Mes: febrero 2017

Hace poco nos hacíamos eco de la mutación de FlashBack Trojan a la versión .G. Inicialmente este troyano para Mac OS X comenzó siendo un programa que utilizaba técnicas de ingeniería social para instalarse en los equipos, pero a partir de la versión G utiliza dos exploits Java que le permiten, si la máquina no tiene Java actualizado, instalarse sin intervención del usuario.

En un análisis más detallado, desde Intego han dado más claves de este malware que ya se está convirtiendo en una seria amenaza. En primer lugar, el malware intenta descubrir si hay instalada una solución antimalware, para evitar ser detectado cuando intente instalarse. Si hay un antimalware no intenta instalarse. Esto le permite que los sitios web infectados utilizados para la distribución del malware tengan un periodo de vida más largo.

Esta inyección está provocando que muchas aplicaciones estén fallando, y basta con buscar en Internet para encontrar a usuarios publicando volcados de aplicaciones que han fallado en los que se pueden ver este tipo de ficheros tal y como se puede ver en la imagen.

Si eres usuario de Firefox esta solución te cayo del cielo, ya que gracias a esto podrás reiniciar  firefox y dejarlo todo por defecto como si lo acabaras de instalar. Pero todo esto para que? bueno no se si te ha pasado que cuando instalas algún programa en tu pc, en algunas ocasiones te instala barras en tu navegador, o te cambia la pagina de inicio entre otras cosas.  Firefox con el botón de «reiniciar Firefox” te ayudara a traer todo de vuelta como nuevo, pero haciendo backup de algunas cosas de tu perfil.

[Via]

Ha sido la firma de seguridad Kaspersky quien ha dado la voz de alarma. A través de una entrada en su blog explica los detalles detrás de Find and Call, la primera aplicación maliciosa que se ha abierto camino en la App Store de Apple junto a la tienda de Google Play.

¿Y cómo funciona? Find and Call, una vez instalada, le pedirá al usuario que registre su número de teléfono y dirección de correo electrónico. Luego pregunta si deseamos «encontrar amigos desde nuestra guía telefónica” antes de subir nuestra lista de contactos a un servidor remoto. En ese momento la aplicación envía sms a nuestros contactos que contienen un enlace para descargar la aplicación. Hay que aclarar que los SMS aparecen como si hubieran sido enviados desde nuestro número, por lo que es posible que los «beneficiarios” sean más propensos a descargar la aplicación desde el enlace.

Como era de esperar, tanto Google como Apple ya han eliminado el malware, el primero en colarse en la tienda de iOS. Desde la compañía han comunicado que:

Find and cal ha sido retirado de la App Store debido a su no autorizado uso de datos de los usuarios y de su libreta de direcciones, una violación de las directrices de la App Store.

Según ha explicado Kaspersky, la firma fue alertada por el operador ruso MegaFon desde Twitter. Una app que al aparecer estaría siendo explotada como un virus de acuerdo a Google.

Una noticia que extraña ya que, si bien no es la primera vez que el malware hace su aparición en la Play Store, sí lo es en la tienda de Apple. Hasta ahora los controles de aprobación de la compañía se creían inexpugnables para este tipo de software malicioso por lo que cabría preguntarse cómo paso el «corte” la aplicación o si, por contra, se trata de una casualidad.

Fuente | Alt1040

En noviembre del año pasado, el FBI allanó un sitio conocido por alojar pornografía infantil. Sin embargo, en lugar de quitarlo de linea, decidieron mantenerlo funcionando para ver cuántos usuarios lograban identificar.

El diario San Francisco Chronicle reportó que algunos agentes del Buró Federal de Investigaciones de Estados Unidos (FBI) actuaron como distribuidores de pornografía infantil mientras el sitio estaba bajo su control. De forma similar a las actividades de otras agencias que realizan operaciones encubiertas en asuntos de drogas y prostitución.

No queda claro si la técnica resultó realmente bien: en ese periodo de dos semanas, el FBI trató de identificar a 5 mil 600 usuarios que compartieron más de 10 mil imágenes de infantes, pero hasta ahora, solo se conoce del procedimiento en contra de una sola computadora. Aún así, la investigación está en sus primeras etapas y se cree que se presentarán cargos próximamente.

[Vía]

El FBI reconoció que secretamente tomó el control de Freedom Hosting el pasado mes de julio, días antes del hallazgo de que los servidores del mayor proveedor de alojamiento ultra-anónimo,  servía malware diseñado para identificar a sus visitantes.

El operador de Freedom Hosting, Eric Eoin Marques, había alquilado los servidores de un proveedor de alojamiento web comercial sin nombre en Francia, y pagó por ellos de una cuenta bancaria en Las Vegas. No está claro cómo el FBI tomó control de los servidores a finales de julio, pero la oficina se frustró temporalmente cuando Marques de alguna manera volvió a tener acceso y cambió las contraseñas, bloqueando brevemente al FBI, hasta que este recuperó el control.

Los detalles surgieron en una audiencia de fianza el jueves en Dublín, Irlanda, donde Marques (28) está luchando contra la extradición a Estados Unidos por cargos de que Freedom Hosting facilitó acceso a pornografía infantil a escala masiva. Además, se le negó la libertad bajo fianza por segunda vez desde su arresto en julio.

Freedom Hosting era un proveedor de servicios ocultos de llave en mano «TOR”. El 4 de agosto, todos los sitios alojados por Freedom Hosting (con y sin pornografía infantil)comenzaron a emitir un mensaje de error con un código oculto incrustado en la página. Los investigadores de seguridad analizaron el código y lo encontraron que el mismo explota una vulnerabilidad de seguridad en Firefox y luego permite identificar a los usuarios de Tor Browser Bundle, informando a un servidor en el norte de Virginia. En este momento la sospecha hacia el FBI era evidente.

El agente especial del FBI Brooke Donahue fue más comunicativo cuando apareció en la corte irlandesa para reforzar el caso e intentar mantener a Marques tras las rejas.

El código fuente de la página contaba con un iframe oculto que cargaba un código Javascript. Mozilla ha confirmado que el código explota una vulnerabilidad crítica en la gestión de memoria de Firefox que se informó públicamente el 25 de junio.

Si bien muchas versiones anteriores de Firefox son vulnerables a ese error, el malware estaba dirigido sólo Firefox 17 ESR, la versión de Firefox que forma la base del Tor Browser Bundle. Eso dejó claro desde el principio que el ataque se centró específicamente en el supuesto anonimato de usuarios de Tor.

Los usuarios que instalaron Tor Browser Bundle (o lo actualizaron manualmente) después del 26 de junio están a salvo de la explotación, de acuerdo con el aviso de seguridad del Proyecto Tor.

Quizás la evidencia más fuerte de que el ataque fue por un cumplimiento de la ley, es la funcionalidad limitada del malware. El corazón del Javascript era un pequeño ejecutable de Windows oculta en una variable llamada «Magneto”. Esta función sólo levantaba la dirección MAC de la víctima y el nombre de host del equipo infectado.

Los registros oficiales de asignación de IP mantenidas por American Registry for Internet Numbers muestran que las dos direcciones IP de Magneto eran parte de un bloque fantasma de ocho direcciones en Virginia, que no tienen ninguna organización como responsable.

El comportamiento del código, y el C&C en Virginia, también es coherente con lo que se conoce sobre como «Computer and Internet Protocol Address Verifier” (CIPAV) del FBI, un spyware de aplicación de la ley que se vió por primera vez en 2007.

Documentos de la corte y los archivos del FBI han descrito el CIPAV como un software que el FBI puede «entregar” a través de un navegador para obtener información de la máquina destino y enviarlo a un servidor del FBI en Virginia. El FBI ha estado utilizando CIPAV desde 2002 contra delincuentes informáticos, depredadores sexuales en línea, extorsionadores, y para identificar a los sospechosos que están ocultando su ubicación mediante servidores proxy o servicios de anonimato, como Tor

Fuente Segu-info

Debido a que las altas velocidades de navegación actualmente son comunes en varias partes del mundo, muchos usuarios deciden ver películas y videos a través de streaming en línea; sin embargo no todos los servicios que lo ofrecen son seguros, ya que los criminales cibernéticos también han tomado conciencia de esto, empezando a tomar ventaja de ello.

Los investigadores de BitDefender descubrieron recientemente, un reproductor de video en línea falso con el nombre de Web Player, que es ofrecido a los usuarios que andan en busca de reproductores multimedia a través de Google.
A primera vista, el software parece legítimo. Durante el proceso de instalación se muestra un EULA(siglas en inglés, End User License Agreement), así como información sobre su supuesto desarrollador, pero una vez instalado solicita a los usuarios iniciar sesión con una dirección de correo electrónico y una contraseña:

A pesar de que los usuarios no tienen que compartir esa información con el software para poder «conectarse” al servicio, no hay duda que muchos usuarios son engañados y lo hacen, permitiéndo a los ladrones acceder a sus cuentas de correo electrónico.

Según los investigadores, no importa qué datos introduzcan las víctimas, automáticamente son redirigidas a una página HTML que supuestamente ofrece el servicio gratuito de reproductor de video en línea para una variedad de películas de estreno y clásicas.

Las páginas a las que son redirigidos los usuarios, cambian constantemente debido a que son bloqueadas por los proveedores de antivirus; sin embrago, todas solicitan a los usuarios «registrar” sus datos de tarjeta de crédito con el fin de ver sus películas preferidas.

De este modo, los usuarios no sólo son estafados al compartir sus credenciales de correo electrónico, sino también con sus datos de tarjeta de crédito. Desafortunadamente, al contar con este tipo de información, los ciberdelincuentes pueden perjudicar severamente las cuentas bancarias de los usuarios y su reputación en línea.

Fuente | UNAM

Páginas falsas de «actualización del navegador” son usadas actualmente para propagar malware, y redirigir al usuario a páginas de encuestas, advierte la GFI.

Sus investigadores de malware descubrieron recientemente un número de sitios web alojando estas páginas, en las cuales se presenta a los usuarios una advertencia que indica «El navegador esta desactualizado”, un logotipo de Chome o FireFox reafirma a las víctimas potenciales, y el falso «escaneo del sistema” adelanta una barra, que a menudo es usada por creadores de falsos antivirus:

Las páginas localizadas en vkernel(dot)org, aveonix(dot)org, smolvell(dot)org y stocknick(dot)org, no son capaces de detectar qué navegador utiliza el usuario, y sirven tanto para Firefox como para Chrome, la disfrazada advertencia de una falsa actualización.

Una vez que el progreso de la barra termina de leer, se pide a los usuarios de Firefox descargar un archivo malicioso llamado update.exe, mientras que Safari automáticamente descarga el archivo.

«Al hacer funcionar este ejecutable, se permite la descarga e instalación de un programa llamado Driver, el cual crea una carpeta llamada Driver, que luego engancha dos archivos dentro de la misma: uninstall.exe y app.exe”, dicen los investigadores. «Cuando app.exe se ejecuta, una ventana con pestaña del navegador de internet abre para dirigir previamente al usuario a páginas de encuestas. Tras múltiples pruebas, minutos después de la carga de las páginas, este ejecutable se conecta a varios sitios web para descargar e instalar programas aleatorios, algunos de los cuales pueden ser legítimos”.

Se advierte a los usuarios tener cuidado si se presentan páginas similares. Los cuatro sitios mencionados aún están en línea, pero podría haber otros. En cualquier caso, la mejor manera de actualizar su navegador es usando siempre el mecanismo de actualización que contiene.

fuente

Los usuarios de Android están de nuevo en peligro de sufrir robo de información y de ser afectados por una corriente sin fin de spam y de ofertas no deseadas al buscar juegos populares en Google Play y por error, descargar aplicaciones falsas.

El último desarrollador estafador visto en el mercado oficial de Android (Google Play) llamado a sí mismo «abbarandon”, ofrece para su descarga versiones «gratuitas” de aplicaciones populares como «Plants vs. Zombies”, «Pro Evolution Soccer 2012” y «Grand Theft Auto III” entre otras.

Los usuarios que no lean la descripción, impacientes por descargar los juegos, se sorprenderán al encontrar que las aplicaciones tienen la intención de recolectar su información personal (direcciones de correo, número de teléfono) y de mostrar una variedad de anuncios en la aplicación y en la bandeja de notificaciones del dispositivo.

«Pero esto no termina aquí, la aplicación cambiará la página principal de su explorador y le agregará un marcador, además, añadirá íconos en la pantalla principal del dispositivo. Todo esto está diseñado para hacer ganar dinero al desarrollador de las aplicaciones”, señala Graham Cluley de Sophos.

«Varios sistemas de publicidad están siendo utilizados por las aplicaciones, incluyendo Apperhand, Clicxap, Airpush y Startapp, probablemente para ganar dinero para el desarrollador que está haciendo circular aplicaciones en Google Play, fingiendo que son versiones gratuitas de juegos populares”.

«Abbarandon” al parecer fue expulsado de Google Play y su cuenta fue cerrada, pero una búsqueda simple muestra que él u otros «desarrolladores” que ofrecen las mismas aplicaciones se encuentran aún activos, vendiendo sus productos en el portal:

Lo peor de esta situación es que estos desarrolladores no han engañado, técnicamente, a los usuarios. Según se puede leer en la descripción de las aplicaciones:

«Plantas vs. Zombies gratis! Por favor, deje solo comentarios positivos. Si tiene alguna pregunta, por favor envíenos un correo. Se trata de un rompecabezas asombroso, especialmente para los fans del juego.

Crear una aplicación requiere tiempo y dinero, para seguir creando grandes (y gratuitas) aplicaciones, estamos utilizando un nuevo servicio de búsqueda para monetizar nuestras aplicaciones. Con este servicio podemos crear más aplicaciones geniales para todos ustedes. Esta opción crea algunos puntos de búsqueda (íconos, marcadores y páginas web) para que los utilicen. Pueden borrarlos fácilmente sin afectar la aplicación. ¡Gracias!”

 

 

[Vía]

Los ataques informáticos, como los antivirus falsos (Fake AV) y los secuestros de sesión (ransomware), ya no son nuevos para los usuarios de computadoras, sin embargo, están a punto de convertirse en un problema para los usuarios de teléfonos inteligentes.

Recientemente, los investigadores de Symantec descubrieron una solución antivirus falsa llamada «Android Defender”, que se ofrece en una serie de sitios de descarga no oficiales, bajo la apariencia de una extensión para la aplicación Skype. Una vez instalado, el software pide permisos para ejecutarse con derechos de administrador, lo que dificulta su desinstalación. Incluso si los permisos no se otorgan, sería difícil desinstalarlo.

La aplicación hace un escaneo del dispositivo y le dice al usuario que ha detectado una serie de infecciones (y las enumera). Por supuesto, el resultado del escaneo es falso y la aplicación trata de convencer a la víctima de descargar (y pagar) la versión completa, que supuestamente eliminará el malware del dispositivo. Si la víctima decide no hacerlo, el software continuará mostrándole constantemente ventanas emergentes de alerta. También evitará que los usuarios traten de desinstalarlo (el APK original se ha eliminado a sí mismo) y que ejecuten otras aplicaciones, por ejemplo, un software antivirus legítimo que podría ayudar a desinstalar el malware.

Después de un tiempo, el antivirus falso trata de hacer creer a la víctima que el supuesto malware instalado intenta robar el contenido de la caché del navegador, incluyendo imágenes pornográficas.

El malware contiene muchos errores y puede hacer que el teléfono falle repetidamente, especialmente en modelos de teléfono para los que no fue diseñado. Incluso, si el usuario cae en la estafa y trata de descargar la versión completa de la aplicación, el software no lo permitirá. Tomando todo en consideración, los investigadores concluyen que se trata de versiones de malware de prueba, que después se reemplazarán por versiones más estables.

«Pronto veremos antivirus falsos en aumento para la plataforma Android, lo que se convertirá en un problema serio, tal como lo fue para las computadoras. Una vez instaladas, estas amenazas pueden ser difíciles de eliminar, por lo que la clave para mantenerse protegidos contra ellas es impedir, en primer lugar, que lleguen a nuestros dispositivos”, señaló el investigador Joji Hamada.

En este caso en particular, los usuarios no pueden desinstalar la aplicación debido a su inestabilidad y se verán forzados a restaurar el dispositivo a datos de fábrica, o incluso, a realizar una restauración completa (hard reset).

Fuente

Un documento emitido por el Departamento de Seguridad Nacional de Estados Unidos revela que este organismo gubernamental monitoriza de forma habitual «foros online disponibles públicamente, blogs, sitios web públicos y muros de mensajes.” Esto incluye la actividad de sites como Twitter, Facebook, WikiLeaks o The Huffington Post.

De la información contenida en el documento se desprende que el Departamento de Seguridad Nacional de Estados Unidos, desde junio de 2010, vigila con regularidad las redes sociales, así como otros sitios donde los usuarios expresan su opinión y operan habitualmente.

Algunos de las webs que están bajo la vigilancia de este organismo, asociado al gobierno estadounidense, son las redes sociales Facebook y Twitter, el site de filtraciones WikiLeaks, la plataforma de televisión por streaming Hulu o el
periódico digital The Huffington Post.

El documento justifica la vigilancia a la que son sometidos estos sitios afirmando que la intención es «recoger información que se usa para proporcionar una conciencia de la situación y establecer una imagen general”, según recoge Reuters. La monitorización se produce sobre sitios web «accesibles de manera pública”. La información que recoja el organismo gubernamental puede ser retenida hasta un máximo de cinco años.

Esta vigilancia a la que son sometidas las redes sociales por parte del gobierno de Estados Unidos no es una sorpresa.  No es la primera vez que conocemos el interés de las autoridades por la actividad online de los ciudadanos.

El pasado año Anonymous destapó un plan ejército de Estados Unidos para influenciar en las redes sociales con perfiles falsos, mientras que la policía de Nueva York ha creado una unidad especial para controlar lo que se dice en estas plataformas.

[VIA]