• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

troyano Android roba a usuarios de PayPal

La firma de seguridad ESET ha descubierto un troyano Android capaz de salvar la autenticación multifactor requerida para acceder a la aplicación oficial de PayPal y robar dinero a sus usuarios.

El sistema de autenticación por doble factor se ha convertido en una piedra angular para que organizaciones y consumidores podamos proteger los datos y usar de forma segura los servicios de Internet. Y funciona perfectamente en el servicio de pagos en línea. La cuestión aquí es otra.

Este curioso troyano Android utiliza la fórmula más sencilla, aprovechar el eslabón más débil de la cadena, el propio usuario. Primero se camufla dentro de una app de optimización de batería de smartphones que se distribuye fuera de la tienda oficial de Google y que huele a camelo (o a algo peor como al final termina siendo) a kilómetros de distancia.

Seamos sensatos. Quién instala este tipo de apps basura que no sirven absolutamente para nada cuando hay consejos probados y seguros para mejorar la autonomía de un smartphone Android. Y más si se distribuyen fuera de la tienda oficial.

troyano Android roba a usuarios de PayPal

Pues sigue sucediendo. Una vez descargada la aplicación detiene inmediatamente la supuesta funcionalidad anunciada, oculta su icono y busca inmediatamente si la víctima tiene una cuenta de PayPal. Si la encuentra, muestra una alerta de notificación solicitando permiso para observar las acciones del teléfono y recibir notificaciones cuando interactúa con la aplicación y para recuperar el contenido que se muestra en la pantalla. Casi nada. Otro error del usuario aceptar ese tipo de permisos que jamás deben de autorizarse.

El malware emite un mensaje pidiendo a la víctima que abra su cuenta de PayPal e inicie sesión. Aquí ya estamos perdidos, porque permite que los permisos previamente autorizados capturen los datos ingresados. A partir de ahí, la aplicación maliciosa utiliza esta información para enviar dinero a la cuenta de PayPal de los delincuentes. Y no poco, 1.000 euros.

La investigación de ESET encontró que la transacción completa demora unos cinco segundos, demasiado rápido para que la víctima intente detenerla. Incluso, el proceso se repite cada vez que el usuario accede a su cuenta de PayPal y solo falla si no hay suficientes fondos en la cuenta.

“Debido a que el malware no se basa en el robo de las credenciales de inicio de sesión de PayPal y en su lugar espera que los usuarios inicien sesión en la aplicación oficial, también omite la autenticación de dos factores de PayPal (2FA). Los usuarios con 2FA habilitado simplemente completan un paso adicional como parte de inicio de sesión, como lo harían normalmente, pero terminan siendo tan vulnerables al ataque de este troyano como los que no usan 2FA”, explican los especialistas de ESET. 

ESET ha notificado previamente a PayPal el modus operandi de ataque y la cuenta que recibe los fondos robados. ¡Muchísimo cuidado, que nos despluman! Más información | ESET

por Juan Ranchal Thu, 13 Dec 2018 23:44:39 +0000

Cierra Google+

El gigante de Internet adelantará cuatro meses el cierre de la red social Google+ después que un nuevo bug comprometiera la información de más de 52 millones de usuarios.

Hace un par de meses se anunció una vulnerabilidad en Google+ que expuso los datos personales de hasta 500.000 usuarios entre el año 2015 y marzo de 2018, cuando la compañía la parcheó. El error fue descubierto por Google como parte de una revisión interna llamada Project Strobe y afectaba a una API llamada “People” a la que tuvieron acceso hasta 438 desarrolladores de aplicaciones en Google+.

El error permitió a esas aplicaciones acceso a la información privada en el perfil de usuario de Google+. Ello incluyó detalles como direcciones de correo electrónico, género, edad, imágenes, estados de relaciones, lugares vividos y ocupaciones.  Hasta 438 aplicaciones en Google+ tuvieron acceso a esta API “People”, aunque la compañía dijo que “no tenían pruebas que los desarrolladores fueran conscientes de la vulnerabilidad”.

