceder a sitios restringidos solo para algunas zonas geográficas.   

No obstante, este enfoque también tiene sus desventajas. Al igual que ocurre en otras opciones VPN, cualquiera con acceso al servidor VPN podría ver su tráfico de red, esta información podría terminar en manos de compañías de marketing o incluso de otros proveedores de servicios VPN.

El proxy SOCKS5 parece tráfico normal de Internet, por lo que Shadowsocks combina los beneficios de un proxy con el cifrado de tráfico. Aún así los usuarios no pueden estar seguros de que todo el tráfico de la red pasa por el servidor proxy; ya que todo depende de la aplicación específica. Outline puede ser una gran herramienta si desea acceder a sitios bloqueados en su navegador, pero esta conexión no proporcionará un anonimato completo de su actividad en línea.

¿Qué papel juega Google aquí?

Si bien este es un proyecto completamente financiado por Google y su compañía matriz, la participación de Jigsaw parece ser un mensaje claro de respaldo a la confianza de los desarrolladores externos, que pueden colaborar directamente con Outline al tratarse de un proyecto de código abierto.

Jigsaw recopila reportes anónimos sobre errores en el servicio, además de reunir información sobre las direcciones IP de todos los servidores, pero sin la posibilidad de acceder a ellos. Si los usuarios lo desean, pueden compartir información adicional sobre su tráfico de red.

Conclusiones

El principal reto de los desarrolladores de herramientas como Outline es la asequibilidad, aunque los expertos en hacking ético consideran que se deben realizar esfuerzos más notables para perfeccionar esta plataforma, aunque sin duda los primeros pasos son de lo más adecuados para impulsar un proyecto con gran potencial.

Outline podría convertirse en una solución a gran escala para los usuarios en países como China, que enfrentan estrictas restricciones en su acceso a Internet, sin mencionar que podría consolidarse como una opción más segura que cualquier otro servicio VPN disponible en la actualidad.

El cargo Pasos para crear tu propia VPN apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente