• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

El malware de criptominado apunta ahora contra los servidores Jenkins

Desde hace un tiempo el malware de minado de criptodivisas intenta infectar sitios web y servicios legítimos para hacer aquello para lo que ha sido diseñado, utilizar los recursos de ordenadores ajenos para el minado de criptomonedas por parte de los cibercriminales.

Es importante mencionar que cuando se habla de malware, hacemos referencia a personas que utilizan software de minado de criptodivisas de forma al menos ilegítima e incluso ilegal, ya que por ejemplo el conocido portal de descargas The Pirate Bay implementa la biblioteca Coinhive de forma consciente y transparente ante sus usuarios como un medio de monetización alternativo. Aun así, la existencia de este tipo de software siempre resulta polémica por la utilización de recursos ajenos, con especial mención a las CPU de las computadoras (móviles o tipo escritorio) de los usuarios finales.

Tras explicar un poco la situación sobre el minado de criptodivisas, los investigadores de Check Pont descubrieron hace 18 meses la que podría ser la mayor campaña maliciosa de actividades de minado de criptodivisas, en la cual estuvo implicado un minero llamado XMRig que estaba siendo ejecutado en muchas versiones de Windows para realizar el clásico uso de recursos ajenos. El actor malicioso tras la campaña, que es de origen chino, ha decidido ahora cambiar de rumbo para centrarse en un conjunto de recursos mucho más poderoso: las implementaciones del servidor de Integración Continua Jenkins.

Para los que anden perdidos, Jenkins es una de las soluciones Open Source de integración continua y orquestación de DevOps más usadas del mundo. Se estima que está siendo utilizada por un millón de usuarios, y desde Check Point creen que su gran difusión puede ser el principal motivo de por qué ha llamado la atención de los cibercriminales relacionados con el minado de criptodivisas. Obviamente, al apuntar esta campaña contra una tecnología de servidor, no utiliza los recursos de los ordenadores pertenecientes a los usuarios finales, sino que se aprovecha de la teórica mayor potencia de los servidores. Se estima que hasta ahora los cibercriminales han conseguido minar por un valor de 3 millones de dólares.

Sobre las características de este malware, al que han llamado JenkinsMiner desde Check Point, los investigadores de la mencionada empresa de ciberseguridad han descubierto que tiene similitudes con RubyMiner, otro minero utilizado con propósitos maliciosos. RubyMiner llegó en su momento a infectar a un 30% de las redes públicas del mundo y comparte con JenkinsMiner la posibilidad añadida de poder provocar denegaciones de servicio (DDoS) en las máquinas infectadas, algo que perjudicaría gravemente a las empresas tanto en su funcionamiento como a nivel económico.

En los últimos días nuestros compañeros de MuyComputer se hicieron eco de que el valor del Bitcoin estaba empezando a estabilizarse, quedándose por encima de los 10.000 dólares. Aunque las critpodivisas en general han perdido valor en los últimos meses, este sigue siendo alto, por lo que el minado malicioso de criptomonedas se mantiene como una actividad atractiva para los cibercriminales. Al igual que Coinhive y buena parte del malware que se dedica a esa actividad, JenkinsMiner se dedica a minar la criptodivisa Monero.

por Eduardo Medina Wed, 21 Feb 2018 15:08:24 +0000

Intel publica actualizaciones contra Spectre para Skylake, Kaby Lake y Coffee Lake

Con Meltdown aparentemente bajo control, desde hace un tiempo los esfuerzos en el sector de la ciberseguridad se centran en aportar todas las mitigaciones posibles contra Spectre, que a día de hoy sigue sin poderse resolver de forma definitiva y no parece que vaya a haber una solución total, ya que el origen del vector de ataque está en un fallo de diseño de las CPU que no puede ser arreglado mediante firmware o software.

Que el foco mediático esté menos encima de Spectre no quiere decir que haya perdido peligrosidad. Debido a que los procesadores afectados, además de distintas arquitecturas, están muy difundidos, hará que decenas de millones de empresas y usuarios tengan que convivir con el riesgo de acabar atacados mediante la explotación de algunas de las dos vulnerabilidades que abarca Spectre.

