miércoles, 31 de mayo de 2023

Si su laptop o pc tiene una placa base Gigabyte, entonces tiene una puerta trasera para los hackers

Investigadores de la firma de ciberseguridad Eclypsium, que se centra en el firmware, informaron hoy que han encontrado una puerta trasera secreta en el firmware de las placas base fabricadas por el fabricante taiwanés Gigabyte. Los componentes de Gigabyte se utilizan a menudo en PC para juegos y otros sistemas de alto rendimiento. Eclypsium descubrió que cada vez que se reinicia una computadora con la placa base Gigabyte afectada, el código dentro del firmware de la placa activa silenciosamente el lanzamiento de una aplicación de actualización, que luego descarga y ejecuta otra pieza de software en la máquina. Los investigadores descubrieron que el código oculto se creó de manera insegura, lo que hizo posible que el mecanismo fuera secuestrado y utilizado para instalar malware en lugar del software previsto por Gigabyte.

A pesar de que Eclypsium afirma que el código oculto pretende ser una utilidad inofensiva para mantener actualizado el firmware de la placa base, los investigadores determinaron que la implementación era vulnerable. Y dado que la aplicación de actualización se activa desde el firmware de la computadora en lugar del sistema operativo, es difícil para los usuarios eliminarla o incluso detectarla por sí mismos. En la publicación del blog, la compañía detalla las 271 versiones diferentes de placas base Gigabyte que los investigadores creen que son vulnerables. Según los expertos, las personas interesadas en descubrir la placa base que utiliza su computadora pueden hacerlo seleccionando “Inicio” en Windows y luego seleccionando “Información del sistema”.


Los usuarios que no confían en Gigabyte para instalar silenciosamente el código en su máquina con una herramienta casi invisible pueden haber estado preocupados solo por el actualizador de Gigabyte. Es posible que a otros usuarios les haya preocupado que el mecanismo de Gigabyte pueda ser explotado por hackers informáticos que comprometan al fabricante de la placa base para explotar su acceso oculto en un ataque a la cadena de suministro de software. El proceso de actualización fue diseñado y construido con fallas obvias que lo hacían susceptible de ser explotado de las siguientes maneras: Descarga código a la estación de trabajo del usuario sin autenticarlo adecuadamente y, en ciertos casos, incluso lo hace a través de una conexión HTTP no segura en lugar de uno HTTPS. Esto haría posible que cualquier persona que sea capaz de interceptar la conexión a Internet del usuario, como una red Wi-Fi maliciosa, lleve a cabo un ataque man-in-the-middle.

Incluso si Gigabyte lanza una solución para su problema de firmware (después de todo, el problema se deriva de una herramienta de Gigabyte que estaba destinada a automatizar las actualizaciones de firmware), los expertos señalan que las actualizaciones de firmware con frecuencia fallan silenciosamente en las máquinas de los usuarios, en muchos casos debido a la complejidad de las propias actualizaciones y la dificultad de hacer coincidir el firmware con el hardware.

En otros casos, el actualizador que instala el mecanismo en el firmware de Gigabyte está configurado para descargarse desde un dispositivo de almacenamiento conectado a la red local (NAS). Esta es una función que parece estar diseñada para que las redes comerciales administren actualizaciones sin que todas sus máquinas se conecten a Internet. En tales circunstancias, un actor malintencionado en la misma red podría falsificar la ubicación del NAS para instalar de forma encubierta su propio malware en su lugar.

La compañía ha dicho que ha estado colaborando con Gigabyte para informar sus resultados al fabricante de la placa base y que Gigabyte ha indicado que tiene la intención de resolver las preocupaciones.

Mientras tanto, puede bloquear las siguientes URL:

  • https://ift.tt/bjTlOtz
  • https://ift.tt/fWwjGL9
  • https://software-nas/Swhttp/LiveUpdate4

Una lista de los modelos afectados está  disponible aquí .

El cargo Si su laptop o pc tiene una placa base Gigabyte, entonces tiene una puerta trasera para los hackers apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva técnica de phishing permite hackear a alguien usando dominios .zip y .mov

Cuando una víctima visita un sitio web que termina en .ZIP, se puede usar un método de phishing desarrollado recientemente conocido como “archivador de archivos en el navegador” para “emular” el software de archivo de archivos en el navegador web del objetivo.

Según la información publicada por un investigador de seguridad llamado mr.d0x la semana pasada, “con este ataque de phishing, simula un software de archivado de archivos (por ejemplo, WinRAR) en el navegador y usa un dominio .zip para que parezca más legítimo”.

En pocas palabras, los actores de amenazas podrían desarrollar una página de inicio de phishing de aspecto realista utilizando HTML y CSS que replique el software de archivo de archivos genuino. Luego podrían alojar el sitio web en un dominio .zip, lo que elevaría las tácticas de ingeniería social a un nivel superior.

Cuando un usuario hace clic en un archivo que está “contenido” dentro del paquete ZIP falso, un actor malicioso podría explotar este engaño para redirigirlo a un sitio web que recopila credenciales y usar esas credenciales para obtener acceso a la cuenta del usuario.

Además de esto, el cuadro de búsqueda en el Explorador de archivos de Windows tiene el potencial de convertirse en un portal engañoso a través del cual los usuarios pueden buscar un archivo que no existe. Si el nombre del archivo corresponde a un dominio.zip válido, entonces abrirlo en un El navegador web activará automáticamente la apertura del archivo.


Esta nueva información llega al mismo tiempo que Google presentó ocho nuevos dominios de nivel superior (TLD), algunos de los cuales incluyen “.zip” y “.mov”. Este movimiento ha causado que algunas personas expresen su preocupación de que pueda fomentar el phishing y otras formas de fraude en línea.

Esto se debe al hecho de que .ZIP y .MOV son nombres de extensión de archivo válidos, lo que tiene la capacidad de engañar a los usuarios desprevenidos para que visiten un sitio web malicioso en lugar de abrir un archivo, lo que lleva al usuario a instalar malware sin darse cuenta.

Las organizaciones y los usuarios individuales pueden defenderse de los ataques que abusan de los dominios de nivel superior (TLD) al estar atentos y tener cuidado al recibir URL con dominios de nivel superior (TLD) desconocidos y evitar hacer clic en ellos a menos que estén convencidos de que son auténticos. Esto los protege del riesgo de ser víctimas de un ataque basado en TLD. Cuando el cursor del mouse se mueve sobre un enlace, se puede obtener una vista previa de las URL reales a las que se supone que deben ir los enlaces. Además, las empresas y los desarrolladores de software deben asegurarse de que sus herramientas, secuencias de comandos y aplicaciones no dependan de las extensiones de nombre de archivo, sino que verifiquen el tipo de archivo en función de los encabezados de los archivos. Si esto no se hace, una URL puede causar un comportamiento no deseado o quizás peligroso de las herramientas y secuencias de comandos.

El cargo Nueva técnica de phishing permite hackear a alguien usando dominios .zip y .mov apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 30 de mayo de 2023

Hackea cualquier red WiFi con WPA2 o WPA3 y servidor Radius con esta nueva técnica

Investigadores de la Universidad Tsinghua y la Universidad George Mason han descubierto una debilidad significativa en el conjunto de chips NPU. Al explotar esta falla, los atacantes pueden espiar los datos que se transmiten a través del 89% de las redes Wi-Fi del mundo real .

La aceleración de hardware, como el uso de conjuntos de chips NPU en redes Wi-Fi, aumenta la velocidad de transmisión de datos y disminuye la latencia. Sin embargo, también crea problemas de seguridad debido a la transmisión directa de tramas inalámbricas por enrutadores de punto de acceso (AP).