Según un informe publicado por el Wall Street Journal, la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque “no quería que los legisladores la sometieran a un examen normativo”. El CEO de Google, Sundar Pichai, fue informado sobre la decisión de no revelar la vulnerabilidad después que un comité interno hubiera decidido el plan, explica WJS. 

Nuevo bug en Google+

Ahora, Google dice haber descubierto un nuevo ‘bug’ que esta vez ha afectado a una gran cantidad de clientesEl fallo permitió que las aplicaciones que usaban la API vieran la información completa del perfil de los usuarios, incluso si ese perfil estaba configurado como privado. 

Google ha solucionado el bug en una semana y asegura que los datos expuestos “no incluían información sensible” como contraseñas o datos financieros. También ha informado que el fallo no ha comprometido sus propios sistemas y que “no tienen pruebas” que el error en esta API para desarrolladores haya sido usada para ciberataques. 

Sin embargo, para “asegurar la protección de nuestros usuarios”, Google ha decidido cerrar la red social para consumidores en abril, cuatro meses antes de lo previsto.

La compañía ha reconocido que Google+ nunca obtuvo el éxito esperado y actualmente el 90% de las sesiones de usuarios de Google+ duran menos de cinco segundos. Google+ continuará como un producto enfocado para usuarios empresariales. Por ello, no es ninguna sorpresa el cierre de esta red social. La sorpresa es que se produzca por motivos de seguridad y que Google no parezca ser capaz de dar respuesta a ello.

No lo creemos. Más bien parecen razones comerciales por su poco uso: “La revisión (el fallo de seguridad) resaltó los desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores. Dados estos desafíos y el uso muy bajo hemos decidido cerrar la versión para consumidores de Google+”, explicó Ben Smith, vicepresidente de ingeniería de Google.

por Juan Ranchal Tue, 11 Dec 2018 23:03:13 +0000

seguridad de Whatsapp

Creadores y distribuidores de malware han puesto a Whatsapp en el punto de mirason múltiples las campañas maliciosas que, como en todo servicio masivo, intentan aprovechar sus centenares de millones de usuarios.

Además, los intereses propios de Facebook y el supuesto (dalo por hecho) intercambio de datos que practica desde la compra de la aplicación, son una preocupación para la privacidad de los usuarios. La Comisión Europea impuso a Facebook una multa de 110 millones de euros por mentirle en el marco de la investigación de la adquisición al proporcionar información “incorrecta, inexacta o engañosa”.

Poco después, la Agencia Española de Protección de Datos (AEPD) sancionó a WhatsApp y Facebook con una multa de 600.000 euros por dos infracciones graves de la Ley Orgánica de Protección de datos, LOPD. Según concluyen las sanciones, Whatsapp traspasó datos de usuario a Facebook sin consentimiento (por ejemplo como se descubrió en la compartición del número de teléfono) y éste los manejó para sus propios fines, también sin autorización.

El enorme escándalo por el caso de Cambridge Analytica puso sobre el tapete las prácticas de Facebook que inevitablemente alcanzan a algunas de sus aplicaciones como la de mensajería instantánea.  Así las cosas, conviene que el usuario actúe para mejorar la seguridad de Whatsapp. Te recordamos algunos consejos de utilidad para manejar el servicio.