Según nos informan nuestros compañeros de MuyComputer, Intel ha desarrollado y validado nuevos parches contra Spectre que pueden ser aplicados en sus procesadores de Intel Core de sexta, séptima y octava generación, además de Pentium, Celeron, Core X y los Xeon modelos D y Scalable. Debido a problemas con los parches publicados el mes pasado, en esta ocasión la compañía ha comentado que ha realizado extensas pruebas junto con clientes y socios de la industria para garantizar su correcto funcionamiento en entornos de producción. Aunque Intel es una compañía con capacidad para superar este bache, da la sensación de que no puede permitirse muchos tropiezos más, sobre todo si tenemos que en cuenta que la competencia se ha librado casi en su totalidad de Meltdown, algo que está siendo aprovechando, al menos aparentemente, a nivel comercial.

Intel ya ha comenzado la distribución de su microcódigo actualizado para los OEM, por lo que su lanzamiento público tendría que estar cerca para fabricantes y proveedores de sistemas operativos. Sobre los parches y como ya hemos comentado, no resuelven Spectre de forma definitiva porque al menos de momento eso es imposible, así que los que quieran tener procesadores corregidos tendrán que esperar al lanzamiento Ice Lake, ya que todo apunta a que el problema seguirá sin estar resuelto en Cannon Lake.

No solo a los problemas relacionados con la seguridad se tiene que enfrentar Intel, ya que a eso se le ha sumado la pérdida de rendimiento sobre todo por los parches necesarios para corregir Meltdown, explicaciones ante el congreso de Estados Unidos y más de 30 demandas. Como ya hemos dicho, la compañía tiene medios para superar el bache, pero la tormenta podría no empezar a amainar hasta el lanzamiento de la generación Ice Lake.

por Eduardo Medina Wed, 21 Feb 2018 11:59:17 +0000

Microsoft Edge

La relación entre Project Zero de Google y Microsoft podría no ser la mejor. Hace año y medio el gigante de Redmond se quejó sobre cómo gestionaba la compañía del buscador las vulnerabilidades de Flash, algo que pudo tener cierta respuesta un año después, cuando Microsoft se quejó de cómo gestionaba Google las vulnerabilidades de Chrome.

Ahora, en febrero de 2018, tenemos a Project Zero de Google publicando una vulnerabilidad de Microsoft Edge después de que esta no fuera corregida dentro del límite de 90 días que concede después de cada descubrimiento que hace. Esto quiere decir que los detalles del fallo de seguridad presente en el navegador web son públicos mientras sigue sin estar parcheado.

Siendo más concretos, el fallo afecta a la característica Arbitrary Code Guard (ACG), que fue descrita hace año por Microsoft como un conjunto de grandes mejoras en términos de seguridad publicado en Creators Update de Windows 10. Para mitigar la ejecución de código arbitrario nativo en Microsoft Edge, Creators Update utilizaría Code Integrity Guard (CIG) y Arbitrary Code Guard (ACG) para impedir en el uso de exploits en los navegadores web modernos.

Microsoft explicó cómo los navegadores modernos transforman el código JavaScript en nativo, además de que la habilitación de los compiladores JIT (Just-In-Time) para que trabajen junto con ACG no era una tarea de ingeniería trivial. También ha comentado que “ha movido la funcionalidad JIT a Cakra en un proceso separado que se ejecuta en su propio entorno aislado. El proceso JIT es responsable de la compilación de JavaScript a código nativo y de mapearlo en el proceso de petición de contenidos. De esta manera, el mismo proceso de contenidos nunca tiene permitido el mapeo directo o la modificación de sus propias páginas de código JIT.”

Con AGC habilitado, el kernel de Windows evita que el proceso de contenidos pueda crear y modificar páginas de código en la memoria mediante el cumplimiento forzado de una política que las vuelve inmutables, impidiendo así la creación de páginas de código sin firmar. Sin embargo, la vulnerabilidad hallada en esta característica, que fue considerada como de gravedad media, permite saltársela. Microsoft esgrimió en su defensa que el problema está siendo más difícil de resolver de lo esperado, mientras que Google comenta que cumplió con los 90 días que da a todo desarrollador y que además otorgó 14 días adicionales de gracia para ver si Microsoft terminaba liberando el parche junto con la actualización de seguridad de febrero, cosa que no ocurrió.

Lo peor es que Microsoft es incapaz de establecer una fecha para la corrección del error, por lo que podría incluso no estar solucionado para marzo de 2018, cuando se publiquen los parches de seguridad correspondiente a ese mes.

Aparte de los conflictos que puedan tener Microsoft y Google sobre cómo gestionan los problemas de seguridad en sus productos, la realidad se que Edge sigue siendo a día de hoy un navegador más bien irrelevante en el mercado.

Fuente: CSO Online

por Eduardo Medina Tue, 20 Feb 2018 16:15:08 +0000

Windows 10

A veces la seguridad ofrecida por el software puede saltarse de las formas más inverosímiles. Si en una ocasión anterior informamos sobre que macOS aceptaba cualquier contraseña para acceder a los ajustes de la App Store, recientemente ha sido el escáner de antimalware de Windows 10 el que ha quedado en evidencia, debido a que un malware solo tiene que introducir un carácter nulo para saltárselo.

Siendo más concretos, el fallo reside en la Interfaz de Escaneo del Anti-Malware (AMSI), una característica genérica que actúa como punto intermediario entre las aplicaciones y los motores de los antimalware. AMSI permite que un fichero sea escaneado por un software de seguridad local y devuelve un resultado. Fue introducida en Windows 10 como una característica agnóstica con respecto al vendedor, por lo que envía automáticamente cualquier fichero para que sea inspeccionado por cualquier motor de antimalware instalado localmente en un ordenador, yendo más allá del conocido Windows Defender.

Aunque puede escanear cualquier tipo de fichero, Microsoft creó AMSI sobre todo para inspeccionar los scripts que son invocados en tiempo de ejecución, abarcando los de PowerShell, VBScript, Ruby y otros muchos lenguajes. Estas tecnologías interpretadas se han convertido en un medio muy usado para evitar la detección de malware o actividades maliciosas por parte de las soluciones antimalware tradicionales.

La vulnerabilidad ha sido descubierta por el investigador en seguridad Satoshiba Tanda, residente en Vancouver (Canadá). Sobre su explotación, ocurre cuando AMSI realiza su proceso estándar de escaneo y se encuentra con un carácter nulo, el cual trunca el proceso y obvia el resto de los datos. Esto abre la puerta para que un atacante pueda oculta código malicioso debajo de un carácter nulo y saltarse las comprobaciones de ANSI.

Como medida de mitigación, Tanda recomendó a los desarrolladores de antimalware que revisaran sus creaciones para asegurarse de que no se detenían al encontrar un carácter nulo en un fichero de script. Por su parte, Microsoft ya ha corregido el fallo en los parches de seguridad publicados en febrero de 2018, por lo que una actualización del sistema ya tendría que corregirlo en una instalación de Windows 10.

Fuente: BleepingComputer

por Eduardo Medina Tue, 20 Feb 2018 10:59:35 +0000

Acusan a Facebook de enviar spam mediante el mecanismo de autenticación en dos pasos

Facebook es una red social que lleva mucho tiempo en el ojo del huracán por temas relacionados con privacidad. Cuando no son estados que amenazan con sanciones o incluso poniéndolas debido a infracciones de la legislación, son personas que muchas veces estuvieron vinculadas las que la acusan de ser un medio de manipulación social.

Hace unos meses Facebook implementó en su red social la autenticación en dos pasos, un mecanismo muy recomendado desde muchos ámbitos de la ciberseguridad para reforzar la seguridad de las cuentas de los usuarios. Sin embargo, la polémica ha saltado al haber usado la red social este mecanismo para presuntamente enviar spam a sus propios usuarios.

Según el investigador en seguridad Gabriel Lewis, Facebook está usando su número de teléfono, el que emplea para la autenticación en dos pasos, para notificarle sobre las publicaciones que realizan sus amigos en la red social. Pero lo peor no es recibir los mensajes según el investigador, ya que si se responden, el texto enviado se publica en el muro de la red social perteneciente a la cuenta de quien ha respondido, dejando al usuario en una situación de cierta indefensión.