Investigadores de la Universidad de Tsinghua y la Universidad George Mason encontraron recientemente una debilidad de seguridad en el mecanismo de reenvío de tramas inalámbricas utilizado por la NPU. Los atacantes pueden aprovechar la vulnerabilidad para realizar un ataque Man-in-the-Middle (MITM) en las redes Wi-Fi eludiendo la necesidad de puntos de acceso (AP) no autorizados. Con esta técnica es posible interceptar la comunicación de texto sin formato de una víctima y evitar los métodos de seguridad de la capa de enlace, como WPA3. El trabajo de investigación que escribió el equipo ha sido aprobado para su presentación en el Simposio IEEE 2023 sobre seguridad y privacidad.

El escenario que se muestra en la figura representa una situación en la que un atacante y una víctima suplicante están conectados a la misma red Wi-Fi para acceder a los servicios de Internet. Imagine que ha completado con éxito el proceso de autenticación del teléfono y ahora puede acceder a la red Wi-Fi de Starbucks. Cada sesión al enrutador AP está protegida por una clave de sesión de clave transitoria por pares (PTK), y la red Wi-Fi a la que intenta conectarse tiene WPA2 o WPA3 instalado para brindar seguridad.

Hicieron el descubrimiento de que los métodos de seguridad, como WPA2 y WPA3, pueden evadirse fácilmente, dando a los atacantes la capacidad de leer el texto sin formato de la comunicación de la víctima suplicante. El atacante crea una suplantación del punto de acceso (AP) mediante el uso de la suplantación de identidad de la dirección IP de origen. Luego, el atacante envía al suplicante de la víctima un mensaje de redirección ICMP, que es un mensaje de error ICMP con un valor de tipo de 5.

Debido a la necesidad de maximizar el rendimiento, la NPU en el enrutador AP (por ejemplo, Qualcomm IPQ5018 y HiSilicon Gigahome Quad-core) transferiría inmediatamente el mensaje falso de redirección ICMP que recibió al suplicante víctima. Después de recibir el mensaje, se engañará al suplicante de la víctima para que cambie su caché de enrutamiento y sustituya el próximo salto al servidor con la dirección IP del atacante. Esto permitirá que el atacante obtenga acceso al servidor. Debido a esto, los futuros paquetes de IP que se suponía que debían enviarse al servidor se enrutan al atacante en la capa de IP. Esto le da al atacante la capacidad de enviar los paquetes a su destino previsto. El ataque MITM lo lleva a cabo con éxito el atacante, que no hace uso de ningún AP no autorizado en el proceso.

Tanto Qualcomm como Hisilicon han verificado que sus NPU son susceptibles a la vulnerabilidad que impide que los dispositivos AP bloqueen con éxito los paquetes de redirección ICMP falsificados. Esta vulnerabilidad recibió el identificador CVE-2022-25667 de Qualcomm.

Los investigadores recomiendan dos pasos preventivos que se pueden tomar en respuesta a este ataque:

  1. Adición de funciones a los puntos de acceso que ralentizarán la redirección ICMP malintencionada. Si el mensaje tiene características ilícitas claras (por ejemplo, la dirección IP de origen del mensaje se proporciona con la dirección IP del AP, y el mensaje solo puede ser creado por el propio AP), entonces el AP debe bloquear y descartar el mensaje tan pronto como sea posible. como se detecta. Esta estrategia depende de la participación tanto de los fabricantes de chips de NPU como de los proveedores de AP en un esfuerzo de colaboración.
  2. Mejorar la capacidad de los solicitantes para comprobar los paquetes ICMP que han recibido. El solicitante tiene la capacidad de detectar con éxito mensajes ICMP falsos y montar una defensa contra este ataque, siempre que se asegure de que la dirección IP de origen y la dirección MAC de origen del mensaje ICMP recibido sean coherentes entre sí.

El cargo Hackea cualquier red WiFi con WPA2 o WPA3 y servidor Radius con esta nueva técnica apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Reduzca el tráfico de los sitios webs que usan OpenSSL explotando CVE-2023-2650

Para que su aplicación o servidor en línea sea seguro, se necesitan certificados SSL/TLS. Si bien muchas autoridades de certificación confiables cobran una tarifa por los certificados SSL/TLS, también es factible crear su propio certificado usando OpenSSL. No obstante, los certificados autofirmados pueden cifrar su tráfico en línea incluso si no cuentan con la aprobación de una organización acreditada. El equipo de OpenSSL publicó un aviso que describe el problema de alta gravedad CVE-2023-2650. Sin embargo, dado que OpenSSL es una de las bibliotecas de cifrado más utilizadas y alimenta una cantidad significativa del tráfico protegido por TLS de Internet, esto aún podría ser una preocupación.

Aunque no es la más grave, esta vulnerabilidad moderada podría hacer que OpenSSL funcione con menos rapidez al retrasar el procesamiento de ciertos componentes criptográficos.

En el contexto de OpenSSL, los ID de objeto para ASN.1 (Notación de sintaxis abstracta uno) se utilizan para identificar y especificar algoritmos criptográficos. Esto hace que ciertos ID de objeto ASN.1 creados específicamente o los datos que los contienen se procesen con mucha lentitud.

Las aplicaciones que utilizan directamente OBJ_obj2txt() o utilizan cualquiera de los subsistemas de OpenSSL sin un límite de tamaño de mensaje (OCSP, PKCS7/SMIME, CMS, CMP/CRMF o TS) pueden tener retrasos notables o muy prolongados al procesar dichos mensajes, lo que puede resultar en una Denegación de Servicio.

Los subidentificadores, la mayoría de los cuales no tienen restricciones de tamaño, constituyen un identificador de objeto. Usando el tipo OpenSSL ASN1_OBJECT, uno puede convertir un IDENTIFICADOR DE OBJETO ASN.1 proporcionado en formato de codificación DER a su formato de texto numérico canónico, que consta de los subidentificadores del IDENTIFICADOR DE OBJETO en formato decimal, separados por puntos.

La conversión a un número decimal en el texto puede llevar mucho tiempo cuando uno de los subidentificadores en el IDENTIFICADOR DE OBJETO es extremadamente grande (estos son tamaños que se perciben como escandalosamente enormes, ocupando decenas o cientos de KiB). El tamaño de los subidentificadores en bytes (*), donde ‘n’ es el número, determina la complejidad temporal como O(n2).

La capacidad de obtener métodos criptográficos usando nombres o ID en forma de cadena se agregó con OpenSSL 3.0. Esto incluye utilizar ID de OBJETO como ID para obtener algoritmos en formato de texto numérico canónico.

La estructura AlgorithmIdentifier de ASN.1, que se utiliza a menudo en varios protocolos para definir qué método criptográfico se debe utilizar para firmar o verificar, cifrar o descifrar o digerir los datos suministrados, puede utilizarse para aceptar dichos IDENTIFICADORES DE OBJETO.

Con cualquier versión de OpenSSL, las aplicaciones que usan directamente OBJ_obj2txt() con datos que no son de confianza son vulnerables. La gravedad se considera mínima si el uso es solo para fines de exhibición.

Esto afecta a los subsistemas OCSP, PKCS7/SMIME, CMS, CMP/CRMF o TS en OpenSSL 3.0 y posteriores. Afecta a cualquier cosa que use certificados X.509, incluidas operaciones simples como confirmar su firma.

Debido a la restricción de 100 KiB en la cadena de certificados del par en todas las versiones de OpenSSL, el efecto en TLS es mínimo. Además, solo se ven afectados los clientes o servidores que hayan habilitado expresamente la autenticación del cliente.

Esto solo afecta la presentación de ciertos objetos, como los certificados X.509, con OpenSSL 1.1.1 y 1.0.2. Se cree que estas versiones no se ven afectadas por el problema en la medida en que sería preocupante y, por lo tanto, la gravedad se considera baja. Se espera que esto no ocurra de una manera que resulte en una denegación de servicio.