  1. Verifica el cifrado para conversaciones delicadas. Whatsapp habilita por defecto el cifrado de extremo a extremo, pero es una buena práctica verificarlo en situaciones donde se comparte información confidencial, como datos financieros. Para hacerlo, en una ventana de chat, toca sobre el nombre del contacto y luego en cifrado. Verás un patrón de 40 dígitos como código de seguridad que el contacto puede verificar escaneando el código de seguridad. Lo ideal es hacerlo mediante un app de mensajería diferente.  seguridad y privacidad en Whatsapp
  2. Activa las notificaciones de seguridad. Cuando un nuevo teléfono o computadora accede a un chat existente, se genera un nuevo código de seguridad para ambos. WhatsApp puede enviar una notificación cuando el código de seguridad cambie. De esta manera, puede verificar el cifrado con tu contacto mejorando la seguridad. Para activar las notificaciones de seguridad, ve a vaya a WhatsApp > Ajustes > Cuenta > Seguridad > Mostrar las notificaciones de seguridad. 
  3. Habilita la verificación en dos pasos. La autenticación de dos factores, doble autenticación o verificación en dos pasos (2FA) es un servicio habilitado por múltiples servicios de Internet y es una manera de impedir que un tercero acceda a tu cuenta de WhatsApp sin tu consentimiento. Para activarlo, ve al Menú > Ajustes > Cuenta > Verificación en dos pasos. Actívalo y sigue el proceso para la creación de un código PIN de seis dígitos que puedas recordar fácilmente. Es importante que añadas una dirección de correo electrónico válido para recuperar ese código en caso de olvido.
  4. Deshabilita la copia de seguridad en nube. Las copias de seguridad a través de los sistemas de almacenamiento en nube son comodísimas y permite recuperar archivos y mensajes en caso de reinstalaciones. Pero, cuidado si te preocupa la privacidad, porque la copia de seguridad que almacena Drive o iCloud no está cifrada. Además, queda al alcance de terceras compañías ansiosas de poseer más datos y del acceso de agencias gubernamentales. Si te preocupa el tema, haz copias locales y deshabilita esta opción en Android desde el Menú > Ajustes > Configuración > Chats > Copia de seguridad de chat > Guardar en Google Drive > Nunca. Y lo mismo en un iPhone deshabilitando la copia de seguridad automática. 
  5. Protege tu privacidad. WhatsApp no ​​es el cliente de mensajería más privado, pero en las últimas versiones proporciona algo más de control. Accede al Menú > Configuración > Cuenta > Privacidad para gestionar quién puede ver tu estado, imagen del perfil o información de la cuenta. En este apartado también puedes deshabilitar la ubicación en tiempo real. 
  6. Descarga Whatsapp de sitios oficiales. La versión WhatsApp Web es fácilmente manipulable como demostró la Electronic Frontier Foundation y fue durante un tiempo una gran amenaza. La solución recomendada fue y es usar la app de escritorio. Para usarla es necesario sincronizarla con la app móvil y obligado la descarga desde el sitio web oficial, por mucho que otras versiones “especiales” te ofrezcan mayores características o prestaciones. Todas son falsas.seguridad y privacidad en Whatsapp

Finalmente, recordar la debida prudencia que el usuario debe observar para mejorar la seguridad de Whatsapp. De nada sirven las medidas anteriores si -por ejemplo- hacemos clic ante cualquier enlace que nos manden. La mayoría de campañas maliciosas de malware se inician mediante el envío de mensajes y enlaces a través de grupos o incluso de un contacto conocido que lo recomienda, porque no se ha enterado de lo que va la película o porque es un contacto ya infectado.

Hay fraudes de estos para dar y tomar. Muchos son ataques de phishing, estafas que te suscriben a servicios de SMS Premium o te instalan aplicaciones de terceros con el objetivo de lograr un beneficio económico. O aún peor, los que te piden cuentas y contraseñas o datos financieros bajo burdos engaños en los que aún seguimos cayendo. No estaría mal comenzar por limpiar grupos y contactos para limitar las vías de ataque y mantener una especial precaución con enlaces, imágenes y vídeos.

por Juan Ranchal Sun, 09 Dec 2018 23:02:31 +0000

Windows Defender

Windows Defender ha mejorado significativamente su rendimiento en las últimas versiones, de acuerdo con los resultados de AV-TEST, el instituto alemán independiente especializado en pruebas de soluciones de seguridad, que ha publicado el ranking de puntuación con los mejores antivirus para Windows 10.

Las soluciones se someten a dos fases de análisis con 15.000 piezas de malware. La primera prueba en condiciones reales, las soluciones de seguridad tienen que detectar malware 0-Day procedente de la Web y de archivos adjuntos. En la segunda fase, de realiza una prueba dentro de marco de referencia de AV-TEST donde se enfrentan a malware ya conocido.

El especialista mantiene su metodología al valorar tres factores (capacidad de detección, carga para el sistema y usabilidad) en grupos de seis puntos y tras varias semanas de pruebas continuadas.

Windows Defender es la solución de seguridad anti-malware instalada por defecto en Windows. Variante de la aplicación Microsoft Security Essentials de Windows 7, fue estrenada en Windows 8 como Windows Defender y ha sido ampliamente mejorada en capacidad, características e interfaz en su versión para Windows 10. Su nombre ha ido cambiando para ampliar su enfoque y tras la última actualización de otoño ha pasado a llamarse Windows Security.

En las últimas pruebas de noviembre, la solución de seguridad nativa de Microsoft, habilitada de manera predeterminado en el sistema, ha alcanzado la mayor puntuación de su historia: 17 puntos gracias a los 5,5 puntos por protección, 5,5 puntos por rendimiento y 6 puntos por usabilidad. Además, hace un par de meses Microsoft implementado un entorno aislado o sandbox para Windows Defender. La compañía aseguró que era la “primera solución antivirus completa en tener esta capacidad”.

En cuanto al resto de resultados hay pocas sorpresas. Kaspersky Internet Security, Avira Antivirus Pro, Bitdefender Internet Security o Symantec Norton Security, alcanzan el máximo de 18 puntos en medio de muy buenas puntuaciones globales.

El mercado ofrece soluciones de terceros gratuitas y tan buenas como Kaspersky Free, pero es cierto que el Windows Defender nativo de Windows 10 ha mejorado lo suficiente para que una buena parte de usuarios deje de utilizar soluciones de terceros. ¿Cómo ves? ¿Es suficiente este Windows Defender para no tener que instalar una solución de terceros? ¿Son suficientes los antivirus gratuitos o deben ser versiones comerciales?

por Juan Ranchal Thu, 06 Dec 2018 23:03:17 +0000

violación masiva de datos en Quora

Los ciberataques a grandes compañías están a la orden del día y si hace un par de días comentábamos el caso de Marriott como una de las mayores violaciones de seguridad de la historia, hoy nos llega otro y no menor, porque afecta a 100 millones de usuarios de la red social Quora.

Quora es uno de esos grandes éxitos silenciosos de Internet tras convertirse en uno de las mayores fuentes de información en la Web junto a Wikipedia. Como todos los grandes servicios está en el punto de mira de los piratas informáticos y como otros antes, su seguridad ha sido vulnerada.

Quora ha informado que tuvo conocimiento de un acceso no autorizado el 30 de noviembre. Puso en marcha una investigación interna, contrató a una “firma forense y de seguridad digital líder” y notificó a los usuarios que fueron afectados. No ha entrado en más detalles, pero apunta a robo de datos de terceros comprometiendo información personal de:

  • Información de la cuenta: Nombres, direcciones de correo electrónico, contraseñas cifradas (con hash).
  • Datos importados de redes sociales vinculadas como Facebook y Twitter en los usuarios que lo hubieran autorizado.
  • Contenido y acciones públicas, como preguntas, respuestas, comentarios y votaciones.
  • Contenidos y acciones no públicas, incluyendo solicitudes de respuesta, votaciones y mensajes. 

El número de usuarios potencialmente afectados es de 100 millones, la mitad del total de la red social. Quora dice estar “tomando las medidas adecuadas para evitar este tipo de incidentes en el futuro”. Y está muy bien, pero parece que las grandes compañías tendrían que invertir más en seguridad para prevenir antes de que sucedan estas violaciones masivas que buscan el oro puro de nuestra era: datos.

Quora ha restablecido los accesos, pero se recomienda cambiar la contraseña usando la más fuerte posible y por supuesto, no utilizándo la misma en ningún otro servicio.

por Juan Ranchal Tue, 04 Dec 2018 23:03:18 +0000

Marriott

La cadena de hoteles Marriott ha informado de una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes.

La brecha de seguridad se remonta -nada menos- que a 2014 y se habría originado en la cadena de hoteles Starwood adquirida por Marriott en 2016. La brecha no fue detectada ni en el proceso de fusión ni en los años siguientes.

Marriott dice que no tuvo conocimiento del acceso no autorizado a la base de datos de reservas hasta el 19 de noviembre pasado. La base de datos robada acumula más de 4 años de información e incluye una información personal y financiera amplísima, “una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, información de la cuenta, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación”

Para empeorar las cosas, Marriott dice que probablemente también se robaron los números de las tarjetas de crédito. Aunque los números estaban cifradas con el estándar AES-128, Marriott dice que no puede descartar que los piratas informáticos también robaron las claves para descifrar la información de los números de las tarjetas. 

The Washington Post dice que no está claro si los piratas informáticos eran “delincuentes que recopilan datos por robo de identidad o espías que recopilan información sobre viajeros de todo el mundo, incluidos posiblemente diplomáticos, empresarios o funcionarios de inteligencia mientras se desplazan por todo el mundo”.

El Wi-Fi propietario en estos hoteles podría ser un vector de ataque preferente y en 2016, 20 ubicaciones, incluidos hoteles de Starwood y Marriott, sufrieron una violación por separado que les costó a decenas de miles de clientes sus números de tarjetas de crédito.

“Lamentamos profundamente este incidente”, dijo en un comunicado la presidenta ejecutiva de Marriott. “Nos quedamos cortos en lo que nuestros huéspedes merecen y esperan de nosotros. Estamos haciendo todo lo que podemos para apoyar a los clientes y aprendiendo de esto para el futuro”.

Sin duda tremendo. Una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes.

por Juan Ranchal Sun, 02 Dec 2018 23:02:09 +0000

Dell.com

Dell.com restableció cuentas de acceso a su portal on-line, cinco días después de que descubriera un ciberataque que intentó robar los datos de los clientes.

Dell explica en un comunicado que el 9 de noviembre detectó y detuvo a los piratas informáticos que habían violado su red e intentaron robar los datos de los clientesLos investigadores no han encontrado “evidencias concluyentes” de que los ciberdelincuentes tuvieran éxito, pero no descartaron la posibilidad de que hubieran obtenido algunos datos. 

Entre ellos se encuentran nombres de clientes, direcciones de correo electrónico y contraseñas codificadas. La compañía sí aseguró que no habían obtenido información financiera o números de la Seguridad Social. Tras la detección, implementó contramedidas y comenzaron la investigación. También dicen conservar una firma forense digital para poder realizar una investigación independiente en cumplimiento de la normativa actual. 

Dell no ha revelado qué número de cuentas se vieron afectadas y tampoco la naturaleza del ataque o indicios que permita conocer quién estuvo detrás. La empresa realmente se ha esforzado por subrayar que no se filtró ningún dato confidencial y que tiene la situación bajo control. El restablecimiento forzado de la contraseña se describe como una medida para “limitar el impacto de cualquier posible exposición”.

La violación se ha producido en medio de un escrutinio cada vez mayor por parte de los reguladores de todo el mundo para que las empresas proporcionen una divulgación rápida y precisa del robo de datos de los clientesLa Unión Europea implementó en mayo nuevas y estrictas regulaciones de privacidad GDPR, el nuevo reglamento de protección de datos de la UE en la que se contempla multas de hasta el 4% de los ingresos globales de una compañía. 

Comunicado – Dell

por Juan Ranchal Fri, 30 Nov 2018 11:07:56 +0000

rastreo de ubicaciones

Organizaciones de consumo de siete países europeos han interpuesto una demanda coordinada contra Google por un supuesto incumplimiento de la GDPR en el rastreo de ubicaciones.

Google manipula a los usuarios para rastrearlos de forma constante“, aseguran estas asociaciones reunidas en la Organización Europea del Consumidor (BEUC) en una demanda que tendrán que revisar los reguladores de privacidad de los respectivos países.  

BEUC explica que Google utiliza varios métodos para animar a los usuarios a habilitar el “historial de ubicación” y la “actividad de la aplicación y la web”, que están integrados en todas las cuentas de usuario de Google.

“Estas prácticas desleales dejan a los consumidores sin información sobre el uso de sus datos personales e incumplen el Reglamento General de Protección de Datos (RGPD), ya que Google carece de una base legal válida para procesar los datos en cuestión”, dicen desde la asociación.
El informe original de la asociación noruega que han apoyado el resto de organizaciones, explica que “Google utiliza un diseño engañoso e información que conduce a error, que tiene como resultado que los usuarios acepten estar constantemente rastreados.
Es por ello que concluyen que “el consentimiento de los usuarios en estas circunstancias no se otorga libremente ante los trucos y prácticas para asegurarse de que los usuarios tengan estas funciones activadas y además, sin proporcionar información sencilla sobre lo que esto implica”.
Recordemos que el nuevo Reglamento General de Protección de Datos de la Unión Europea exige que el consentimiento para procesar datos personales (por ejemplo, las ubicaciones) debe ser específico, informado y entregado libremente.
Google ha explicado que “el historial de ubicaciones está desactivado de forma predeterminada, y se puede editar, eliminar o pausar en cualquier momento”. Sin embargo, la firma ha reconocido que aún pausado y siguiendo sus políticas, “dejamos claro que -dependiendo de la configuración de tu teléfono y aplicación-, aún podríamos recopilar y utilizar datos de ubicación para mejorar tu experiencia de Google”, agregaron.

“Estamos trabajando constantemente para mejorar nuestros controles, y leeremos este informe detenidamente para ver si hay cosas que podamos tener en cuenta”, concluye el comunicado de Google.

Google ya se enfrenta a una demanda en Estados Unidos por motivos similares y se encuentra ampliamente cuestionado en los últimos años por sus prácticas de privacidad.
por Juan Ranchal Tue, 27 Nov 2018 23:03:45 +0000

El dinero debería trabajar. De lo contrario, perderá valor con el tiempo. La realidad es que un depósito en un banco no puede generar ganancias tangibles, así que es necesario apostar por inversiones rentables y seguras. La inversión en Forex es una de las mejores opciones del mercado.

Gracias a las herramientas de útlima generación puede invertir desde casa, sin dejar su trabajo y dedicando solo unas horas al día. En mercados que operan las 24 horas y sin limitaciones de capital mínimo, puede comenzar desde 500 euros o menos. El poder de apalancamiento le permitirá acceder a operaciones más rentables sin necesidad de invertir grandes cantidades de dinero.

¡Esta oportunidad está abierta a todos!

La condición principal para un trabajo efectivo en el mercado de divisas es una buena capacitación profesional. Puede aprender todo por sí mismo o puede ponerse en contacto con una de las compañías de corretaje. Además, para inversiones rentables se requiere todo el tiempo para analizar una gran variedad de información, para tener acceso a la información relevante. Para conseguirlos puede utilizar los servicios de swap Forex , que recopilan materiales educativos únicos, así como constantemente publicamos revisiones analíticas fundamentales, estrategias y cálculos de análisis técnico. Todo esto lo ayudará a realizar una inversión absolutamente rentable en Forex.

  • La posibilidad de dejar comentarios sobre los materiales publicados en el sitio permite a todos expresar sus opiniones sobre el tema o compartir las noticias con amigos.
  • Los analistas profesionales también visitan el portal, las proyecciones de mercado las realizan representantes de empresas de inversión, grandes empresarios y analistas bancarios.
  • Además, tiene la oportunidad de postularse a un foro amigable que está abierto a nuevos operadores, que siempre pueden compartir sus propias opiniones, obtener información útil u obtener consejos.
  • Proyecciones Forex profesionales es la clave para transacciones efectivas.

Pronósticos del mercado Forex

El pronóstico de cualquier proceso es una tarea difícil que sólo un profesional puede manejar, y es bastante obvio que los comerciantes con una experiencia práctica sólida y un nivel decente de capacitación teórica pueden hacer pronósticos confiables de Forex. Esto es más relevante para trabajar en el mercado: las previsiones se basan en el análisis de una gran variedad de datos.

Por lo tanto, el acceso a la información más actualizada, completa y objetiva es un factor clave de éxito. En nuestro portal, que está dedicado al mercado de divisas, este enfoque se pone a la vanguardia. Estos son consejos y observaciones basados ​​en los muchos años de experiencia de comerciantes famosos, expertos experimentados y analistas.

Contenido ofrecido por FxPro

 

por MuySeguridad Tue, 27 Nov 2018 14:57:47 +0000

crypto malware para Linux

El malware para Linux puede no estar tan extendido como las cepas que apuntan al ecosistema de Windows, pero existir, existe y se está volviendo igual de complejo y multifuncional. 

El último ejemplo de esta tendencia es un nuevo troyano descubierto por el fabricante de antivirus ruso Dr.WebEsta nueva variedad de malware no tiene un nombre distintivo salvo el genérico Linux.BtcMine.174  pero es bastante más complejo que la mayoría del malware para Linux, debido a la gran cantidad de funciones maliciosas que incluye. 

Este crypto malware para Linux es es un script gigante de más de 1.000 líneas de código. Lo primero que hace es encontrar una carpeta en el disco en la que tenga permisos de escritura para poder copiarse y utilizarla para descargar otros módulos. Una vez introducido, utiliza uno de estos dos exploits de escalada de privilegios, CVE-2016-5195 (también conocido como Dirty COW) o el CVE-2013-2094, para obtener permisos de root y tener acceso completo al sistema operativo.

El troyano se configura como un demonio local e incluso descarga la utilidad nohup para lograr esta operación si la utilidad no está presente. Después que el troyano tiene un dominio firme sobre el host infectado, continúa con la ejecución de su función principal para lo que ha sido diseñado: la minería de criptomonedas y no sin antes escanear finalizar otros procesos de familias rivales de malware de minería antes de instalar la suya propia.

Además, descarga y ejecuta otros tipos de malware como ‘Bill.Gates’, una conocida cepa de malware DDoS, pero que también incluye funciones de tipo puerta trasera. El troyano también buscará nombres de procesos asociados con soluciones antivirus basadas en Linux y eliminará su ejecución. 

No contento con ello, el troyano también se añade como una entrada de ejecución automática a archivos como /etc/rc.local/etc/rc.d/ y /etc/cron.hourly, para descargar y ejecutar un rootkit, que según Dr.Web tiene características aún más intrusivas como “la capacidad de robar contraseñas ingresadas por el usuario para el comando su, acceso a los archivos ocultos del sistema, las conexiones de red y procesos en ejecución”.

El troyano también ejecutará una función que recopila información sobre todos los servidores remotos donde el host infectado se ha conectado a través de SSH para propagarse a más sistemas. Se cree que este mecanismo de auto-propagación SSH es el principal canal de distribución de este potente Crypto malware para Linux.

Dr.Web ha subido los hashes SHA1 para los diversos componentes del troyano en GitHub por si los administradores de sistemas deseen analizar sus equipos para detectar la presencia de esta amenaza relativamente nueva. Más información | Linux.BtcMine.174 – Dr.Web Anti-virus para Linux.

por Juan Ranchal Sun, 25 Nov 2018 23:03:23 +0000