Alex Stamos, jefe de seguridad de Facebook, ha dado la cara por la compañía diciendo que desde la red social no se tiene ninguna intención de utilizar la autenticación en dos pasos para enviar spam, pidiendo disculpas por la situación y achacándolo todo a un fallo. De hecho, ha reconocido que esto podría disuadir a los usuarios de utilizar la mencionada característica.

Facebook se ha comprometido a que la autenticación en dos pasos solo envíe notificaciones relacionadas con la seguridad al menos que el usuario diga lo contrario, algo que parece será aplicado de forma retroactiva debido a las quejas.

Fuente: The Register

por Eduardo Medina Mon, 19 Feb 2018 15:00:57 +0000

Dispositivos de Apple

A veces los errores de software tienen un origen bastante inverosímil, o eso es lo que han descubierto los investigadores de Aloha Browser a los que hacen referencia en el portal italiano Blog Mobile World, que vieron cómo el envío de un carácter puede bloquear muchas aplicaciones que son ejecutadas sobre dispositivos de Apple, incluyendo iPhones, iMac, iWatch e incluso los ordenadores Mac.

El carácter problemático es un símbolo perteneciente al idioma telugu, hablado por 70 millones de personas en la zona centro meridional de India. Al parecer, para explotar el bug solo hay que enviar dicho carácter a cualquier dispositivo Apple (móvil o Mac), ya sea mediante servicios de mensajería, aplicaciones de correo o navegadores web, por lo que resulta muy fácil ejecutar un ataque para bloquear la aplicación que la despliegue. Siendo algo más técnicos, solo basta con que el símbolo aparezca en un TextField, Label o TextView.

Símbolo en Telugu que provoca el bloqueo de muchas aplicaciones ejecutadas sobre dispositivos de Apple

Los usuarios pueden recibir bombas de texto con el carácter problemático. Esto hace que cada vez que abran la aplicación esta se cuelgue debido a la explotación del bug, dejando como único remedio el borrado de las conversaciones para volver a tener un funcionamiento correcto. Otra posibilidad es que la persona emisora envíe otro mensaje sin el carácter para que la víctima del bug pueda saltarse la notificación y eliminar el hilo de la conversación.

Como ya hemos dicho, hay una gran cantidad de aplicaciones de distinto tipo que permiten la explotación de este bug, entre las que se encuentran WhatsApp, Facebook Messenger, Outlook para iOS, Gmail, iMessage y Slack, aunque otras como Skype y Telegram parecen haberse librado.

Debido a la gran cantidad de problemas que podría generar este fallo, Apple se ha comprometido en lanzar una corrección cuanto antes.

por Eduardo Medina Mon, 19 Feb 2018 10:14:44 +0000

G DATA publica un escáner gratuito para detectar vulnerabilidades de Spectre y Meltdown

Spectre y Meltdown se han convertido posiblemente en los dos mayores problemas a los que se enfrentan ahora los expertos en ciberseguridad. Debido a que son vectores de ataque que explotan fallos de diseño de las CPU (aunque Meltdown afecta solo a modelos muy concretos, sobre todo de Intel), no están siendo nada sencillos de neutralizar. Meltdown en teoría ya está resuelto con diversos parches ya publicados para todos los sistemas operativos, algo que ha tenido como precio una pérdida de rendimiento, mientras que Spectre se muestra de momento como irresoluble y se combate mediante mitigaciones.

¿Quieres saber si tu ordenador es vulnerable ante Meltdown y Spectre? La compañía de ciberseguridad alemana G DATA ha publicado una herramienta compatible con Windows para comprobar si una instalación del sistema es vulnerable ante los vectores de ataque mencionados. Hay que tener en cuenta que las vulnerabilidades que abarcan pueden ser explotadas desde muchos frentes diferentes, por eso se han publicado mitigaciones no solo para el firmware de los procesadores, sino que también se han incluido parches en navegadores web e incluso drivers de GPU.

Básicamente, la herramienta de G DATA es un escáncer que comprueba una instalación del sistema operativo Windows y la aplicación de los parches publicados por Microsoft, el tipo de procesador y si es vulnerable ante Spectre y Meltdown, intentará averiguar si se han hecho las configuraciones críticas de seguridad en la BIOS y si la solución antimalware instalada es compatible con los parches que Microsoft ha ido publicando. Tras realizar el análisis, el escáner ofrecerá recomendaciones para protegerse de los vectores de ataque.

Este programa es compatible con Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 y Windows Server 2008 R2 SP1. Requiere de .NET Framework 4 o superior (preinstalado con Windows 8, Windows Server 2012 y versiones posteriores) y para Windows 7 SP1 o Windows Server 2008 R2 SP1 es necesario instalar .NET Framework 4.7.1.

por Eduardo Medina Fri, 16 Feb 2018 17:48:35 +0000

CloudGuard de CheckPoint protege las IaaS y SaaS de las amenazas de quinta generación

Check Point anunció en un evento celebrado en Las Vegas el próximo lanzamiento de CloudGuard, su nueva familia de productos de seguridad para la nube.

Con las soluciones de CloudGuard, las infraestructuras de cargas de trabajo en la nube (IaaS) y de Software como un Servicio (SaaS) de las empresas podrán estar totalmente protegidas de las amenazas Gen V (quinta generación), las cuales ya explicamos en la presentación de Infinity Total Protection en el evento CPX 360 Barcelona.

Mediante la familia de productos de CloudGuard, Check Point pretende ofrecer una seguridad en la nube coherente y completa desde centros de datos virtualizados a SDN, aplicaciones IaaS y SaaS, incluyendo protección contra el secuestro de cuentas, una amenaza que ha ganado mucho protagonismo en los últimos tiempos. Siendo más concretos, el catálogo incluye productos como CloudGuard SaaS y CloudGuard IaaS, y se integra con una gran cantidad de plataformas en la nube y aplicaciones basadas en la nube, dando a los clientes la libertad de elegir la solución cloud que mejor se ajusta a sus necesidades sin tener que sacrificar la seguridad.

CloudGuard SaaS es una solución diseñada para ofrecer una seguridad y prevención ante amenazas avanzadas para las aplicaciones de Software como un Servicio. Utiliza una tecnología pendiente de patente que evita el secuestro de cuentas y los ataques hacker contra las aplicaciones. Por su parte, CloudGuard IaaS ofrece prevención contra amenazas avanzadas Gen V para plataformas en la nube tanto públicas como privadas, abarcando Amazon Web Services, Google Cloud Platform, Microsoft Azure, Cisco ACI, OpenStack, VMware NSX, VMware Cloud on AWS, VMware ESX, Alibaba Cloud, KVM, Hyper-V y muchos más.

Las amenazas Gen V han generado nuevas situaciones contra la seguridad que no pueden ser combatidas eficazmente con las soluciones tradicionales, pudiendo ser ataques sofisticados a gran escala que se mueven rápidamente entre todo tipo de estructura computacional o computadora, desde las infraestructuras en la nube hasta los dispositivos móviles. Ahí es donde entran los productos de CloudGuard, que han sido creados para neutralizar las carencias de las soluciones tradicionales.

CloudGuard ofrece protección contra las Amenazas Persistentes Avanzadas (APT) y malware zero-day dirigido contra las aplicaciones SaaS mediante la utilización de un aislamiento en tiempo real. También previene del peligroso ransomware gracias a la utilización de una inteligencia contra amenazas integrada y en tiempo real basada en la nube para identificar las nuevas amenazas que surjan.

Con la tecnología ID-Guard, CloudGuard SaaS identifica y bloquea a los usuarios ilegítimos de acceder a cuentas de un SaaS, además de bloquear a usuarios no autorizados y dispositivos que han sido comprometidos. Por otro lado, asegura que las políticas de consentimiento estén forzadas por las pasarelas de seguridad de Check Point y las soluciones SandBlast Mobile, permitiendo una seguridad y una gestión consistentes en toda la empresa a través de una plataforma de gestión de la seguridad unificada.

Por su parte, CloudGuard IaaS soporta una implementación de modelos ágil y de un solo clic junto con la naturaleza dinámica de los servicios en la nube, facilitando así su expansión. CloudGuard también soporta contextos de compartición con políticas de actualización dinámicas, autoprovisionamiento, autoescalado e implementaciones en un clic para alinear la seguridad con los servicios en la nube.

Los que quieran ver a CloudGuard SaaS en acción podrán hacerlo asistiendo mediante registro previo al seminario que se celebrará el miércoles 7 de marzo de 2018.

por Eduardo Medina Fri, 16 Feb 2018 11:36:33 +0000

Intel ofrece ahora hasta 250.000 dólares por una vulnerabilidad descubierta

Intel inició hace un año un programa de recompensas en HackerOne por hallar vulnerabilidades en sus productos. En aquel momento mencionamos que las vulnerabilidades de hardware podrían terminar siendo incluso más peligrosas que las de software, cosa en la que no anduvimos mal encaminados después de todo el escándalo generado por Meltdown y Spectre, los dos vectores de ataque que han terminado por mermar la imagen corporativa de Intel y han dado alas, al menos en apariencia, a la competencia en algunos sectores.

Quizá debido al mal trago pasado desde inicios de año, Intel ha decidido actualizar su programa de recompensas en HackerOne para aumentar las cuantías, ofreciendo ahora hasta 250.000 dólares a quienes hallen vulnerabilidades en algunos de sus productos. Además, también lo ha abierto a cualquier persona que utilice la plataforma de HackerOne, ya que antes estaba reservado a investigadores que recibieran una invitación. La compañía pretende con este movimiento mejorar su imagen en términos de ciberseguridad desde una perspectiva más abierta y participativa.

En el anuncio publicado en HackerOne, Intel habla de organizar una respuesta coordinada con socios y clientes ante cualquier vulnerabilidad, además de pedir a los que reporten vulnerabilidades que envíen sus informes cifrados con GnuPG o PGP con el fin de impedir que los detalles acaben expuestos antes de la publicación de una mitigación. Estos son los principales cambios introducidos en el programa de recompensas:

  • Se ha cambiado el modelo de invitaciones por otro abierto a cualquier investigador en seguridad, aumentando de forma notable la cantidad de candidatos que pueden reportar vulnerabilidades.
  • Ofrecer un nuevo programa centrado específicamente en las vulnerabilidades de canal lateral que durará hasta el 31 de diciembre de 2018. El premio por las divulgaciones bajo este programa sube hasta los 250.000 dólares.
  • Aumento en la cuantía de las recompensas en todos los ámbitos, ofreciendo hasta 100.000 dolares en otras áreas.

Las directrices del programa por hallar vulnerabilidades en hardware, firmware y software de Intel son las siguientes:

  • Se otorgará una recompensa por el primer informe de vulnerabilidad con los suficientes detalles como para permitir la reproducción de lo reportado por parte de Intel.
  • Dependiendo de la naturaleza de la vulnerabilidad y la cantidad y calidad del contenido del informe, Intel recompensará con entre 500 y 250.000 dólares estadounidenses.
  • El primer informe externo recibido sobre una vulnerabilidad interna conocida recibirá un máximo de 1.500 dólares como recompensa.
  • Las calculadoras CVSS aprobadas que pueden ser usadas para determinar las líneas base sobre la gravedad de todas las vulnerabilidades reportadas serán la NVD CVSSv3 y la FIRST CVSSv3, a entera discreción de Intel.
  • Intel reconocerá públicamente a los investigadores en seguridad en los avisos y en el Programa de Recompensas en o después del momento de la divulgación pública de la vulnerabilidad, tal y como haya sido acordado con el investigador que ha reportado la vulnerabilidad.
  • Las recompensas están limitadas a un premio por vulnerabilidad de causa raíz elegible. Si una vulnerabilidad afecta a varios productos de Intel, se pagará solo por la primera instancia informada independientemente del producto. Intel, a su entera discreción, decidirá si la vulnerabilidad reportada es la primera instancia de producto informada de una vulnerabilidad de causa raíz.

Después de explicar ciertos aspectos técnicos de los cambios en el programa de recompensas, intentaremos ahora resumirlos un poco con el apoyo de dos tablas.

Por un lado, tenemos la parte permanente, mediante la cual se ofrecen recompensas de hasta 100.000 dólares por hallar vulnerabilidades en el software, el firmware y el hardware de Intel. Sin embargo, pueden aparecer aparte programas apuntando a amenazas, vulnerabilidades y tecnologías concretas.

Parte permanente del programa de recompensas por hallar vulnerabilidades de Intel mediante HackerOne

Por otro tenemos la parte de duración limitada, la que se acaba el 31 de diciembre de 2018. Esta parte está centrada en dos vulnerabilidades de tipo canal lateral: Las de causa raíz que afectan al hardware de Intel y las que se pueden explotar vía software. La compañía espera con esto “acelerar nuevas investigaciones innovadoras y aprender sobre estos tipos de problemas de seguridad.”

Parte temporal (hasta el 31 de diciembre de 2018) del programa de recompensas por hallar vulnerabilidades de Intel mediante HackerOne

Más información: HackerOne e Intel

por Eduardo Medina Thu, 15 Feb 2018 15:21:15 +0000

Lazarus está apuntando ahora contra los usuarios de carteras de Bitcoin

Lazarus, que también ha actuado bajo el nombre de Hidden Cobra, es el grupo de hackers que presuntamente trabaja para el régimen dictatorial de Corea del Norte, actualmente dirigido por Kim Jong-Un.

Lazarus ha llevado a cabo muchas acciones diferentes a lo largo de su trayectoria, desde robar dinero hasta vengar al país para el que trabaja de situaciones que le han resultado humillantes, como el brutal ataque hacker contra Sony Pictures debido al próximo estreno de la película The Interview. También se le atribuye al menos participación en la creación del conocido ransomware WannaCry y el robo de planes de guerra de Corea del Sur, vecino con el que mantiene un conflicto desde hace décadas heredado del contexto de la Guerra Fría. Obviamente, todas aquellas acciones no se iban a quedar sin respuesta, y aparte de una posible guerra bélica que se está gestando a rebufo del desarrollo de armas de destrucción masiva por parte de Corea del Norte, grupos de hackers como Anonymous y Lizard Squad llevaron a cabo en el pasado ataques DDoS contra ese país y Estados Unidos intentó colarle el gusano Stuxnet en su redes.

Corea del Norte no es país que aparentemente tenga facilidades para financiarse. Según un investigador de seguridad de McAfee, Lazarus estaría en los últimos tiempos centrado en atacar a usuarios incautos de Bitcoin mediante una campaña de phishing. Esta persona, que se identifica como HaoBao, ha descubierto que Lazarus está enviando emails suplantando a una empresa de contratación de Hong Kong que busca a un Ejecutivo de Desarrollo Comercial.

El ataque no es en apariencia nada revolucionario, ya que el email contiene un enlace de Dropbox hacia un fichero de Microsoft Word con una macro maliciosa. Una vez haya sido abierto el fichero, este preguntará a la víctima si quiere habilitar los contenidos, cosa que si se responde de forma afirmativa permite a la macro escanear para comprobar la presencia de carteras de criptomonedas e implantar un mecanismo de recopilación de datos que funciona a largo plazo. Para engañar a la víctima con el fin de hacerse pasar por un documento seguro, notifica que ha sido creado con la versión más reciente de Microsoft Office, cosa que en realidad no aporta nada en términos de seguridad.

El malware implantado en el ordenador de la víctima recopila, además de Bitcoins, el nombre de la computadora, el usuario actualmente en ejecución, la lista de todos los procesos en ejecución y la presencia de una clave de registro específica en el sistema, los cuales son enviados a un servidor de mando y control. Según McAfee, en los últimos tiempos se está detectando un aumento en la recopilación de datos por parte de Lazarus, además de estar centrándose más en grandes bancos e inversores de critpomonedas.

Fuente: HackRead

por Eduardo Medina Thu, 15 Feb 2018 11:54:01 +0000