Es fundamental mantener nuestros sistemas actualizados mientras sigamos dependiendo de los servicios criptográficos de OpenSSL para prevenir ataques DoS como el CVE-2023-2650 y garantizar el máximo grado de seguridad y eficacia.

El cargo Reduzca el tráfico de los sitios webs que usan OpenSSL explotando CVE-2023-2650 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

sábado, 27 de mayo de 2023

Quiere tener un Tesla o ya tiene uno, consulte esta violación masiva de datos confidenciales de Tesla

La investigación que se publicó en el diario alemán Handelsblatt dijo que los clientes de Tesla Inc. presentaron más de 2400 quejas sobre dificultades con la autoaceleración y 1500 quejas sobre problemas con los frenos entre los años 2015 y marzo de 2022.

Según los informes, un gran volcado de datos que se basó en la violación de los documentos internos de Tesla por parte de un denunciante sugiere que los problemas con el sistema de conducción autónomo de Tesla pueden ser considerablemente más frecuentes de lo que han sugerido las autoridades y los medios. Esto se descubrió después de que el denunciante obtuviera acceso no autorizado a documentos internos de Tesla.

Según la información que se tomó del sistema de tecnología de la información (TI) de Tesla, las quejas contra estas capacidades de conducción autónoma total (FSD) se originaron en todo el mundo, incluidos los Estados Unidos de América, Europa y Asia.

En particular, en un artículo titulado “Mi piloto automático casi me mata”, Handelsblatt informó haber recibido 100 terabytes de datos y 23 000 archivos. Dentro de esos archivos había 3000 entradas que destacaban las preocupaciones de seguridad de los consumidores e historias de más de 1000 accidentes.

El editor incluyó una nota que indica que los datos incluyen los números de teléfono de los clientes.

Según los cientos de clientes con los que se afirma que Handelsblatt se puso en contacto, los temores eran bastante serios.

Según un hombre de Michigan, su Tesla “frenó bruscamente de repente, tan fuerte como puedas imaginar”. Cuando me ordenaron abrocharme el cinturón de seguridad, el vehículo estaba a punto de detenerse por completo. Luego fui atropellado por un segundo automóvil.

Handelsblatt mostró los archivos al Fraunhofer Institute for Secure Information Technology. El instituto concluyó que no hay razón para suponer que “el conjunto de datos no proviene de los sistemas de TI que pertenecen o se encuentran en el entorno de Tesla”.

Se instruye a los empleados que, a menos que haya abogados involucrados, no deben entregar comentarios por escrito, sino que deben transmitirlos “VERBALMENTE al cliente”. A menos que haya abogados involucrados, no se deben dar críticas escritas.

La publicación cita las instrucciones que dicen: “No copie y pegue el informe a continuación en un correo electrónico, mensaje de texto ni lo deje en un correo de voz al cliente”, y está claro que este es un requisito.

Un informe presentó a un médico de California que dijo que su Tesla aceleró por sí solo en el otoño de 2021 y se estrelló contra dos pilares de concreto. Señaló que la empresa nunca enviaba correos electrónicos y que todo se comunicaba siempre verbalmente.

Según los abogados de Tesla, la organización de noticias debe proporcionar una copia de los datos a Tesla, y todas las demás copias de los datos deben destruirse. Los abogados de Tesla también advirtieron acciones legales “por el robo de datos confidenciales y personales”.

Según los informes, los supuestos documentos sin duda serían importantes para las demandas actuales por homicidio culposo contra Tesla. Estos reclamos afirman que la tecnología de la compañía tiene importantes fallas de seguridad. Además, pueden obligar a las autoridades locales, estatales y federales a tomar medidas.

La oficial de protección de datos del estado, Dagmar Hartge, reconoció la gravedad de las acusaciones y señaló que, si las acusaciones resultaran ser precisas, la violación de datos tendría repercusiones significativas a escala mundial. La situación se envió a los defensores de la privacidad en los Países Bajos para que se pueda realizar una investigación adicional.

“Tesla se toma muy en serio la protección de su información patentada y confidencial, así como la privacidad de sus empleados y clientes”. “Tenemos la intención de iniciar procedimientos legales contra este individuo por su robo de la información confidencial de Tesla y los datos personales de los empleados”, declaró Tesla en una respuesta que fue reportada por la publicación. La declaración se hizo en reacción al robo de información confidencial y datos personales pertenecientes a los empleados de Tesla.

Las autoridades reguladoras chinas ya han comenzado a tomar medidas. Hace aproximadamente dos semanas, Tesla se vio obligada a proporcionar una actualización de software de emergencia para la mayoría de los automóviles que vendió en China como resultado directo de problemas con aceleraciones inesperadas y repentinas.

Desde 2016, Musk ha hecho muchas afirmaciones de que sus vehículos autónomos serían realmente autónomos, pero no ha cumplido con esas afirmaciones.

El cargo Quiere tener un Tesla o ya tiene uno, consulte esta violación masiva de datos confidenciales de Tesla apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 26 de mayo de 2023

Mirai Botnet está de vuelta con una nueva versión IZ1H9 ¿Cómo detectarlo?

Los investigadores de la Unidad 42 descubrieron una versión de Mirai conocida como IZ1H9 que explotaba muchas vulnerabilidades para propagarse. Los actores de amenazas explotan las siguientes vulnerabilidades para atacar servidores Linux desprotegidos y dispositivos de red que ejecutan el sistema operativo:

Vulnerabilidad de inyección de comando Tenda G103, denominada CVE-2023-27076
Vulnerabilidad de inyección de comando LB-Link, también conocida como CVE-2023-26801
CVE-2023-26802: vulnerabilidad de ejecución remota de código DCN DCBI-Netlog-LAB
Vulnerabilidad de ejecución remota de código Zyxel


Los dispositivos que se han visto comprometidos pueden estar completamente controlados por los atacantes que los explotaron y convertirse en miembros de la red de bots. Estos dispositivos tienen el potencial de usarse en la comisión de más ataques, como los ataques de denegación de servicio distribuido (DDoS). IZ1H9 presenta un riesgo significativo ya que explota muchas vulnerabilidades y puede tomar el control completo de los dispositivos afectados, que luego se convierten en miembros de su botnet. Desde noviembre de 2021, cuando se vio por primera vez en la naturaleza, la versión Mirai IZ1H9 se ha vinculado a varias iniciativas diferentes. Lo más probable es que estas actividades sean obra de un solo actor de amenazas, como lo demuestran signos cruciales, como descargadores de scripts de shell de malware similares, las mismas claves de descifrado XOR y el uso de funciones idénticas.

El 10 de abril de 2023, los investigadores descubrieron un tráfico extraño que apuntaba a un descargador de scripts de shell llamado ‘lb.sh’ y se originaba en una determinada IP. En el caso de que se realizara con éxito, el descargador primero borraría los registros, ocultando las operaciones que había estado haciendo, y luego descargaría clientes de bot personalizados para trabajar con una variedad de arquitecturas de Linux. En el último paso, altera las reglas de iptable del dispositivo, lo que hace que las conexiones de red de muchos puertos se interrumpan. Las víctimas tendrán más dificultades para recuperar dispositivos remotos como resultado de esta estrategia.

Después de investigar más, resultó que había otras dos URL en línea que tenían descargadores de scripts de shell. Estos descargadores tenían clientes de botnet que se comunicaban con un servidor de comando y control (C2), así como con otras URL que alojaban scripts de shell. Se observó que los descargadores de scripts de shell descargaban clientes de botnet desde un conjunto predeterminado de lugares y se ponían en contacto con varios dominios C2.

Después de hacer un análisis de las muestras que se descargaron, los investigadores llegaron a la conclusión de que constituían un subtipo de la botnet Mirai conocida como IZ1H9. Desde su descubrimiento en agosto de 2018, IZ1H9 ha llamado mucho la atención y sigue siendo una de las variaciones de Mirai más activas. IZ1H9, como el Mirai original, evita la ejecución de un rango de bloques de IP, elimina otros procesos de botnet e intenta conectarse a una dirección C2 codificada. Esta es solo una de las numerosas similitudes entre las dos variantes.

Los ataques de ejecución remota de código continúan siendo los peligros más frecuentes y preocupantes que afectan a los servidores Linux y los dispositivos IoT. Los dispositivos IoT han sido durante mucho tiempo un objetivo rentable para los actores de amenazas. Los dispositivos que son susceptibles a ataques y se dejan expuestos pueden resultar en un peligro mayor.

Incluso si las vulnerabilidades que está explotando esta amenaza no son tan difíciles de explotar, su efecto no disminuye, ya que aún pueden resultar en la ejecución remota de código. Una vez que el atacante ha obtenido el control de un dispositivo susceptible, puede agregar ese dispositivo y cualquier otro que haya sido pirateado a su red de bots. Esto les permite llevar a cabo más ataques, como una denegación de servicio distribuida.

Se recomienda encarecidamente que se implementen parches y actualizaciones siempre que sea posible para protegerse contra este peligro.

El cargo Mirai Botnet está de vuelta con una nueva versión IZ1H9 ¿Cómo detectarlo? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 25 de mayo de 2023

Clientes de los bancos portugueses deben tener cuidado con estos hackers que quieren robar su dinero

Según un informe publicado por SentinelLabs el jueves, un grupo de hackers brasileño apuntó a usuarios de más de 30 instituciones financieras portuguesas a principios de este año en una campaña que brinda el último ejemplo de hackers poderosos y motivados financieramente en Brasil que apuntan a objetivos fuera de las fronteras del país . La campaña fue parte de una campaña dirigida a usuarios de más de 30 instituciones financieras en Portugal.

Los investigadores Aleksandar Milenkoski y Tom Hegel dijeron en un informe que se publicó el jueves que la campaña en curso, a la que se le ha dado el nombre en clave de “Operación Magalenha”, inicialmente se basó en proveedores de servicios en la nube como DigitalOcean y Dropbox. Sin embargo, como resultado de que estas empresas endurecieron las reglas sobre cómo se pueden usar sus servicios, la operación se ha centrado en el proveedor de alojamiento web TimeWeb con sede en Rusia. La operación comenzó a principios de este año, pero la mayoría de los asaltos se llevaron a cabo en el mes más reciente.

Grupos de hackers con sede en Brasil que se estaban volviendo cada vez más sofisticados llevaron a cabo operaciones junto con desarrolladores de malware con sede en otros países, incluidos Europa del Este y Rusia. Así fue como el ecosistema de malware brasileño llamó por primera vez la atención de la industria de la seguridad de la información hace casi una década. Los investigadores de Kaspersky en el año 2020 etiquetaron un grupo de cuatro troyanos bancarios como “Tetrade”. Esta agrupación se originó en Brasil, que sigue siendo el centro del malware centrado en las finanzas más poderoso.

La Operación Magalenha muestra la existencia continua del clandestino ciberdelincuente brasileño, al igual que el peligro cada vez mayor que presentan los jugadores de amenazas que operan dentro de él. Según lo que escribieron Milenkoski y Hegel en su investigación, estas organizaciones tienen “una capacidad constante para actualizar su arsenal y tácticas de malware, lo que les permite seguir siendo eficaces en sus campañas”.

Los correos electrónicos de phishing que pretenden provenir de Energias de Portugal (EDP) y la Autoridad Tributaria y Aduanera portuguesa (AT), así como la ingeniería social y los sitios web maliciosos que se asemejan a estas instituciones, son algunas de las tácticas que emplean los atacantes para difundir sus malware a sus objetivos. Otros métodos incluyen la ingeniería social.

La infección comienza con la ejecución de un script VB ofuscado, que luego recupera y ejecuta un cargador de malware. Después de una espera de cinco segundos, el cargador de malware instala dos versiones diferentes de la puerta trasera ‘PeepingTitle’ en la máquina de la víctima. Así es como comienza la infección en todas las situaciones. Los expertos señalan que el objetivo de dichos scripts es distraer a los usuarios mientras se descarga el malware y robar sus credenciales de EDP y AT llevándolos a los portales falsos relevantes. Esto se logra redirigiendo a los usuarios a sitios web falsos.

PeepingTitle es una pieza de software malicioso que se creó en Delphi y tiene una fecha de compilación de abril de 2023. Sentinel Labs cree que fue creado por una sola persona o un equipo. Los atacantes lanzan dos variaciones porque quieren usar una para grabar la pantalla de la víctima y la otra para monitorear las ventanas y las interacciones del usuario con esas ventanas. Es por eso que los atacantes lanzan dos variantes.

Después de registrar el sistema de destino y entregar información de reconocimiento a los atacantes, la segunda variación también puede recuperar más cargas útiles para robar. El virus busca ventanas que coincidan con una lista predefinida de instituciones financieras y, cuando descubre una, comienza a registrar todas las entradas del usuario (incluidas las credenciales) y las envía al servidor de comando y control del actor malicioso. También se pueden tomar capturas de pantalla usando PeepingTitle, los procesos en el host se pueden terminar, la configuración del intervalo de monitoreo de PeepingTitle se puede cambiar sobre la marcha y puede organizar cargas útiles derivadas de ejecutables o archivos DLL usando Windows rundll32.

Según los investigadores, la Operación Magalenha es la versión más reciente de un grupo más grande de intentos de hacking con fines financieros que comenzó en 2021. Este grupo más grande incluye la Operación Magalenha.

En su encarnación más reciente, otorga poder al atacante sobre las PC infectadas al depender de un par de puertas traseras que deben abrirse al mismo tiempo. Las puertas traseras, a las que se les ha dado el nombre de “PeepingTitle”, brindan al atacante la capacidad de monitorear la actividad de la ventana, capturar capturas de pantalla sin autorización, finalizar procesos e instalar otro malware, como herramientas de exfiltración de datos.

Según los investigadores , “su capacidad para planificar ataques en países de habla portuguesa e hispana en Europa, América Central y América Latina sugiere una comprensión del panorama financiero local y la voluntad de invertir tiempo y recursos en el desarrollo de campañas dirigidas”.

El cargo Clientes de los bancos portugueses deben tener cuidado con estos hackers que quieren robar su dinero apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hackear GitLab con esta vulnerabilidad permite filtrar código, contraseñas de usuario, tokens

GitLab Inc. es una corporación que ejecuta GitLab, un paquete de software que se puede usar para crear, proteger y administrar software. GitLab es operado por GitLab Inc. Los proyectos grandes de DevOps y DevSecOps pueden beneficiarse del uso de GitLab, ya que proporciona un lugar para el código fuente abierto y una plataforma para el desarrollo de software colaborativo. GitLab no cobra a los usuarios de forma individual. GitLab es una plataforma que proporciona un espacio para el almacenamiento en línea de código, así como herramientas para el seguimiento de errores y CI/CD. GitLab Community Edition (CE) y GitLab Enterprise Edition (EE) han recibido una actualización a la versión 16.0.1 del firme. Se ha encontrado que GitLab Community Edition y Enterprise Edition tienen un problema, aunque la versión 16.0.0 es la única que afecta. Cuando un archivo adjunto está presente en un proyecto público que está anidado dentro de al menos otros cinco grupos, es posible que un usuario malicioso no autenticado aproveche una vulnerabilidad de cruce de ruta y acceda a archivos arbitrarios almacenados en el servidor. El Sistema de Puntuación de Vulnerabilidad Crítica asigna una puntuación de 10,0 a esta vulnerabilidad.

La explotación de la vulnerabilidad CVE-2023-2825 podría resultar en la divulgación de datos confidenciales, como códigos de programas confidenciales, contraseñas de usuarios, tokens, archivos y otra información privada.

Este requisito da crédito a la hipótesis de que el problema está asociado con la forma en que GitLab maneja o resuelve las rutas de los archivos conectados que están anidados dentro de muchos niveles de jerarquía de grupo. Sin embargo, debido a la gravedad del problema y al hecho de que se había descubierto recientemente, el proveedor no proporcionó mucha información en este momento.

En cambio, GitLab enfatizó la necesidad de implementar rápidamente la actualización de seguridad más reciente tan pronto como esté disponible. GitLab.com ya está utilizando la versión actualizada del software.

El hecho de que la vulnerabilidad no pueda ser explotada hasta que se den ciertas circunstancias, como que sea un adjunto en un proyecto público que esté anidado dentro de al menos cinco grupos, que no es la estructura que se usa en todos los proyectos de GitHub, es un factor que ayuda a reducir la gravedad del problema.

A pesar de esto, se recomienda enfáticamente que cualquier persona que use GitLab 16.0.0 actualice lo antes posible a la versión 16.0.1 para reducir el potencial de peligro. Actualmente no hay forma de evitar este problema, lo cual es realmente desafortunado.

El cargo Hackear GitLab con esta vulnerabilidad permite filtrar código, contraseñas de usuario, tokens apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 24 de mayo de 2023

Barracuda, una grande empresa de ciberseguridad fue hackeada

Barracuda dijo que algunos de sus clientes que usan Email Security Gateway se vieron afectados por un ataque que ocurrió la semana anterior y aprovechó una vulnerabilidad de día cero presente en el dispositivo.

En su anuncio, el proveedor de ciberseguridad no proporcionó ninguna información sobre la cantidad de clientes afectados. Barracuda reveló esta información en un artículo publicado el martes, afirmando que la vulnerabilidad se encontró el 19 de mayo y que la empresa aplicó una solución “a todos los dispositivos ESG en todo el mundo” al día siguiente. El 21 de mayo, se aplicó un segundo parche a todos los equipos de Email Security Gateway que estaban en uso.

Según lo que ha descubierto la investigación hasta este momento, la vulnerabilidad “provocó el acceso no autorizado a un subconjunto de dispositivos de Email Security Gateway “. Según los informes, Barracuda ha hablado con todos sus clientes afectados. Según Barracuda, las soluciones de seguridad de nivel empresarial que ofrece actualmente son empleadas por más de 200 000 organizaciones en todo el mundo. Estas empresas incluyen Samsung, Mitsubishi, Kraft Heinz, Delta Airlines y otras empresas conocidas.

La vulnerabilidad, a la que se le ha asignado el número de seguimiento CVE-2023-2868, se encuentra en el módulo que se encarga de filtrar los archivos adjuntos de correo electrónico. Debido a que los dispositivos Email Security Gateway (ESG) afectados son utilizados por cientos de miles de empresas de todo el mundo, incluidas algunas empresas destacadas, el problema tiene el potencial de tener un efecto sustancial.

Otros productos de Barracuda no se ven afectados por la vulnerabilidad, y la empresa ha dicho que sus servicios de seguridad de correo electrónico SaaS no se ven afectados por este problema.

La organización llevó a cabo una investigación sobre la vulnerabilidad y descubrió que se había utilizado en un ataque contra un subconjunto de equipos de Email Security Gateway. La empresa informó a los clientes cuyos electrodomésticos creían que estaban afectados mediante el envío de un mensaje a través de la interfaz de usuario de ESG.

Barracuda aconsejó a sus clientes afectados en una publicación de blog que “revisen sus entornos y determinen cualquier acción adicional que deseen tomar”.

El cargo Barracuda, una grande empresa de ciberseguridad fue hackeada apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Desbloquea cualquier celular inteligente Android con este truco de huellas dactilares

Investigadores de Tencent Labs y la Universidad de Zhejiang colaboraron para desarrollar una nueva técnica conocida como “BrutePrint”, que permite la extracción forzada de huellas dactilares de los teléfonos inteligentes modernos. Esta técnica se mostró recientemente al público.

Este enfoque elude la autenticación del usuario y, por lo tanto, brinda acceso no autorizado y control total sobre el dispositivo que es el foco del ataque.

Investigadores de China pudieron realizar ataques de fuerza bruta y adquirir acceso no autorizado a cuentas, sistemas y redes al eludir de manera efectiva los mecanismos de seguridad actuales en los teléfonos inteligentes, como las limitaciones de intento y la detección de vida, al explotar dos vulnerabilidades de día cero. Esto permitió a los investigadores obtener acceso no autorizado a cuentas, sistemas y redes.

Se han explotado las siguientes vulnerabilidades de día cero y las enumeramos a continuación:

Cancelar después de un partido fallido (CAMF)
Match-After-Lock (MAL)

Además, los investigadores encontraron una vulnerabilidad potencial en la protección de datos biométricos que se comunicaban mediante sensores de huellas dactilares a través de la interfaz periférica en serie (SPI).
Para analizar la eficacia de los ataques BrutePrint y SPI MITM, se realizó una prueba exhaustiva en 10 tipos diferentes de teléfonos inteligentes que son bastante populares.

Los hallazgos mostraron que estos ataques fueron efectivos al permitir una cantidad infinita de intentos en cualquier dispositivo Huawei con Android o HarmonyOS; sin embargo, los dispositivos iOS indicaron una vulnerabilidad restringida, lo que permitió realizar solo 10 intentos adicionales.
La idea principal de BrutePrint es enviar una serie ilimitada de envíos de imágenes de huellas dactilares al dispositivo objetivo. Este proceso se repite hasta que se descubre una coincidencia con la huella dactilar definida por el usuario, y no hay restricciones sobre la cantidad de veces que se puede llevar a cabo el proceso.

Un atacante puede lanzar un ataque BrutePrint en un dispositivo de destino al obtener primero acceso físico al dispositivo, luego obtener acceso a una base de datos de huellas dactilares y finalmente usar un equipo que cuesta alrededor de $15. Esto permite que el atacante manipule la tasa de aceptación falsa (FAR) para aumentar el umbral de aceptación de coincidencias de huellas dactilares y lograr un acceso no autorizado más fácil.

Al explotar el problema CAMF, BrutePrint inyecta un error de suma de verificación en los datos de la huella digital. Esto le permite eludir los mecanismos de seguridad y brinda a los atacantes la capacidad de probar un sinfín de coincidencias de huellas dactilares en teléfonos inteligentes sin ser descubiertos.

Al explotar la vulnerabilidad MAL, los atacantes obtienen la capacidad de determinar los resultados de autenticación de las fotografías de huellas dactilares que prueban en el dispositivo de destino, incluso cuando el dispositivo está en un estado de funcionamiento de “modo de bloqueo”.

El ataque BrutePrint elude el modo de bloqueo al explotar un proceso conocido como MAL. También hace uso de un método conocido como “transferencia de estilo neuronal” para cambiar las imágenes de huellas dactilares en la base de datos para que coincidan más con los escaneos del sensor tomados por el dispositivo de destino. Esto aumenta la probabilidad de que la autenticación sea exitosa.

Los investigadores encontraron que cada dispositivo Android e iOS que probaron tenía una vulnerabilidad a al menos una vulnerabilidad conocida después de ejecutar una serie de pruebas en esos dispositivos. Las pruebas se llevaron a cabo en una selección de 10 dispositivos móviles diferentes.
Los investigadores encontraron que ciertos modelos de iPhone son susceptibles a CAMF, pero debido a la cantidad limitada de intentos de huellas dactilares (hasta 15), no es práctico forzar la huella dactilar del propietario. Además, los investigadores descubrieron que todos los dispositivos Android probados son susceptibles al ataque SPI MITM, con la excepción de los iPhone, que cifran los datos de huellas dactilares en el SPI, lo que hace que cualquier intercepción sea ineficaz.

Puede parecer que BrutePrint tiene limitaciones debido al requisito de que debe tener acceso prolongado al dispositivo al que se dirige; sin embargo, su potencial para permitir que los ladrones desbloqueen dispositivos robados y extraigan datos privados, así como las preocupaciones éticas y las implicaciones de los derechos de privacidad para la aplicación de la ley durante las investigaciones, plantean problemas importantes con respecto a las violaciones de los derechos y la seguridad de las personas en países con una posición política o política dominante. posición económica.

El cargo Desbloquea cualquier celular inteligente Android con este truco de huellas dactilares apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 23 de mayo de 2023

WinTapix: Un controlador de Windows que los hackers están explotando para tomar control

WinTapix es un controlador desarrollado por Microsoft para Windows. Donut es un código shell independiente de la posición que utiliza este controlador carga ensamblados .NET, archivos PE y otras cargas útiles de Windows desde la memoria y luego los ejecuta con argumentos. Según los resultados del análisis realizado por los especialistas de Fortinet sobre la muestra, el componente en cuestión es un Windows Kernel Driver. Las características que tiene se muestran a continuación.

Debido al hecho de que su firma digital es incorrecta, es posible que el autor de la amenaza primero necesite cargar un controlador vulnerable (pero legal) antes de poder atacar ese controlador y cargar el archivo Wintapix.sys. Sin embargo, una vez cargado el controlador, tendrá lugar la siguiente cadena de ejecución:

  1. Wintapix.sys se carga en el kernel del sistema operativo.
  2. Wintapix.sys es capaz de inyectar shellcode en un proceso que tiene el nivel adecuado de privilegios del sistema local.
  3. Una carga útil de .NET que ha sido encriptada es cargada y ejecutada por el shellcode inyectado.

En su forma más básica, Wintapix.sys es un cargador. Como resultado, su principal objetivo es crear y llevar a cabo la siguiente etapa del ataque. Esto se logra con la ayuda de un shellcode.

Para que el controlador pueda inyectar el shellcode, primero debe ubicar un proceso de destino apropiado. Los siguientes son algunos de los requisitos previos para el proceso previsto:

  1. Se está utilizando una cuenta del sistema local para llevar a cabo la tarea.
  2. El proceso es del tipo de 32 bits.
  3. El nombre del proceso no está incluido en la lista de ejecutables que deben bloquearse, que incluye “wininit.exe, csrss.exe, smss.exe, services.exe, winlogon.exe y lsass.exe”.

Establecer la persistencia es otro papel esencial que juega Wintapix.sys en el sistema. El primer paso para hacer esto es crear claves de registro. Es interesante notar que el controlador se cargará incluso en Safe Boot. Safe Boot es un modo de inicio de diagnóstico en Windows que inicia el sistema con la cantidad mínima de controladores y servicios. Modo seguro es otro nombre para Safe Boot. Su objetivo es ayudar a los usuarios a diagnosticar y solucionar problemas con el software o los controladores del sistema, que de otro modo podrían impedir que el sistema se inicie correctamente. El controlador también se puede cargar en Safe Boot, lo que proporciona una capa adicional de persistencia a toda la mezcla.

El software malicioso genera una lista de sitios web alojados por el servidor IIS y luego abre un detector HTTP en las URL de esos sitios web. Lo hace para buscar solicitudes que incluyan instrucciones que luego puede llevar a cabo. Si se le dan las instrucciones apropiadas, también puede cargar o descargar archivos.

Parece que Wintapix ha estado operativo desde al menos mediados del año 2020. Lo más probable es que haya sido diseñado por un actor de amenazas iraní y desplegado en operaciones principalmente contra empresas en Arabia Saudita, pero también contra objetivos en Jordania, Qatar y los Estados Unidos. Emiratos Árabes.

Según Fortinet , lo más probable es que el controlador se haya utilizado en algunas campañas importantes en los meses de agosto y septiembre de 2022, así como en los meses de febrero y marzo de 2023, a pesar de que ha permanecido oculto hasta el día de hoy. Las fechas de compilación de las muestras vistas son entre mayo de 2020 y junio de 2021, sin embargo, las muestras se encontraron en la naturaleza mucho más tarde.

Teniendo en cuenta que se sabe que los actores de amenazas iraníes comprometen los servidores de Exchange para propagar más malware, existe una clara posibilidad de que este controlador se haya utilizado junto con ataques dirigidos a Exchange. Hasta ese momento, el período de compilación de los controladores también se asocia con momentos en que los actores de amenazas iraníes atacaban las vulnerabilidades en los servidores de Exchange, según Fortinet.

El cargo WinTapix: Un controlador de Windows que los hackers están explotando para tomar control apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Esta vulnerabilidad permite hackear cualquier modelo de smartphone Samsung

La vulnerabilidad (CVE-2023-21492) afecta a los dispositivos móviles fabricados por Samsung y que se ejecutan en las siguientes versiones del sistema operativo Android. La vulnerabilidad resulta de la inclusión accidental de datos confidenciales en archivos de registro.

Android11, Android 12 y Android 13

CISA recientemente emitió una advertencia sobre un agujero de seguridad que afecta a los dispositivos Samsung y hace posible que los atacantes eviten la protección de aleatorización del diseño del espacio de direcciones (ASLR) de Android mientras llevan a cabo ataques dirigidos.

La aleatorización de las ubicaciones de memoria en las que se cargan componentes importantes de la aplicación y el sistema operativo en la memoria del dispositivo es posible gracias a la aleatorización del diseño del espacio de direcciones (ASLR) de Android, que es un componente fundamental de la arquitectura de seguridad de Android. La información que ha sido revelada puede ser utilizada por atacantes locales que tienen derechos elevados para realizar una omisión de ASLR, lo que, por lo tanto, facilitaría la explotación de las debilidades en la gestión de la memoria. Samsung esencialmente ha solucionado este problema como parte de las actualizaciones de seguridad más recientes mediante la adopción de medidas de seguridad que evitan que se registren referencias al kernel en instancias futuras. Esto se hizo como parte de un esfuerzo mayor para introducir nuevas medidas de seguridad.

De acuerdo con el consejo que se incluyó en la versión de mantenimiento de seguridad (SMR) de mayo de 2023, Samsung admitió que fue notificado de un ataque que apunta a esta falla específica que ahora está activa en la naturaleza.

A pesar de que Samsung no proporcionó ninguna información particular sobre el exploit CVE-2023-21492, es esencial tener en cuenta que durante los ataques cibernéticos altamente enfocados, las vulnerabilidades de seguridad se explotan regularmente como parte de una cadena sofisticada de exploits.

Estos ataques utilizaron cadenas de exploits que apuntaban a las vulnerabilidades para difundir spyware impulsado por intereses comerciales. Mientras esto sucede, los investigadores de seguridad que trabajan para el Grupo de Análisis de Amenazas (TAG) de Google y Amnistía Internacional descubrieron e informaron sobre dos operaciones de ataque diferentes en el mes de marzo. Tras la reciente incorporación de la vulnerabilidad CVE-2023-21492 a la lista de vulnerabilidades explotadas conocidas de CISA, las Agencias del Poder Ejecutivo Civil Civil Federal de los Estados Unidos (FCEB) han recibido un período de tres semanas hasta el 9 de junio para parchear sus dispositivos Samsung Android para protegerse de posibles ataques que exploten esta falla de seguridad.

De acuerdo con BOD 22-01, las agencias gubernamentales tienen hasta la fecha límite del 9 de junio de 2023 para corregir cualquier vulnerabilidad que se haya agregado a la lista KEV de CISA.

El cargo Esta vulnerabilidad permite hackear cualquier modelo de smartphone Samsung apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 22 de mayo de 2023

PyPI se rinde contra hackers, detiene el registro de nuevos usuarios y la carga de nuevos paquetes

Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación Python, ha restringido temporalmente la capacidad de los usuarios para registrarse y enviar nuevos paquetes hasta nuevo aviso. Este cambio fue realizado por los administradores de PyPI . PyPI, el repositorio oficial de terceros para paquetes Python de código abierto, ha implementado nuevas medidas de seguridad en respuesta a un aumento sin precedentes en la actividad de software malicioso. Ha suspendido temporalmente el registro de nuevos usuarios y la carga de proyectos. Este sorprendente paso se realiza con la intención de evitar una mayor carga en las operaciones del registro provocada por el creciente número de usuarios y programas fraudulentos.

Incluso si los administradores no han revelado las identidades de los individuos responsables de estas actividades hostiles, la suspensión de nuevos registros es una precaución preventiva esencial. Esta medida provisional tiene por objeto desalentar a los posibles oponentes hasta que se pueda encontrar una mejor solución a largo plazo. La administración llamó la atención de todos que “mientras nos reagrupamos durante el fin de semana, el registro de nuevos usuarios y nuevos proyectos se suspende temporalmente”. A partir del 20 de mayo, se lanzó el índice de paquetes de Python, a menudo conocido como PyPI. Han emitido una notificación de incidencia en la que anuncian el cese temporal de altas de nuevos usuarios y proyectos. Según la notificación, “El registro de nuevos usuarios y nombres de proyectos en PyPI se suspende temporalmente. Los administradores del registro han manifestado su incapacidad para reaccionar de forma eficaz ante el creciente número de conductas fraudulentas. Esto ocurrió en un período de tiempo decente, a pesar de que numerosos administradores de PyPI estaban ausentes debido a su licencia.

Como es el caso con muchos otros registros de código abierto, el Python Package Index (PyPI) ha sido objeto de explotación por parte de distribuidores de software malicioso. Los expertos descubrieron que un paquete malicioso de PyPI llamado “colorido” estaba propagando un programa dañino conocido como el software malicioso “Ciego a los colores” en el mes de marzo de 2023.

Está claro que PyPI se dedica a preservar la integridad y la seguridad del ecosistema de paquetes de Python, como se ve en su decisión de detener temporalmente el registro de nuevos usuarios y la carga de nuevos proyectos. PyPI quiere proteger a sus usuarios y detener cualquier erosión adicional de la reputación de confiabilidad de la plataforma, por lo que está tomando medidas proactivas para lidiar con el reciente aumento de acciones dañinas.

Es fundamental tener en cuenta que no se espera que los actuales mantenedores de los paquetes de Python que ya están publicados en el registro de PyPI se vean afectados por esta suspensión temporal. No se les impedirá publicar versiones actualizadas de sus artefactos en ningún momento en el futuro.

El cargo PyPI se rinde contra hackers, detiene el registro de nuevos usuarios y la carga de nuevos paquetes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 19 de mayo de 2023

Ghost Touch un ataque que permite hackear celulares Galaxy y iPhone SE sin tocar físicamente

Los investigadores han identificado un nuevo tipo de ataque al que han dado el nombre de “Ghost Touch”. Esta nueva forma de ataque puede acceder a la pantalla de tu dispositivo móvil sin necesidad de que lo toques.

Parecería que aquellos que cometen delitos en línea son constantemente capaces de superarse y sorprender a todos con nuevas e innovadoras estrategias. Ya está familiarizado con métodos como el phishing, los fraudes y el uso de malware para infectar dispositivos. Sin embargo, investigadores de la Universidad de Zhejiang en China y la Universidad Tecnológica de Darmstadt en Alemania ahora han descubierto una nueva forma basada en hardware que los ciberdelincuentes pueden usar para obtener su teléfono inteligente.

Estos se conocen como Ghost Touch y pueden usarse para desbloquear un dispositivo móvil, lo que permite al usuario acceder a información confidencial como contraseñas o aplicaciones bancarias, e incluso instalar malware. Según su explicación, el ataque aprovecha la “interferencia electromagnética (EMI) para inyectar puntos táctiles falsos en una pantalla táctil sin tocarla físicamente”.

Tome nota del hecho de que este último ataque está dirigido. Dicho de otro modo, para poder ajustar el dispositivo es fundamental tener conocimiento sobre la marca y modelo del celular de la víctima. El atacante también puede necesitar conocimientos adicionales al respecto, como el código de acceso, que debe obtenerse mediante ingeniería social. Esto podría ser una necesidad para el ataque. El ataque es efectivo desde una distancia de hasta 40 mm y aprovecha la sensibilidad de la pantalla táctil a las interferencias electromagnéticas (EMI). Los atacantes tienen la capacidad de inyectar impulsos electromagnéticos en los electrodos implantados de la pantalla, lo que hará que la pantalla registre estas señales como eventos táctiles (tocar, intercambiar, presionar o sostener).

En un total de nueve modelos diferentes de teléfonos inteligentes, incluidos el iPhone SE (2020), el Samsung Galaxy S20 FE 5G, el Redmi 8 y el Nokia 7.2, se ha demostrado su eficacia. Si la pantalla de un usuario ha sido pirateada, comenzará a funcionar por sí sola sin la intervención del usuario. Por ejemplo, comenzará a responder llamadas en nombre del usuario o se desbloqueará.

Cuando un dispositivo móvil comienza a visitar sitios web arbitrarios, ingresa a la cuenta bancaria del usuario, abre archivos, reproduce una película o escribe en Google sin la interacción del usuario, esta es otra indicación clara de que el dispositivo ha sido comprometido.

“Puede protegerse contra los ataques a la pantalla táctil de varias maneras diferentes, incluida la adición de más seguridad a su teléfono y estar más atento en lugares públicos”, afirma el artículo. Recomiendan que mantenga su teléfono en su posesión en todo momento, ya que esto reducirá significativamente la probabilidad de que sea hackeado.

El cargo Ghost Touch un ataque que permite hackear celulares Galaxy y iPhone SE sin tocar físicamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 18 de mayo de 2023

Usted compró enrutadores y conmutadores caros de cisco, pero hizo la red fácilmente hackeable

Se ha descubierto que una variedad de productos de Cisco incluyen varias fallas de seguridad graves que los piratas informáticos pueden explotar para causar problemas graves, como denegación de servicio, ejecución remota de código, escalada de privilegios y otras vulnerabilidades importantes. La puntuación del Sistema de puntuación de vulnerabilidades comunes (CVSS) para estas vulnerabilidades, que las coloca en la categoría “crítica”, es significativa por la expresión de su gravedad.

De acuerdo con la metodología de calificación CVSS, cuatro de las nueve vulnerabilidades se clasifican como graves ya que tienen una puntuación de 9,8 sobre 10. Las siguientes líneas de productos se ven afectadas por las nueve vulnerabilidades. –

Los switches administrados de la serie 350 y los switches inteligentes de la serie 250 tienen una solución en la versión de firmware 2.5.9.16.
Switches administrados apilables de la serie 350X (corregidos en la versión de firmware 2.5.9.16)
Switches administrados apilables de la serie 550X (corregidos en la versión de firmware 2.5.9.16)
Conmutadores inteligentes de la serie Business 250 (corregidos en la versión de firmware 3.3.0.16)
Conmutadores de la serie Business 350 (corregido en la versión de firmware 3.3.0.16)
Conmutadores inteligentes para pequeñas empresas de la serie 200 (no se aplicarán parches)
Conmutadores de la serie 300 para pequeñas empresas (no se aplicarán parches)
Serie 500 para pequeñas empresas sin parches Apilable Conmutadores administrados

Las cuatro fallas de seguridad (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 y CVE-2023-20189) se originan a partir de una falla en la interfaz de usuario basada en la web de Cisco Small Business Series Switch. La validación inadecuada de las solicitudes enviadas a la interfaz web es lo que conduce a las vulnerabilidades. Debido a la ausencia de validación, una solicitud maliciosa puede ejecutar código arbitrario con privilegios de raíz en el dispositivo dañado.

Esto implica que un atacante remoto posiblemente pueda realizar una solicitud personalizada a través de la interfaz web y ejecutar código arbitrario con capacidades de root en el dispositivo de destino sin necesidad de autenticación. Tal exploit tiene serias repercusiones ya que le da al atacante un amplio acceso sobre el sistema comprometido.

Cisco ha puesto a disposición actualizaciones de software para ayudar a reducir estas vulnerabilidades. Dado que actualmente no existen soluciones alternativas efectivas, es imperativo que los usuarios y administradores de los equipos Cisco afectados apliquen estas actualizaciones lo antes posible.

La vulnerabilidad de lectura de configuración no autenticada (CVE-2023-20162), la vulnerabilidad de denegación de servicio no autenticada (CVE-2023-20158) y la vulnerabilidad de desbordamiento de búfer de montón no autenticado (CVE-2023-20024, CVE-2023-20156 y CVE-2023-20157) en los switches de la serie Small Business de Cisco se encontraban entre las otras cinco fallas de alta gravedad para las que se lanzaron parches esta semana.

Es crucial tener en cuenta que, a pesar de que estas vulnerabilidades tienen códigos de explotación de prueba de concepto disponibles, el Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco señaló que, hasta donde saben, estas vulnerabilidades aún no se han utilizado en ataques cibernéticos. Sin embargo, el hecho de que existan estos códigos de ataque demuestra la rapidez con la que se deben corregir estas vulnerabilidades.

Los administradores de red y los usuarios de los equipos Cisco afectados deben tener en cuenta que los productos que ya comenzaron el proceso de finalización de su vida útil no obtendrán actualizaciones de firmware que resuelvan estas vulnerabilidades.

El cargo Usted compró enrutadores y conmutadores caros de cisco, pero hizo la red fácilmente hackeable apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

La billetera Trezor para criptomonedas vendida en Ebay o en el mercado libre, podría ser falsa

En Internet, se han vendido billeteras Trezor falsas con la intención de retirar dinero después de la compra. En el mundo vertiginoso de las criptomonedas, mantener un alto nivel de seguridad es de suma importancia. Debido al explosivo crecimiento de la popularidad de las billeteras de hardware, es realmente esencial que los consumidores tengan mucho cuidado y verifiquen que los dispositivos que están usando sean genuinos.

Lamentablemente, un incidente reciente que fue revelado por la empresa rusa de seguridad cibernética Kaspersky arrojó luz sobre la proliferación de billeteras de hardware falsas que ahora están disponibles en el mercado.

El 10 de mayo de 2023, Stanislav Golovanov, quien trabaja como especialista en incidentes cibernéticos para Kaspersky, hizo pública una revelación inquietante.

Kaspersky descubrió que se vendían versiones falsas de billeteras de hardware bajo la marca Trezor, que es un fabricante de billeteras respetado y conocido.

Debido a que estas billeteras falsificadas se ofrecían a la venta en un mercado que se presentaba a sí mismo como confiable, es imperativo que los consumidores ejerzan un cuidado extremo incluso cuando interactúan con sitios web que parecen confiables.

Las billeteras de hardware se han convertido en una de las alternativas más populares entre los fanáticos de las criptomonedas como resultado de la creciente necesidad de soluciones de almacenamiento seguro provocadas por la aparición de las criptomonedas.

Estos dispositivos brindan un grado adicional de protección al mantener las claves privadas fuera de línea, lejos de los posibles peligros que puede presentar Internet. Por otro lado, al igual que con cualquier otra tecnología costosa, hay personajes sospechosos que están ansiosos por aprovechar el mercado.

Las billeteras Trezor falsas que Kaspersky encontró presentaban un gran riesgo para los usuarios que no prestaban atención a lo que estaban haciendo. Fueron desarrollados con la intención de hacer daño, a pesar de que parecían ser iguales a los dispositivos originales.

El propósito de estas billeteras falsas era engañar a los usuarios para que divulgaran sus claves privadas, lo que permitiría a los estafadores detrás de ellas obtener acceso ilegal a la criptomoneda que los usuarios habían almacenado en ellas. Es posible que esto resulte en que las víctimas sufran grandes pérdidas financieras.

Los hallazgos del estudio que realizó Kaspersky sobre este tema destacan lo importante que es obtener billeteras de hardware de proveedores confiables.

La prevalencia de billeteras falsificadas en el mercado hace que sea muy necesario que los usuarios tengan cuidado y verifiquen la autenticidad de los dispositivos que desean adquirir antes de realizar cualquier compra por su cuenta.

Este evento sirve como una advertencia de que los piratas informáticos siempre están desarrollando nuevos métodos para aprovecharse de los consumidores que no se preocupan por proteger su información personal en línea.

Es importante evitar caer en estos contras, por lo que se recomienda tomar ciertas medidas preventivas. Para comenzar, los usuarios deben adquirir carteras de hardware directamente desde el sitio web oficial o a través de revendedores aprobados. Si ninguna de las opciones está disponible, los usuarios deben buscar revendedores autorizados.

Esto hace que sea más probable que se compren artículos auténticos y disminuye la probabilidad de que se obtengan artículos falsificados por accidente. Además, es fundamental realizar una investigación exhaustiva sobre la reputación y la fiabilidad del mercado o la plataforma antes de realizar la compra. Esto debe hacerse antes de completar la compra.

Verificar la integridad de la billetera de hardware de uno tan pronto como se recibe es un paso importante adicional en el proceso de proteger las tenencias de criptomonedas de uno. Con frecuencia, los fabricantes darán a los consumidores instrucciones detalladas para ayudarlos a autenticar sus dispositivos.

Al seguir estas pautas, uno debe asegurarse de examinar el empaque del producto, validar los identificadores únicos y realizar las pruebas especializadas necesarias para garantizar que el producto sea genuino. Los usuarios pueden reducir considerablemente la posibilidad de ser víctimas de dispositivos falsificados si se adhieren a estas pautas, que se describen a continuación.

Además, es esencial mantener un nivel de conocimiento sobre los avances más recientes en el área de las criptomonedas, así como sobre las vulnerabilidades que representan para la seguridad.

Los usuarios pueden mantenerse un paso por delante de los ladrones siguiendo a organizaciones de seguridad cibernética respetadas como Kaspersky, que habitualmente publican informes y advertencias sobre fraudes en desarrollo. Kaspersky es un ejemplo de una de esas empresas.

La difusión de información entre los miembros de la comunidad bitcoin juega un papel importante no solo para aumentar el conocimiento, sino también para proteger a otros de ser víctimas de estafas.

En conclusión, el evento que documentó Kaspersky relacionado con la venta de billeteras Trezor fraudulentas sirve como una advertencia sobre la necesidad de tener precaución en el área de las criptomonedas.

La creciente popularidad de las billeteras de hardware ha llamado la atención de los estafadores, que se dirigen a clientes que no saben que están usando dispositivos falsificados para robar sus criptomonedas.

El cargo La billetera Trezor para criptomonedas vendida en Ebay o en el mercado libre, podría ser falsa apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente