viernes, 31 de julio de 2020

Vulnerabilidad de Philips DreamMapper permite hackear la forma en que duermes

Especialistas en seguridad de la información reportan el hallazgo de una vulnerabilidad en DreamMapper, un sistema de monitoreo desarrollado por Philips que sirve como auxiliar en el tratamiento de la apnea del sueño. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas acceder a la información del archivo de registro que contiene mensajes de error descriptivos.

Este sistema es empleado por organizaciones para la salud, ya sean públicas o privadas, en todas partes del mundo, por lo que la posible explotación de esta falla es un riesgo que los gobiernos y agencias de ciberseguridad deben considerar seriamente.

Identificada como CVE-2020-14518, esta es una falla de ingreso de información escrita en los archivos de registro que puede conducir a ataques posteriores. La falla recibió un puntaje de 5.3/10 según el Common Vulnerability Scoring System (CVSS), mencionan los especialistas en seguridad de la información.

El reporte estuvo a cargo de Lutz Weimann, Tim Hirschberg, Issam Hbib y Florian Mommertz de SRC Security Research & Consulting GmbH, con sede en Alemania.

En respuesta al reporte, Philips anunció el lanzamiento de una nueva versión de DreamMapper. La compañía con sede en Países Bajos asegura que la versión corregida de este software estará lista en cuestión de unos pocos meses. Mientras las actualizaciones están listas, expertos en seguridad de la información recomiendan a los usuarios implementar las siguientes medidas para mitigar el riesgo de explotación

  • Configurar medidas de seguridad física para limitar el acceso a sistemas críticos
  • Restringir el acceso al sistema solo al personal autorizado, apegándose a una política de privilegios mínimos
  • Aplicar estrategias de defensa en profundidad
  • Deshabilitar cuentas y servicios innecesarios o con altos privilegios

Los usuarios también pueden contactar a los servicios de soporte de Philips para solicitar información adicional. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) también solicita a los usuarios implementar las medidas de seguridad necesarias para prevenir cualquier actividad maliciosa en sus sistemas.

El cargo Vulnerabilidad de Philips DreamMapper permite hackear la forma en que duermes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

2 vulnerabilidades día cero en TOR son publicadas. No hay parches disponibles, 3 fallas más por publicar

Un nuevo riesgo de seguridad ha sido detectado. Expertos en seguridad web han reportado el hallazgo de dos vulnerabilidades en la red y el navegador Tor. El Dr. Neal Krawetz está a cargo del hallazgo de dos vulnerabilidades día cero en Tor Project, cuyos desarrolladores parecen no haber abordado desde que fueron notificadas. 

Krawetz también menciona que revelará al menos otras tres vulnerabilidades día cero en Tor, incluyendo una falla que podría revelar la dirección IP real de los servidores Tor. A pesar de las recientes declaraciones del investigador, nadie de Tor Project se ha pronunciado al respecto.

El experto en seguridad web, que opera múltiples nodos Tor, menciona que la primera falla podría ser explotada por compañías y proveedores de servicios de Internet podrían bloquear a los usuarios y evitar que se conectaran empleando la red anónima con sólo escanear las conexiones de red, buscando una firma distinta de paquete, exclusiva del tráfico Tor. Este paquete podría usarse como método de bloqueo de conexiones, lo que podría considerarse como una conducta abusiva, especialmente en países donde el Internet se enfrenta a severas restricciones gubernamentales.

Hace apenas unas horas, Krawetz compartió algunos detalles sobre la segunda vulnerabilidad. Al igual que en el reporte anterior, esta falla permitiría detectar y bloquear el tráfico anónimo, aunque empleando un método diferente, pues este ataque depende de la detección de conexiones indirectas.   

Acorde a expertos en seguridad web, estas conexiones se hacen entre los puentes Tor, un tipo especial de punto de entrada a la red que puede emplearse si los proveedores de servicios de Internet bloquean el acceso a la red anónima. Un puente Tor actúa como proxy y retransmite las conexiones de usuario a la propia red Tor.

“Las conexiones a los puentes Tor pueden ser detectadas con facilidad, empleando una técnica similar a la del rastreo de paquetes TCP específicos. De este modo es posible evitar que cualquier usuario se conecte a la red Tor, ya sea directa o indirectamente”, agregó Krawetz.

Respecto a sus motivaciones para divulgar públicamente su hallazgo, Krawetz menciona que Tor Project no ha tomado en serio sus fallas de seguridad, refiriéndose a otros incidentes en los que los responsables de este proyecto han desestimado los riesgos de seguridad encontrados, mismos que siguen activos y podrían ser explotados en cualquier momento.  

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 2 vulnerabilidades día cero en TOR son publicadas. No hay parches disponibles, 3 fallas más por publicar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 30 de julio de 2020

Estafadores bancarios engañan a cientos de víctimas; más de $600k robados en 5 meses

Un grupo de actores de amenazas han estado estafando a usuarios de bancos en México y América Latina; acorde a expertos en seguridad de aplicaciones, las autoridades de múltiples países ya acumulan casi un centenar de informes relacionados con esta campaña, por la que los cibercriminales han robado más de 600 mil dólares.

El modo de operación de los hackers maliciosos es el siguiente: los usuarios reciben un mensaje SMS proveniente de su banco informándoles que sus cuentas fueron suspendidas o desactivadas por motivos de seguridad. El mensaje incluye un número de teléfono al que la víctima potencial deberá llamar para solicitar asistencia.

Al llamar al número en cuestión, la llamada es respondida por un supuesto ejecutivo bancario, quien pedirá a las víctimas sus datos confidenciales como nombre completo, número telefónico y detalles bancarios, incluyendo el último token de un solo uso recibido. Acorde a los expertos en seguridad de aplicaciones, al concluir la llamada los usuarios descubren que sus cuentas bancarias fueron comprometidas y su dinero se encuentra en manos de los hackers. 

Estas campañas son muy comunes y cuentan con un alto nivel de éxito para los hackers, por lo que especialistas en seguridad de aplicaciones recomiendan a los usuarios considerar las siguientes medidas de seguridad:

  • Tenga cuidado con los mensajes de texto o llamadas de supuestos ejecutivos bancarios. Los actores de amenazas emplean múltiples técnicas de suplantación de identidad (también conocido como phishing) para ocultar sus números telefónicos reales y usar información legítima del banco
  • No comparta su información confidencial. Si responde a la llamada de los cibercriminales, recuerde que por ningún motivo debe compartir sus detalles personales o bancarios con nadie. Las compañías nunca solicitarán números de tarjeta de pago, tokens bancarios, nombres de usuario o contraseñas por teléfono, correo electrónico o mensajes SMS
  • Notifique a su banco la actividad sospechosa. Las instituciones bancarias deben contar con toda la información posible sobre estos intentos de estafa para implementar las mejores medidas de mitigación de riesgo

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Estafadores bancarios engañan a cientos de víctimas; más de $600k robados en 5 meses apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Este ingeniero informático cobró venganza luego de ser despedido de su empresa. ¿Cómo lo hizo?

En ocasiones los incidentes de seguridad pueden ser perpetrados por quien menos se esperaría, aseguran especialistas en concientización de ciberseguridad. Las autoridades de Delhi, India, arrestaron a Vikesh Sharma, un ingeniero de software que decidió eliminar los historiales clínicos de 18 mil pacientes en cuatro ciberataques, además de borrar más de 300 mil registros de facturación y agregar alrededor de 20 mil registros falsos.

Acorde a Vijayanta Arya, CEO de la compañía afectada, Easy Solutions Private Limited, se presentó una demanda después de que un usuario desconocido hackeara la información de algunos centros hospitalarios. Después de la denuncia, las autoridades comenzaron a investigar, lo que llevó las miradas hacia Sharma.  

Poco después de comenzar la investigación los agentes de la ley encontraron una dirección IP relacionada con el ataque, lo que eventualmente los condujo a la ubicación del acusado. La policía local allanó el domicilio de Sharma y lo detuvo; finalmente el implicado se declaró culpable del ciberataque, mencionan los expertos en concientización de ciberseguridad.

Respecto a sus motivaciones para desplegar el ataque, Sharma declaró que se desempeñaba como ingeniero de software en la compañía atacada. No obstante, durante el periodo de aislamiento derivado de la pandemia la compañía redujo su salario y eventualmente Sharma fue despedido, por lo que el fin de estos ciberataques era la venganza contra sus antiguos empleadores.

Sharma tenía información completa sobre el sitio web de la compañía, por lo que después de dejar el trabajo, decidió hacer tanto daño a la compañía como fuese posible, señalan los expertos en concientización de ciberseguridad. En sus declaraciones, el acusado menciona que esperaba que sus jefes terminaran pidiéndole ayuda, aunque no se esperaba la intervención de las autoridades.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Este ingeniero informático cobró venganza luego de ser despedido de su empresa. ¿Cómo lo hizo? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Si recibe semillas procedentes de China, no las plante: Estafa de brushing en Amazon

Recientemente fue detectada una nueva variante de estafa que ha puesto en alerta a las autoridades de múltiples países, mencionan especialistas en seguridad de la información. En esta ocasión, el Departamento de Agricultura de Estados Unidos (USDA) ha emitido una alerta pidiendo a los ciudadanos no plantar cualquier paquete de semillas que pudieran recibir en sus hogares sin haber sido ordenadas en línea.

Las autoridades de estados como Virginia y Washington también han emitido alertas similares, después de detectar múltiples casos de personas que recibieron paquetes que nunca ordenaron. Estos paquetes, presuntamente provenientes de China, contienen semillas que podrían germinar en especies invasoras, muy perjudiciales para los cultivos y ganado local.

Los paquetes contienen semillas de diversos tamaños y colores, y en algunos casos las cajas que las contenían estaban etiquetadas como joyería u otros objetos pequeños. En algunos casos, una nota solicitaba a los usuarios mantener las bolsas selladas hasta que pudieran ser sembradas.

En respuesta a esta sospechosa actividad, el USDA comenzó a recolectar todas las semillas recibidas por ciudadanos aleatorios con el fin de determinar si éstas representan un riesgo para la agricultura en suelo norteamericano o el medio ambiente. La agencia está colaborando con el Departamento de Seguridad Nacional (DHS) y con expertos en seguridad de la información para averiguar el origen exacto de estas semillas.

Por el momento, esta parece ser un caso más de “brushing”, una estafa que involucra el envío de paquetes no solicitados por los usuarios. La intención de las compañías que llevan a cabo estas campañas es mejorar su reputación y publicar críticas falsas de sus productos.   

Respecto a la procedencia de los paquetes, el USDA sólo mencionó que las semillas vienen de China, aunque no se agregaron más detalles sobre la compañía que las envía. Esto ocurre en un momento especialmente complejo, pues las relaciones entre China y E.U. atraviesan por su punto más bajo en décadas.

Por otra parte, Wang Webin, portavoz del Ministerio de Relaciones Exteriores de China, asegura que el servicio postal local y las compañías privadas de envíos se apegan a una estricta restricción sobre el envío de semillas o cualquier otro producto agrícola, por lo que cree que estos paquetes podrían haber sido falsificados.

Las autoridades estadounidenses están investigando estas declaraciones, mencionan los expertos en seguridad de la información. No obstante, los gobiernos locales de Washington y Alabama han adoptado una postura más enérgica, calificando estos envíos como “contrabando agrícola”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Si recibe semillas procedentes de China, no las plante: Estafa de brushing en Amazon apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidades críticas en Cisco SD-WAN permiten ataques de ransomware en la red. Parche ahora

Un equipo de especialistas en pruebas de seguridad informática ha revelado el hallazgo de dos vulnerabilidades en productos de Cisco. Acorde al reporte, la explotación exitosa de estas vulnerabilidades permitiría a los actores de amenazas ejecutar código remoto y eludir las medidas de seguridad en el sistema para instalar ransomware u otras variantes de software malicioso. 

A continuación se presenta una breve descripción de las vulnerabilidades reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-3375: Un error de límite en los productos SD-WAN permitiría a los actores de amenazas ejecutar código arbitrario en el sistema objetivo, generando severos daños en la memoria.   

La falla recibió un puntaje de 8.5/10, por lo que se le considera una vulnerabilidad severa. La explotación de la falla permitiría un compromiso total del sistema objetivo, mencionan los expertos en pruebas de seguridad informática.

La lista completa de productos afectados se encuentra a continuación:

  • Cisco IOS XE SD-WAN: 16.9, 16.10, 16.12, 17.2
  • Cisco SD-WAN vBond Orchestrator: 18.3, 18.4.0, 19.2.0, 19.3.0, 20.1.0
  • Cisco SD-WAN vEdge Cloud Router: 18.3.0, 18.4, 19.2.0, 19.3.0, 20.1.0
  • Cisco SD-WAN vEdge Routers: 18.3, 18.4.0, 19.2.0, 19.3.0, 21.1.0
  • Cisco SD-WAN vManage: 18.3, 18.4, 19.2, 19.3, 20.1
  • Cisco SD-WAN vSmart Controller: 18.3, 18.4.0, 19.2.0, 19.3.0, 20.1.0

CVE-2020-3374: Una insuficiente verificación de autorización en SD-WAN vManage permite a los hackers remotos esquivar los mecanismos de seguridad. Esta falla permitiría a los actores de amenazas enviar solicitudes HTTP especialmente diseñadas para realizar escaladas de privilegios, permitiendo ataques posteriores.

Esta es una falla de seguridad media que recibió un puntaje de 7.7/10 en la escala CVSS, mencionan los expertos en pruebas de seguridad informática.  La vulnerabilidad reside en SD-WAN vManage v18.3, 18.4, 19.2, 19.3, 20.1.

A pesar de que las vulnerabilidades pueden ser explotadas de forma remota por actores de amenazas no autenticados, los investigadores no han detectado intentos de explotación activa o alguna variante de malware vinculada al ataque. Los parches para corregir ambas fallas ya están disponibles, se recomienda actualizar a la brevedad.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidades críticas en Cisco SD-WAN permiten ataques de ransomware en la red. Parche ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Las contraseñas para acceder a reuniones privadas en Zoom se pueden descifrar fácilmente: Nueva vulnerabilidad descubierta

Zoom es, discutiblemente, la plataforma de videoconferencia más popular de la actualidad, aunque el incremento de su popularidad también ha generado problemas de seguridad, mencionan expertos en seguridad web. Los desarrolladores de la plataforma acaban de corregir una falla que permitiría a los actores de amenazas descifrar el código empleado para acceder a una sesión grupal, lo que expone a los usuarios a actividades de espionaje.   

Las sesiones de Zoom están protegidas por una contraseña de seis dígitos, no obstante, Tom Anthony, investigador de la firma SearchPilot, una debilidad en este mecanismo permite a los actores de amenazas realizar ataques de diccionario con todas las posibles combinaciones de números y descifrar una contraseña en cuestión de unos cuantos minutos. 

El investigador notificó el problema a Zoom el pasado mes de abril, adjuntando a su reporte una prueba de concepto basada en Python, la falla fue corregida pocos días después. Cabe señalar que una contraseña de seis dígitos permite un total de un millón de posibles combinaciones, lo que representa un obstáculo mínimo para los hackers con suficientes conocimientos y recursos, mencionan los expertos en seguridad web.

FUENTE: Tom Anthony

Los equipos de seguridad de Zoom olvidaron establecer un máximo de intentos para ingresar la contraseña, por lo que los actores de amenazas podrían aprovechar el cliente web de Zoom (https://ift.tt/3jUMTyk)para enviar solicitudes HTTP constantes y descifrar la contraseña.

En su prueba de concepto, el investigador demostró ser capaz de acceder a reuniones en curso una vez que la contraseña fue descifrada. Además, Anthony detectó que un procedimiento idéntico podría realizarse para acceder a sesiones de Zoom programadas para horas posteriores, aunque esto requiere de una lista de 10 millones de posibles combinaciones.

Además, expertos en seguridad web reportaron un error durante el inicio de sesión detectado al emplear el cliente web, que emplea una redirección temporal para solicitar consentimiento de los clientes sobre sus términos de servicio. La falla en el token podría facilitar la explotación de otros mecanismos maliciosos de inicio de sesión.

Por seguridad, Zoom inhabilitó su cliente web hasta el lanzamiento de las actualizaciones. Los desarrolladores de la plataforma han trabajado a marchas forzadas recientemente para corregir todos los reportes que reciben; si bien algunos de los problemas reportados a la compañía no representan un riesgo para los usuarios, algunas fallas sí podrían comprometer la información confidencial que circula en la plataforma.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Las contraseñas para acceder a reuniones privadas en Zoom se pueden descifrar fácilmente: Nueva vulnerabilidad descubierta apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 29 de julio de 2020

¿Recibiste un correo del IFT? Asegúrate de que no sea una estafa de phishing

La comunidad de la ciberseguridad ha detectado una nueva campaña de fraude contra usuarios de tecnología en México. Acorde a expertos de un diplomado de ciberseguridad, el Instituto Federal de Telecomunicaciones (IFT) ha lanzado una alerta de seguridad relacionada con un correo electrónico que está siendo enviado de forma masiva para tratar de realizar cobros a las víctimas por supuestos servicios o pagos atrasados.

Estos mensajes de phishing advierten a los destinatarios que su proveedor de telefonía móvil ha solicitado hacer una verificación sobre deudas pasadas derivadas de su plan de pagos. Los criminales establecen una supuesta fecha de vencimiento para el pago, amenazando al usuario objetivo con iniciar un proceso legal en su contra si el pago no es realizado antes de la fecha límite.

Adjunto a este mensaje se encuentra un enlace para descargar una supuesta factura electrónica. Los expertos del diplomado de ciberseguridad creen que el enlace podría redirigir a las víctimas a una página falsa de inicio de sesión para extraer sus credenciales de inicio de sesión, o bien podría iniciar la descarga de alguna variante de malware para desplegar ataques posteriores.

A través de sus redes sociales, el IFT alertó a los usuarios sobre la campaña de phishing: “ATENCIÓN: El IFT no envía correos electrónicos solicitando información personal o la realización de pagos por servicios de telecomunicaciones”.

La recomendación principal es ignorar toda clase de mensajes similares, pues prácticamente ninguna compañía u organización gubernamental legítima solicita a sus usuarios información personal vía correo electrónico. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo ¿Recibiste un correo del IFT? Asegúrate de que no sea una estafa de phishing apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Este estafador robó $4 millones de ayuda económica para COVID-19 y se compró un Lamborghini

La pandemia ha forzado a los gobiernos de todo el mundo a ayudar económicamente a los pequeños empresarios y evitar que se vean forzados a cerrar, si bien esto ha resultado muy útil durante el confinamiento, muchas personas solo tratan de obtener ventajas de forma indebida. Especialistas en concientización de ciberseguridad reportan que un individuo estafó al gobierno de E.U. con préstamos millonarios, supuestamente pensados para salvar su empresa de mudanzas, aunque el acusado terminó comprando un Lamborghini.

El acusado, David T. Hines, quien fue arrestado el viernes, gastó miles de dólares en apps de citas, joyería, ropa y hospedaje en hoteles de lujo, además del auto de más de 300 mil dólares, menciona un reporte de Miami Herald.

Para el combate al coronavirus, el Congreso de E.U. aprobó la Ley CARES en marzo pasado, destinando más de 650 mil millones de dólares para contrarrestar las consecuencias económicas de la pandemia. Para esto, la Administración de Pequeños Negocios (SBA) otorga préstamos que pueden ser perdonados si son empleados adecuadamente por las pequeñas compañías, mencionan los expertos en concientización de ciberseguridad.

FUENTE: Miami Herald

El acusado habría solicitado un total de siete préstamos de SBA, por un monto cercano a los 13.5 millones de dólares con la intención de mantener las operaciones de sus cuatro empresas de mudanzas, establecidas en Florida. La agencia federal aprobó un préstamo cercano a los 4 millones de dólares, lo que garantizaría que Hines podría cubrir su nómina de casi 100 empleados. 

FUENTE: Miami Herald

Obviamente Hines no empleó sus préstamos correctamente. Después de que el acusado compró el auto, investigadores federales detectaron la compra y citaron a Hines a la corte; finalmente se establecieron cargos en su contra por fraude y desvío de fondos, sin olvidar que sus bienes serán confiscados, incluyendo el auto deportivo.

Después de la investigación se descubrió que, en promedio, los gastos de las empresas de Hines ascendían a cerca de 200 mil dólares, un monto mucho menor al que el acusado presentó en su solicitud a SBA, mencionan los expertos en concientización de ciberseguridad.

El proceso legal en contra de Hines está activo, por lo que el acusado aún está a la espera de conocer su sentencia. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Este estafador robó $4 millones de ayuda económica para COVID-19 y se compró un Lamborghini apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

¿Por qué China trata de hackear al Papa y al Vaticano?

Especialistas en seguridad de la información afirman que recientemente un grupo de hackers chinos trató de comprometer las redes informáticas del Vaticano, operaciones presuntamente patrocinadas por el gobierno del gigante asiático.

Estas operaciones fueron detectadas por la firma de seguridad Recorded Future, que menciona que el Partido Comunista Chino decidió emprender una campaña para incrementar su control sobre los grupos religiosos minoritarios en China. Aunque el gobierno chino reconoce de forma oficial cinco religiones, incluyendo el catolicismo, las autoridades consideran que los intereses de cultos religiosos podrían ir en contra del ideal del Partido Comunista, por lo que en ocasiones son tratados como amenazas de seguridad nacional.

Según reportan especialistas en seguridad de la información, los grupos de hackers patrocinados por el gobierno chino han emprendido múltiples campañas de ciberataque con la intención de reunir la mayor cantidad de información posible sobre los grupos que consideran subversivos, como católicos, tibetanos budistas, musulmanes uigures, entre otras etnias.   

En esta ocasión los hackers rebasaron los límites del territorio chino, pues el objeto de este ataque es el Vaticano y su Misión de Estudio en Asia. Este grupo, con sede en Hong Kong, funge como intermediario en las negociaciones entre la iglesia católica y las autoridades chinas.    

La razón detrás de estos ataques parece estar relacionada con las negociaciones del próximo mes de septiembre, cuando se nombrarán obispos y se tomarán decisiones sobre el estado de los templos católicos en el país asiático. Los ciberataques habrían comenzado en mayo, mencionan expertos en seguridad de la información. Todo comenzó cuando se detectó un ataque empleando un documento de apariencia legítima enviado al Vaticano que en realidad contenía una carga maliciosa.

FUENTE: Recorded Future

En realidad, el correo electrónico llevaba un mensaje de condolencias por la muerte de un obispo algún tiempo atrás. Se desconoce si esta cara era real o fue redactada por los criminales, aunque es un hecho que se empleó como punto de acceso a las redes comprometidas. 

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo ¿Por qué China trata de hackear al Papa y al Vaticano? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Elimine estas 29 apps de edición de fotos; podrían robar sus datos bancarios

A pesar de sus medidas de seguridad, Play Store sigue siendo un gran apoyo para los actores de amenazas, mencionan expertos en seguridad de aplicaciones. La más reciente campaña maliciosa desplegada a través de esta plataforma tiene que ver con un conjunto de apps maliciosas que infestan los dispositivos Android con publicidad invasiva y aleatoria. Además, los expertos mencionan que estas apps son capaces de ocultar su ícono después de que son instaladas en un dispositivo. 

Los investigadores de White Ops detectaron un total de 29 aplicaciones potencialmente maliciosas con gran cantidad de tráfico de anuncios y más de 3.5 millones de descargas. Desarrolladas por la firma “ChartreuseBlur“, estas aplicaciones se enfocan en los efectos de cámara y edición de fotografías.

FUENTE: White Ops

Las características de estas aplicaciones hacen muy complicado su proceso de desinstalación, pues los usuarios incluso deben ingresar al menú de configuraciones de su dispositivo para comprobar si la aplicación realmente está instalada, mencionan los expertos en seguridad de aplicaciones. Otro método para comprobar esto es verificar la lista de procesos en ejecución.

Una de las apps que más llamó la atención de los especialistas fue Square Photo Blur, pues consideran que se comporta de forma similar a muchas otras aplicaciones maliciosas. Después de ser descargada, esta app comienza a infestar el dispositivo con anuncios sin sentido aparente, conducta inesperada en cualquier software disponible en Play Store. La plataforma eliminó esta app poco después de recibir algunas quejas. 

Posteriormente, los expertos en seguridad de aplicaciones concluyeron que el conjunto de aplicaciones analizadas contenían una carga útil en tres etapas; mientras que el código de las apps aparece de forma normal en las dos primeras etapas, la tercera muestra indicios de conducta sospechosa.

Esta tercera etapa es exactamente donde el código malicioso oculto dentro de la aplicación comienza a generar anuncios, además de que su presencia puede apreciarse en forma de paquetes com.bbb. Los anuncios invasivos pueden aparecer apenas el usuario desbloquea el teléfono, o bien al comenzar la carga o cambiar de red móvil a conexión WiFi.

Finalmente, al seleccionar el ícono de la aplicación, los investigadores descubrieron que Square Photo Blur es una especie de cascarón vacío cuyos desarrolladores se las arreglaron para eludir los controles de Play Store.

La lista de aplicaciones maliciosas ya ha sido reportada, se espera que estos desarrollos sean eliminados de la plataforma a la brevedad. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Elimine estas 29 apps de edición de fotos; podrían robar sus datos bancarios apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 28 de julio de 2020

Vulnerabilidades de inyección SQL en rConfig. Asegure sus redes antes de que los hackers ataquen

Un equipo de especialistas en seguridad de la información ha publicado un informe sobre la detección de 4 vulnerabilidades en rConfig, la popular utilidad de administración de configuración de dispositivos de red de código abierto. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas realizar inyecciones SQL, inyecciones de código, entre otros ataques.

A continuación se muestra una breve descripción de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-15712: Un error de validación de entrada al procesar secuencias permite a los actores de amenazas realizar ataques de directorio mediante el envío de solicitudes HTTP especialmente diseñadas. La vulnerabilidad recibió un puntaje de 6/10 en la escala CVSS, mencionan los especialistas en seguridad de la información.

CVE-2020-15713: Una insuficiente desinfección de los datos proporcionados por el usuario a través del parámetro “sortBy” en “devices.php” permitiría a los actores de amenazas ejecutar consultas SQL arbitrarias en la base de datos objetivo.

La vulnerabilidad recibió un puntaje de 7.7/10 y su explotación exitosa permitiría desplegar ataques de phishing, infecciones de malware, entre otros.   

CVE-2020-15714: Una desinfección insuficiente de los datos pasados a través del parámetro “custom_Location” en “devices.crud.php” permite a los atacantes autenticados realizar consultas SQL arbitrarias en la base de datos objetivo.

Al igual que el caso anterior, esta vulnerabilidad recibió un puntaje de 7.7/10 en la escala CVSS.

CVE-2020-15715: La validación de entrada incorrecta pasada a través del parámetro “nodeId” en el script “search.crud.php” permitiría a los actores de amenazas ejecutar código arbitrario en el sistema objetivo.

La vulnerabilidad recibió un puntaje de 7.7/10, mencionan los especialistas en seguridad de la información.

A pesar de que las fallas podrían ser explotadas de forma remota por actores de amenazas no autenticados, los especialistas señalan que no se han detectado intentos de explotación activa. Las actualizaciones ya están disponibles, por lo que los administradores de implementaciones afectadas deben instalar los parches a la brevedad.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidades de inyección SQL en rConfig. Asegure sus redes antes de que los hackers ataquen apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

13 vulnerabilidades encontradas en Pulse Connect Secure y Pulse Policy Secure SSL VPN

Especialistas de un curso de pentesting han revelado el hallazgo de 13 vulnerabilidades en Pulse Connect Secure y Pulse Policy Secure, soluciones de acceso remoto y red privada virtual (VPN) de Pulse Secure. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas ejecutar código malicioso, realizar ataques de scripts entre sitios, entre otras variantes de ataque.

Las fallas se encuentran en las siguientes versiones de los productos afectados:

  • Pulse Connect Secure: 9.1R1, 9.1R2, 9.1R3, 9.1R4, 9.1R4.1, 9.1R4.2, 9.1R4.3, 9.1R5, 9.1R6, 9.1R7
  • Pulse Policy Secure: 9.1R1, 9.1R2, 9.1R3, 9.1R3.1, 9.1R4, 9.1R4.1, 9.1R4.2, 9.1R5, 9.1R6, 9.1R7

A continuación se muestra una breve descripción de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2019-11507: La desinfección insuficiente de los datos proporcionados por el usuario en Application Launcher permite desplegar ataques de scritps entre sitios (XSS). Los hackers remotos pueden engañar a un usuario objetivo para ejecutar HTML arbitrario, completando el ataque.

Un ataque exitoso conduciría a escenarios de phishing, descargas arbitrarias, modificación de la apariencia de un sitio web, entre otros. La falla recibió un puntaje de 5.3/10, mencionan los especialistas del curso de pentesting.

CVE-2018-19519: La función print_prefix presenta una falla que permitiría a los actores de amenazas remotos obtener información confidencial en el sistema e incluso desplegar ataques de denegación de servicio (DoS). Los hackers maliciosos podrían engañar a la víctima para ejecutar un comando tcpdump en un archivo .pcap, lo que envía información maliciosa y desencadena una sobrecarga de búfer, llevando a la condición DoS.

Esta es una falla de severidad baja y recibió un puntaje de 6.2/10; cabe mencionar que existe un exploit público para esta vulnerabilidad.

CVE-2020-8206: Una falla al procesar las solicitudes de autenticación en los productos afectados permitiría a los hackers remotos esquivar los mecanismos de autenticación; los atacantes pueden esquivar el Google TOTP si las credenciales no están protegidas de forma adecuada.

Esta es una vulnerabilidad de severidad media y recibió un puntaje de 6.2/10.

CVE-2020-8218: Esta falla existe debido a una validación de entrada incorrecta en el panel de administración de los productos de Pulse Secure que permitiría ejecutar comandos shell en el sistema objetivo.

Los actores de amenazas podrían pasar datos especialmente diseñados a la aplicación y completar la ejecución de código. Los expertos del curso de pentesting asignaron a esta vulnerabilidad un puntaje de 6.3/10.

CVE-2020-8221: Un error de validación de entrada al procesar secuencias transversales de directorio en el panel de administración. La falla recibió un puntaje de 4.3/10 en la escala CVSS.  

CVE-2020-8222: Un error de validación de entrada al procesar secuencias transversales de directorio en la interfaz de administración permite a los actores de amenazas realizar ataques de directorio. La falla recibió un puntaje de 4.3/10.

CVE-2020-8219: Las aplicaciones afectadas no imponen restricciones de seguridad adecuadas, lo que permitiría a los hackers remotos escalar privilegios en el sistema. La falla recibió un puntaje de 6.3/10.

CVE-2020-8220: La validación de entrada incorrecta al procesar entradas proporcionadas por el usuario de la interfaz web podría desencadenar condiciones DoS. La vulnerabilidad recibió un puntaje de 4.3/10.

CVE-2020-12880: Las restricciones de seguridad inadecuadas en estos productos permiten a los actores de amenazas escalar privilegios en el sistema. La explotación de esta falla requiere acceso físico al sistema objetivo.

CVE-2020-8204: La desinfección insuficiente de los datos proporcionados por el usuario y que son pasados a través de URL a la página PSAL permite a los hackers remotos ejecutar ataques XSS. La falla recibió un puntaje de 5.3/10.

CVE-2020-8217: La insuficiente descripción de los datos proporcionados por el usuario a través de la URL utilizada para Citrix ICA permite el despliegue de ataques XSS. La vulnerabilidad recibió un puntaje de 5.3/10.

CVE-2020-8216: Las restricciones de acceso inadecuadas al software afectado permitirían a los actores de amenazas obtener acceso no autorizado; la vulnerabilidad recibió un puntaje de 3.8/10.

CVE-2020-15408: Las restricciones de acceso inadecuadas permiten a los hackers remotos obtener acceso no autorizado a funciones restringidas en el sistema objetivo. La falla recibió un puntaje de 3.8/10.

Aunque la mayoría de estas fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos mencionan que no se han detectado casos de explotación activa. Las actualizaciones ya están listas, por lo que se recomienda a los administradores de implementaciones afectadas instalarlas a la brevedad.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 13 vulnerabilidades encontradas en Pulse Connect Secure y Pulse Policy Secure SSL VPN apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Se filtra el código fuente de decenas de empresas. Qualcomm, Motorola, Mediatek, GE, Nintendo, Disney, Johnson Controls y otras firmas afectadas

Una filtración masiva acaba de ser confirmada. Acorde a especialistas en auditoría de base de datos, el código fuente almacenado en los repositorios de múltiples compañías ha sido expuesto públicamente debido a sus débiles configuraciones de seguridad. El incidente afecta a toda clase de firmas, desde desarrolladores de tecnología y servicios financieros hasta vendedores minoristas y cadenas de restaurantes.

Entre las compañías comprometidas se encontrarían Qualcomm, Motorola, Mediatek, GE, Nintendo, Disney, Johnson Controls, entre otras.

Los detalles sobre este incidente fueron recopilados por Tillie Kottmann, especialista en ingeniería inversa. Mucha de la información expuesta en este incidente está disponible en un repositorio de GitLab al alcance de cualquier usuario. Al parecer, el código de más de 50 compañías está disponible en el repositorio. No obstante, existen múltiples carpetas vacías, aunque también es posible encontrar credenciales de inicio de sesión.

Hasta el momento, los expertos en auditoría de base de datos han encontrado muestras del código de diversas compañías en múltiples ramos empresariales, por ejemplo

  • Tecnología financiera: Fiserv, Buczy Payments, Mercury Trade Finance Solutions
  • Instituciones bancarias: Banca Nazionale del Lavoro, con sede en Italia
  • Desarrollo de tecnología: Pieran Access One, entre otras

En declaraciones para la plataforma BleepingComputer, Kottmann mencionó que los repositorios contienen información a la que es realmente fácil acceder, aunque las compañías y los investigadores están haciendo un gran esfuerzo para eliminar el acceso a estos datos y prevenir mayores daños: “Trato de hacer lo mejor posible para evitar que cualquier detalle relevante se vea comprometido”, agregó Kottmann.

Los investigadores también han estado respondiendo a las solicitudes de eliminación de registros que las empresas afectadas han emitido, además esperan establecer comunicación con sus equipos de TI para fortalecer la seguridad de su infraestructura informática. Algunas empresas, como Mercedes-Benz, ya han solicitado la eliminación de registros presentes en el repositorio.

Los expertos en auditoría de base de datos mencionan que no se han presentado muchas solicitudes para eliminar la información expuesta, algo común en esta clase de incidentes. En la mayoría de los casos, las compañías afectadas se limitan a mostrar curiosidad sobre la forma en la que su información fue comprometida.

Sobre la vigencia de la información comprometida, los expertos mencionan que el servidor de GitLab está repleto de datos desactualizados o que incluso no han recibido actualizaciones desde su creación.

Kottmann considera que esta es una práctica más común de lo que se cree; en un canal de Telegram, Kottmann ofrece detalles sobre filtraciones que afectan a muchas otras compañías, aunque el canal está especialmente enfocado en filtraciones de Nintendo y sus videojuegos clásicos.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Se filtra el código fuente de decenas de empresas. Qualcomm, Motorola, Mediatek, GE, Nintendo, Disney, Johnson Controls y otras firmas afectadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Usuarios de Office 365 están recibiendo estos correos electrónicos de phishing de SharePoint

Especialistas en seguridad web reportan la detección de una campaña maliciosa en la que los atacantes emplean mensajes automatizados de SharePoint para enviar correos electrónicos de phishing contra usuarios de Office 365.

Una característica que resalta en este ataque es que el email empleado por los actores de amenazas no está dirigido contra un usuario en específico, sino que trata de abarcar cualquier posibilidad relacionada con el trabajo del destinatario. De este modo, los cibercriminales aprovechan las altas probabilidades de que un usuario caiga en la trampa, con lo que obtendrán acceso a sus credenciales de inicio de sesión y las emplearán de forma maliciosa.

Después de analizar algunos correos electrónicos relacionados con el ataque, los expertos en seguridad web concluyeron que estos mensajes son breves y emplean términos y estructuras similares al texto de las notificaciones automáticas. Los actores de amenazas emplean el nombre de la compañía objetivo en todos los lugares posibles con el objetivo de hacer creer a las víctimas que se trata de comunicación interna; al igual que otras campañas de phishing, el correo electrónico contiene un enlace a un sitio malicioso. 

Respecto a la carga útil empleada en el ataque, su descarga inicia proporcionando a la víctima un botón; al hacer clic en éste, los usuarios son redirigidos a un formulario de envío en el que los actores de amenazas extraerán las credenciales de inicio de sesión de las víctimas. El sitio web malicioso también podría descargar un documento PDF para redirigir a los usuarios a otros sitios web.   

Este ataque podría poner en riesgo las redes de toda la organización, pues los actores de amenazas podrán lanzar ataques posteriores para extraer credenciales con privilegios más elevados y acceder a información confidencial de la organización objetivo, mencionan los especialistas en seguridad web.

El informe indica que este ataque es altamente efectivo gracias a la técnica para ocultar la URL maliciosa de los hackers, disfrazada de texto vía un hipervínculo. Si la URL no estuviese oculta, el usuario objetivo podría detectar la actividad maliciosa. Además, la página a la que los usuarios son redirigidos es prácticamente idéntica a un archivo seguro de Sharepoint, donde se pide a los usuarios ingresar sus credenciales de inicio de sesión. Los hackers incluso se tomaron el tiempo de incluir los logotipos oficiales de Microsoft y Sharepoint, dándole al sitio web una apariencia más legítima.  

La recomendación para los usuarios es la misma cuando se trata de una campaña de phishing, lo mejor es ignorar esta clase de mensajes y notificar al área de TI para analizar la situación y, en caso de ser necesario, contener las amenazas antes de que sea tarde.

El cargo Usuarios de Office 365 están recibiendo estos correos electrónicos de phishing de SharePoint apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

lunes, 27 de julio de 2020

Hackers de Pangu demuestran vulnerabilidad SEP en iOS 14 públicamente. Seguridad de dispositivos Apple en grandes problemas

Xu Hao, investigador en seguridad de la información de Team Pangu, ha revelado el hallazgo de una vulnerabilidad “incorregible” en el chip Secure Enclave Processor (SEP). La falla, identificada como “Attack Secure Boot”, fue presentada en la conferencia MOSEC 2020, llevada a cabo en Shangai, China.

Cabe recordar que SEP es un coprocesador independiente que proporciona una capa adicional de seguridad a los dispositivos Apple. Este chip es capaz de almacenar información confidencial del usuario, como datos de Apple Pay, contraseñas, entre otras.

Es muy probable que el equipo de hackers chino trate de vender este hallazgo a Apple a cambio de una gran recompensa. Team Pangu reveló algunos detalles sobre el error descubierto: “Esta no es una vulnerabilidad en la SEPROM propiamente. Mejor dicho, es un error en el controlador de memoria que manipula la memoria de registro TZ0”. Acorde a los expertos en seguridad de la información, TZ0 se refiere a un registro que controla el rango de uso de la memoria SEP.

Una vulnerabilidad de estas características en SEP puede tener enormes implicaciones desde el punto de vista de la seguridad, mencionan los expertos. Por ejemplo, podría permitir ajustes de jailbreak maliciosos para acceder y leer datos confidenciales de los usuarios almacenados en el chip vulnerable.

Por otra parte, no todo son malas noticias como inicialmente creían los especialistas en seguridad de la información, principalmente por dos razones:

  • La vulnerabilidad solo afecta a dispositivos que son compatibles con checkm8 o checkra1N
  • Además, los dispositivos con sistema en chip A12/A13 no tienen un exploit BOOTROM. Sin un exploit BOOTROM, es imposible saber si este error existe en esos dispositivos, limitando seriamente el alcance de un ataque potencial

El investigador de seguridad axi0mX considera que esta vulnerabilidad no puede ser utilizada para aplicar jailbreak vía navegador web (JailbreakMe) o con una aplicación (unc0ver), porque el valor en el registro de TZ0 no se puede cambiar después del arranque.

Cabe mencionar que la falla se basa en el acceso físico al dispositivo, otro factor que limita el alcance del ataque. Por otra parte, Apple utiliza varias estrategias de mitigación basadas en hardware y software, reduciendo el impacto de un ataque potencial. Para desencadenar esta vulnerabilidad, un actor de amenazas requiere, además de acceso físico al dispositivo, un exploit BOOTROM del estilo de checkm8.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.  

El cargo Hackers de Pangu demuestran vulnerabilidad SEP en iOS 14 públicamente. Seguridad de dispositivos Apple en grandes problemas apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Cloudflare fue hackeada; base de datos con 3 millones de direcciones IP reales se filtró en darknet

Un equipo de expertos en pruebas de seguridad informática del Centro Nacional de Coordinación de Ciberseguridad, parte del Consejo Nacional de Seguridad de Ucrania, confirmó que los datos de más de 3 millones de sitios web que emplean servicios de Cloudflare se encuentran expuestos en foros de hacking en dark web.

Cabe mencionar que Cloudflare presta servicios de red para ocultar la dirección IP real de un sitio  web, un método para la protección contra algunas variantes de ciberataque, como denegación de servicios (DoS), entre otros.

La lista publicada contiene las direcciones IP reales de los sitios web comprometidos, lo que representa un gran riesgo de seguridad para los clientes de la compañía. Este ataque involucra compañías privadas y organizaciones gubernamentales, incluyendo 45 registros con dominio “.gov.ua”, además de 6 mil direcciones con dominio “.ua”, relacionados con infraestructura crítica, mencionan los expertos en pruebas de seguridad informática.

Los investigadores analizaron la información sobre los sitios web comprometidos, concluyendo que muchos de los registros expuestos se encuentran desactualizados. No obstante, una parte considerable de la información expuesta sigue siendo relevante para las compañías involucradas. Los administradores de sitios web expuestos ya han sido notificados, por lo que deberán implementar las medidas requeridas para prevenir potenciales ataques mientras Cloudflare sigue investigando el incidente.

La principal recomendación para los afectados es restablecer todas las direcciones IP asociadas a sus recursos en línea, además de habilitar todos los mecanismos de monitoreo contra ciberataques que sea posible.

Este incidente ocurrió en un contexto complejo, pues expertos en pruebas de seguridad informática acaban de reportar la detección de un nuevo método de ataque DoS en Ucrania, empleado para colapsar las redes de compañías de servicios de telecomunicación.   

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.  

El cargo Cloudflare fue hackeada; base de datos con 3 millones de direcciones IP reales se filtró en darknet apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

REMnux 7, la herramienta de informática forense para análisis de malware: ¿Cómo se usa?

El análisis de malware es una de las labores más complejas en la comunidad de la ciberseguridad, mencionan especialistas en seguridad de aplicaciones. Una de las herramientas más confiables para los analistas de software maliciosos es el set basado en Linux conocido como REMnux, que por más de diez años ha apoyado en el combate al cibercrimen.  

Debido a que reúne cientos de diferentes herramientas gratuitas para actividades como forense digital, respuesta a incidentes, análisis de malware, entre otras, REMnux se ha convertido en una de las más eficaces iniciativas en el combate al malware y la prevención de catastróficas infecciones que podrían comprometer las operaciones de empresas y organizaciones gubernamentales.

Otro atractivo de REMnux es su continua reconstrucción, mencionan los expertos en seguridad de aplicaciones. Gracias a esto, los desarrolladores mantienen actualizada la herramienta, por lo que el avance en el desarrollo de malware no es una ventaja significativa para los cibercriminales. Para esto, REMnux ahora cuenta con SaltStack que permite la automatización de la instalación y configuración del software de análisis, además de incluir una nueva arquitectura que facilita la retroalimentación con la comunidad de la ciberseguridad.

Entre las principales características de REMnux podemos encontrar:

Análisis de ejecutables de Windows

  • Propiedades estáticas
  • Cadenas y desofuscación
  • Emulación de código
  • Descompilación

Ingeniería inversa de binarios Linux

  • Propiedades estáticas
  • Descompilación
  • Depuración
  • Análisis de comportamiento

Análisis de otras formas de código malicioso

  • Android: apktool, droidlysis3.py, etc.
  • Java: cfr, procyon, jad, jd-gui, etc.
  • Python: pyinstxtractor.py, etc.
  • JavaScript: js, js-file, objects.js, etc.
  • Shellcode: shellcode2exe.bat, etc.
  • PowerShell: pwsh, base64dump
  • Flash: swfdump, flare, flasm, swf_mastah.py, etc.

Análisis de documentos sospechosos

  • Archivos de Microsoft Office: vmonkey, pcodedmp, olevba, xlmdeobfuscator, oledump.py, etc.
  • Archivos RTF: rtfobj, rtfdump
  • Emails: emldump, msgconvert
  • Archivos PDF: pdfid, pdfparser, pdfextract, pdfdecrypt, etc.

Respecto a la década de uso de REMnux, el principal fundador y desarrollador, Lenny Zeltser, menciona: “Es difícil creer que han pasado 10 años desde el lanzamiento de la primera versión. Durante estos años, esta distribución se convirtió en la opción más popular entre los analistas de malware y expertos en ingeniería inversa”.

Para los expertos en seguridad de aplicaciones, REMnux es tan importante para el análisis de malware como Kali lo es para el pentesting. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo REMnux 7, la herramienta de informática forense para análisis de malware: ¿Cómo se usa? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

¿Cómo hackearon app de banca móvil para robar datos de 7.5 millones de usuarios?

Especialistas en seguridad de base de datos reportan que la firma de tecnología financiara Dave sufrió una brecha de datos que derivó en la exposición de una base de datos que almacenaba más de 7 millones de registros. La información comprometida se encontraba a la venta en un foro de hacking, aunque finalmente fue lanzada de forma gratuita en otras plataformas de dark web.

Los responsables del incidente publicaron la base de datos, que contenía un total de 7 millones 516 mil 691 registros. Al respecto, Dave reconoció la brecha de datos unas horas después, mencionando que todo se deriva de un incidente en una compañía de terceros: “Una intrusión en Waydev, uno de nuestros proveedores de servicios externos, permitió el acceso no autorizado a ciertos datos de usuario en Dave, incluyendo las contraseñas hash de usuarios”.

FUENTE: BleepingComputer

Aún no se sabe cómo es que esta compañía de terceros fue atacada, mencionan los expertos en seguridad de base de datos. Esta base de datos contiene nombres, números telefónicos, domicilios, fechas de nacimiento, números de seguridad social, direcciones email y contraseñas hash de Bcrypt.

FUENTE: BleepingComputer

Por seguridad, Dave forzó un restablecimiento de contraseñas en todas sus cuentas de usuario; la compañía también recomendó a sus usuarios cambiar las contraseñas de otras plataformas en línea para evitar ataques de relleno de credenciales.

Hace algunas semanas, expertos en seguridad de base de datos de la firma Cyble revelaron que un actor de amenazas había puesto en subasta una base de datos perteneciente a Dave; aunque la compañía financiera respondió rápidamente, parece que los reportes fueron desestimados. El responsable de este ataque también estaba subastando bases de datos para Swvl.com y Dunzo.com; Dunzo reconoció que sufrió una brecha de datos hace algunos días. 

Poco después del incidente, la base de datos fue vendida a un usuario anónimo (una operación cercana a los $16 mil USD); finalmente, el 24 de julio pasado, el hacker conocido como ShinyHunter publicó de forma gratuita la base de datos en múltiples foros de hacking.

FUENTE: BleepingComputer

Los investigadores ignoran las razones por las que ShinyHunter filtró esta base de datos, no obstante, ahora que la información fue expuesta, otros actores de amenazas podrían desplegar peligrosas campañas de hacking, por lo que los usuarios afectados deben tomar en cuenta las recomendaciones de seguridad.   

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo ¿Cómo hackearon app de banca móvil para robar datos de 7.5 millones de usuarios? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

¿Cómo funciona la estafa vishing del antivirus falso?

Una nueva amenaza de seguridad fue detectada por expertos en auditorías de sistemas. Según un informe del Fiscal General de Virginia Occidental, los ciudadanos deben permanecer alertas para no caer en la nueva campaña de vishing diseñada por los cibercriminales.

El fiscal Patrick Morrisey dice que su oficina ha recibido más de 100 llamadas de consumidores de todo el estado notificando la nueva estafa. Al parecer, todo comienza con un mensaje de voz; quien llama exige a la víctima un pago de hasta $400 USD por la supuesta compra de un software antivirus.

Estas llamadas usualmente involucran el uso de mensajes grabados, mencionan expertos en auditorías de sistemas. Según los reportes, los atacantes mencionan: “Le informamos que hemos renovado su servicio de antivirus para el año próximo por $399 USD; el cargo se verá reflejado en 24 horas. Si desea cancelar y recibir un reembolso, llame al 1-213-288-7257”.

Si los usuarios llaman al número proporcionado, la llamada es contestada por un supuesto representante de la compañía de seguridad, quien tratará de que el usuario realice un pago usando su tarjeta de crédito. Además, los presuntos estafadores también pueden tratar de acceder a la computadora de la víctima en caso de que rechace realizar el pago, alegando una actualización de software.

Otras versiones de la estafa involucran a supuestos representantes de una compañía tecnológica desconocida que reclama el pago por servicios que no solicitó el usuario, mencionan los especialistas en auditorías de sistemas.

“Los consumidores deben ser cuidadosos si reciben una de estas llamadas, especialmente si no están familiarizados con el tema que tratan los estafadores”, menciona el fiscal. Morrisey también recomienda a los usuarios tratar de identificar las señales de alerta al recibir estas llamadas: “En ocasiones los hackers usan máquinas para no usar sus voces, eligen palabras poco usuales o cometen errores en el uso del lenguaje; lo más importante es no creer sus historias y no enviarles dinero bajo ninguna circunstancia”.

Los consumidores también deben proteger su información confidencial, como contraseñas, la información de su red WiFi e información financiera, menciona la alerta del fiscal. Si los usuarios creen que han caído víctimas de esta estafa, deben contactar a su banco y restablecer sus contraseñas a la brevedad, además de verificar su actividad reciente en línea.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo ¿Cómo funciona la estafa vishing del antivirus falso? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

domingo, 26 de julio de 2020

73 HERRAMIENTAS DE HACKING EN UNA – TUTORIAL PASO A PASO

Todos prefieren usar sistemas operativos con todas las herramientas de prueba de penetración agrupadas en una, y HackingTool es una de estas herramientas. Este es un marco de código abierto ideal para pruebas de penetración.

Esta herramienta tiene 73 herramientas de hacking de diferente rango. En este marco, tenemos todas las herramientas en un solo lugar, que el pentester necesita durante sus investigaciones. Los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) también están de acuerdo en que es más fácil para los hackers/pentesters contar con esta herramienta. En esta publicación demostraremos el proceso paso a paso sobre el uso de HackingTool.

ENTORNO

  • Sistema operativo: Kali Linux 2020 64 bit
  • Versión de Kernel: 5.6.0

PASOS DE INSTALACIÓN

  • Use este comando para clonar el proyecto
  • git clone https://ift.tt/2ZLqzxW
root@kali:/home/iicybersecurity# git clone https://github.com/Z4nzu/hackingtool
Cloning into 'hackingtool'...
remote: Enumerating objects: 24, done.
remote: Counting objects: 100% (24/24), done.
remote: Compressing objects: 100% (23/23), done.
remote: Total 174 (delta 9), reused 0 (delta 0), pack-reused 150
Receiving objects: 100% (174/174), 666.21 KiB | 853.00 KiB/s, done.
Resolving deltas: 100% (91/91), done.
  • Use este comando para proporcionar permisos de archivo e ingresar al directorio.
  • chmod -R 755 hackingtool && cd hackingtool
root@kali:/home/iicybersecurity# chmod -R 755 hackingtool && cd hackingtool
root@kali:/home/iicybersecurity/hackingtool#
  • A continuación, use el comando sudo pip3 install -r requirement.txt para instalar los requerimientos
root@kali:/home/iicybersecurity/hackingtool# sudo pip3 install -r requirement.txt
Requirement already satisfied: lolcat in /usr/local/lib/python3.8/dist-packages (from -r requirement.txt (line 1)) (1.4)
Requirement already satisfied: boxes in /usr/local/lib/python3.8/dist-packages (from -r requirement.txt (line 2)) (0.0.0)
Requirement already satisfied: flask in /usr/lib/python3/dist-packages (from -r requirement.txt (line 3)) (1.1.2)
Requirement already satisfied: requests in /usr/lib/python3/dist-packages (from -r requirement.txt (line 4)) (2.23.0)
  • Ahora, use el comando python3 hackingtool.py para iniciar la herramienta
Hacking Tool - Tool Launch
  • La herramienta fue lanzada con éxito
  • Aquí, vemos 15 módulos diferentes
  • A continuación se detallan los diferentes módulos:

ANONSURF

¿Qué es Anonsurf?

Este es un lugar donde podemos escondernos cambiando nuestra ubicación.  Esta herramienta establece la configuración de iptables para establecer un proxy transparente a través de la red TOR. Esta herramienta envía todo nuestro tráfico saliente a través de la red TOR, por lo que al usar esto podemos estar seguros mientras navegamos por Internet.

  • Aquí, elija 00 AnonSurf
Hacking Tool - Anonmously Hiding Tool
  • Ahora, elija la opción 1 para navegar anónimamente. Antes de lanzar esta herramienta, tenemos que descargar la herramienta eligiendo la opción 1
sh: 2: boxes: not found
sh: 1: echo: echo: I/O error
[1]install [2]Run [3]Stop [99]Main Menu >> 1
Cloning into 'kali-anonsurf'...
remote: Enumerating objects: 321, done.
remote: Total 321 (delta 0), reused 0 (delta 0), pack-reused 321
Receiving objects: 100% (321/321), 167.72 KiB | 377.00 KiB/s, done.
Resolving deltas: 100% (99/99), done.
--2020-07-06 10:36:14--  https://geti2p.net/_static/i2p-debian-repo.key.asc
Resolving geti2p.net (geti2p.net)... 91.143.92.136, 2a02:180:a:65:2456:6542:1101:1010
Connecting to geti2p.net (geti2p.net)|91.143.92.136|:443... connected.
HTTP request sent, awaiting response... 200 OK
=============================================================================================================SNIP==============================================================================================================================
Processing triggers for systemd (245.6-1) ...
Processing triggers for man-db (2.9.3-1) ...
Processing triggers for kali-menu (2020.3.1) ...
dpkg-deb: building package 'kali-anonsurf' in 'kali-anonsurf.deb'.
Selecting previously unselected package kali-anonsurf.
(Reading database ... 525307 files and directories currently installed.)
Preparing to unpack kali-anonsurf.deb ...
Unpacking kali-anonsurf (1.2.2.2) ...
Setting up kali-anonsurf (1.2.2.2) ...
Processing triggers for systemd (245.6-1) ...
Processing triggers for kali-menu (2020.3.1) ...
  • Ahora, elija la opción 1 para seleccionar la herramienta anonsurf y elija la opción 2 para ejecutar la herramienta
sh: 2: boxes: not found
sh: 1: echo: echo: I/O error
[1]install [2]Run [3]Stop [99]Main Menu >> 2
 * killing dangerous applications
 * cleaning some dangerous cache elements
[ i ] Stopping IPv6 services:
 
 
[ i ] Starting anonymous mode:
 
 * Modified resolv.conf to use Tor and Private Internet Access DNS
 * All traffic was redirected through Tor
 
[ i ] You are under AnonSurf tunnel
  • Hemos iniciado con éxito la red Tor
  • Ahora, escriba ifconfig.me en el navegador para verificar nuestra IP
Hacking Tool - Ifconfig.me
  • Hemos modificado nuestra ubicación con éxito

RECOPILACIÓN DE INFORMACIÓN

¿Qué es la recopilación de información?

Este es el proceso de recolección de información única sobre el objetivo. Este proceso puede ser activo o pasivo.

  • Ahora, elija la opción 1 para usar la recopilación de información
Hacking Tool - Information Gathering
  • Lanzamos el módulo de recopilación de información con éxito
  • Ahora, elija la opción 5 para usar la herramienta “Xerosplit”
Hacking Tool - Information Gathering - Xerosploit Installer
  • Antes de ejecutar la herramienta, tenemos que instalarla seleccionando la opción 1 Instalar
  • Clona automáticamente el archivo y tenemos que elegir el sistema operativo, dependiendo de esto descargará los requisito
[++] Installing Xerosploit ...
Hit:1 http://deb.i2p2.no unstable InRelease
Hit:2 http://mirror.neostrada.nl/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
build-essential is already the newest version (12.8).
build-essential set to manually installed.
git is already the newest version (1:2.27.0-1).
=================================================================================================================SNIP========================================================================================================================
Installing ri documentation for network_interface-0.0.2
Parsing documentation for pcaprub-0.13.0
Installing ri documentation for pcaprub-0.13.0
Parsing documentation for packetfu-1.1.13
Installing ri documentation for packetfu-1.1.13
Parsing documentation for xettercap-1.5.7xerob
Installing ri documentation for xettercap-1.5.7xerob
Done installing documentation for em-proxy, net-dns, network_interface, pcaprub, packetfu, xettercap after 7 seconds
6 gems installed
  • Ahora, elija la opción 5 para la herramienta Xerosploit, luego elija la opción 2 para ejecutar la herramienta xerosploit
Hacking Tool - Information Gathering - Xerosploit Fig 1
  • Ahora, escriba help para ver las opciones
Hacking Tool - Information Gathering - Xerosploit Fig 2
  • Aquí, hemos seleccionado la opción “scan“. Esto recopilará todas las direcciones IP y MAC, que están conectadas a una LAN (red de área local)

GENERADOR DE WORDLIST

Hacking Tool - Wordlist Generator

Goblin se usa para generar la lista de palabras. Esta lista de palabras es útil para las técnicas de descifrado de contraseñas en ataques de fuerza bruta, entre otros.

  • Elija la opción 3 para ejecutar la herramienta Goblin wordCreator
sh: 1: boxes: not found
sh: 1: echo: echo: I/O error
[1]Install [2]Run [99]Back >>2
 
------------------
 
 G 0 B L ! N 2.0 | WORDGENERATOR
 
~ by: UndeadSec and Sam Junior:@un00mz
 
------------------
 
[!] provide a size scale [eg: "1 to 8" = 1:8] : 1:3
 
[?] Do you want to enter personal data ? [y/N]: y
 
[*] Fist Name: vemula
 
[*] Last Name: nandu
 
[*] Birthday: 20
 
[*] Month: may
 
[*] Year: 1996
 
[!] Insert a name for your wordlist file: wordlist
 
[?] Do you want to use uppercase characters? (y/n): n
 
[?] Do you want to use special characters? (y/n): n
 
[?] Do you want to use numeric characters? (y/n): y 
  • Primero, elija la opción 1 para instalar la herramienta y sus requerimientos, luego elija la opción 2 para iniciar la herramienta
  • Aquí, pide usar el tamaño de escala para la longitud de la lista de palabras. Luego le pedirá que use algunos datos personales y seleccione la opción requerida. Entonces la herramienta comienza a generar la lista de palabras
v
e
Q
p
l
a
=============================================================================================================SNIP===============================================================================================================================
003
004
005
006
007
008
009
000  
  • Generamos la lista con éxito
  • Si desea generar una lista de palabras fuera de línea, también puede usar la herramienta Crunch

ATAQUE INALÁMBRICO

¿Qué es un ataque inalámbrico?

El ataque inalámbrico puede ser de muchos tipos, como un ataque Man-in-The-Middle (MiTM), ataques de denegación de servicios (DoS), entre otros.

En este módulo tenemos 7 herramientas diferentes:

  • WIFI – Pumpkin: Esta herramienta ayuda a los hackers a crear redes WiFi falsas. Si alguien se conecta a estas redes, podremos rastrear sus actividades
  • Pixiewps: la herramienta Pixiewps se utiliza para forzar la fuerza bruta del pin WPS fuera de línea. Esta herramienta está incorporada en lenguaje C
  • Fluxion: Esta es una herramienta de hacking WiFi que no necesita ninguna lista de palabras para descifrar una contraseña. Con esta herramienta, podemos hackear dos formas diferentes de revelar manualmente el acceso WIFI oculto y cómo acceder al wifi oculto
  • WIFITE: Esta herramienta se usa para atacar redes WiFi y robar las credenciales de acceso. Para esto, se lleva a cabo un ataque de diccionario con una gran cantidad de lista de palabras. No se requiere de un adaptador inalámbrico
  • EvilTwin: Esta es una herramienta de hacking empleada para configurar una red WiFi falsa. Si un usuario se conecta a esta red, será fácil extraer sus credenciales de acceso

Si desea aprender más sobre el uso de estas herramientas, puede solicitar información del curos de hacking ético que ofrece el Instituto Internacional de Seguridad Cibernética (IICS).

HERRAMIENTAS DE INYECCIÓN SQL

¿Qué es SQLMap?

SQLMap es una herramienta de inyección automática de SQL. Podemos usar esta herramienta para descubrir vulnerabilidades de inyección SQL en una página web y robar los datos confidenciales del servidor de la base de datos. Esta es una herramienta de prueba de código abierto y penetración.

HERRAMIENTAS DE ATAQUE DE PHISHING

El objetivo principal de un ataque de phishing es robar las credenciales de la víctima creando una página de inicio de sesión falsa.

Hacking Tool - Phishing Attack Tools
  • Setoolkit: Este es un kit de herramientas de ingeniería social. Podemos usar esta herramienta para crear una página web falsa y robar las credenciales de la víctima. También podemos crear la carga útil diferente para evitar la máquina de la víctima
  • SocialFish: Esta herramienta se utiliza para un ataque de phishing. Con esta herramienta, podemos crear páginas de suplantación de identidad (phishing) para robar las credenciales de la víctima y recopilar esas credenciales mediante servidores de recopiladores de tráfico
  • ShellFish: Esta es una herramienta utilizada con la que podremos crear páginas de phishing de 18 sitios web populares para robar las credenciales de la víctima. Las redes sociales más populares están disponibles en ShellFish
  • BlackEye: Con esta herramienta podemos crear 32 páginas de phishing populares para robar las credenciales de la víctima, incluyendo sitios de redes sociales
  • I See You: Además de credenciales de inicio de sesión, esta herramienta también puede extraer los detalles de ubicación de la víctima
  • Say Cheese: Esta herramienta crea un enlace malicioso, si la víctima abre este enlace, se activa la cámara web del dispositivo afectado, tomando fotografías y enviándolas a la máquina del hacker
  • QR Code Jacking: Esta herramienta crea un código QR malicioso. Si el código es escaneado por la víctima, los hackers podrán acceder a la cuenta objetivo

HACKING WEB

¿Qué es el hacking web?

El hacking web depende de la explotación de sitios web mediante la recopilación de información, escaneando con diferentes herramientas, búsqueda de vulnerabilidades, infecciones con virus, ciberataque contra el sitio web objetivo y robo de la información de los usuarios.  

  • En el módulo de ataque web, tenemos 5 herramientas diferentes.
    • Web2Attack
    • Skipfish
    • SubDomain Finder
    • CheckURL
    • Blazy (También ClickJacking)

Blazy

Blazy es otra herramienta de fuerza bruta y detección de errores. Utilizando esta herramienta podemos encontrar fallas de solicitudes entre sitios (CSRF), clickjacking, Cloudflare. Esta herramienta tiene un nombre de usuario predeterminado y un archivo password.txt o también podemos crear nuestro propio nombre de usuario y contraseña.

  • Antes de iniciar la herramienta debemos instalarla eligiendo la opción 1. Esto instalará el archivo y seguirá los mismos pasos, luego eligió la opción 2 para iniciar la herramienta
Hacking Tool - Web Attack Tools
  • Aquí, hemos ingresado la URL de destino (hackthissite.org). Esta herramienta escaneó y encontró una vulnerabilidad CSRF en este sitio web

POST EXPLOTACIÓN

¿Qué es la post explotación?

Utilizamos el módulo de post explotación después de comprometer la máquina. En esta etapa el objetivo de los actores de amenazas es recopilar los datos confidenciales de la víctima.

  • En post explotación, tenemos dos herramientas diferentes
    • Vegile – Ghost in the shell
    • Chrome Key logger

HERRAMIENTAS FORENSES

Las herramientas de forense informático se utilizan para verificar el sistema operativo en post explotación del sistema o la red objetivo

  • En el módulo forense encontramos cinco herramientas
    • Autopsy
    • Wireshark
    • Bulk_extractor
    • Disk Clone and ISO Image Acquire
    • Toolsley

CARGA ÚTIL (PAYLOAD)

¿Qué son las cargas útiles?

La carga útil (payload) es un simple archivo de secuencias de comandos/contenido malicioso utilizado por los hackers para explotar cualquier máquina mediante la ejecución de esa muestra de código.

  • En este módulo tenemos 6 cargas útiles diferentes:
    • The FatRat
    • Brutal
    • Stitch
    • MSFVenom Payload Creator
    • Venom Shellcode Generator
    • Spycam

ROUTER EXPLOIT

Router Exploit es una poderosa herramienta de hacking de código abierto. Con esta herramienta, podemos encontrar las vulnerabilidades en enrutadores, cámaras, entre otros dispositivos de Internet de las Cosas (IoT).

En este módulo, tenemos 2 herramientas diferentes:

  • RouterSploit
  • Fastssh

WIFI-JAMMER

¿Qué es WiFi-Jammer?

WiFi-Jammer es una poderosa herramienta de hacking con la que es posible restringir el acceso a la red a cualquier usuario de WiFi.

En este módulo tenemos una herramienta:

  • Using Airmon

SOCIAL MEDIA FINDER

¿Qué es Social Media Finder?

Social Media Finder es una herramienta de recopilación de información en múltiples perfiles de redes sociales para encontrar a cualquier usuario con sólo unos cuantos datos.

  • En este módulo tenemos dos herramientas diferentes
    • Find SocialMedia By Facial Recognition System
    • Find SocialMedia By UserName

ESTEGANOGRAFIA

La esteganografía es el mejor método para ocultar cualquier tipo de archivo, como imágenes, información confidencial, archivos, etc.

  • Aquí encontramos tres herramientas diferentes
    • Cracker
    • WhiteSpace
    • CONCLUSION

CONCLUSIÓN

Hemos visto todas las herramientas de prueba de penetración incluidas en HackingTool. La mayoría de las herramientas se utilizan ampliamente en un entorno en tiempo real. Con esta herramienta, es más fácil para el pentester hacer su trabajo.

El cargo 73 HERRAMIENTAS DE HACKING EN UNA – TUTORIAL PASO A PASO apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente