Descubrieron 29 troyanos bancarios en Google Play simulando ser apps reales
Los creadores de malware continúan poniendo a prueba la atención de los usuarios de Android al infiltrar de manera camuflada troyanos bancarios para móviles dentro de la tienda Google Play. Recientemente, analizamos un conjunto de 29 sigilosos troyanos de este tipo que fueron descubiertos en la tienda oficial de Android entre agosto y principios de octubre de 2018; disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo. A diferencia de la creciente prevalencia de apps maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, las apps analizadas en esta oportunidad pertenecen a la categoría de sofisticado malware bancario para móviles con complejas funcionalidades y un fuerte enfoque en la sigilosidad.
Estos troyanos controlados de forma remota son capaces de afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo. Más información en https://www.welivesecurity.com/.
La piratería de la FIFA amenaza con avergonzar al organismo rector del fútbol
Los sistemas informáticos de la FIFA han sido pirateados una vez más y la federación de fútbol está preparada para fugas de información confidencial más dañinas. Los oficiales de la FIFA han admitido el ataque y esperan que se publiquen rápidamente una serie de historias basadas en un conjunto de documentos internos que fueron originalmente obtenidos por el sitio web Football Leaks en 2015. El presidente de la FIFA, Gianni Infantino, dijo a The Associated Press que los medios de comunicación habían contactado a la organización por la información filtrada que habían recibido. Una campaña de suplantación de identidad (phishing) es la causa sospechosa del hackeo, que según la FIFA ocurrió en marzo, pocos meses después de que fuera víctima de otro ataque cibernético, lo que llevó al grupo ruso de piratería Fancy Bears a filtrar detalles de pruebas de drogas fallidas por parte de los futbolistas. Más información en https://www.networksasia.net/.
PortSmash: nueva vulnerabilidad que afecta a CPUs Intel
Un grupo de investigadores de la Universidad Tecnológica de Tampere, en Finlandia, y la Universidad Tecnológica de la Habana, en Cuba, ha descubierto una nueva vulnerabilidad que afecta a procesadores Intel. Ha sido "bautizada" como PortSmash (CVE-2018-5407) y de momento se ha confirmado su presencia en las generaciones Skylake y Kaby Lake, es decir, en los procesadores Core de sexta y séptima generación. PortSmash permite a los atacantes filtrar datos encriptados de los procesos internos de la CPU, recurriendo a lo que se conoce como un ataque de canal lateral. Este tipo de ataque se describe como una técnica utilizada para filtrar datos encriptados de la memoria de una computadora o del procesador que funciona a través del registro y análisis de discrepancias en los tiempos de operación, consumo de energía, fugas electromagnéticas o incluso sonido para obtener información adicional que sea útil para romper los algoritmos de cifrado y recuperar los datos procesados por la CPU.
El proceso malintencionado, PortSmash, filtra pequeñas cantidades de datos del proceso objetivo, lo que ayuda a un atacante a reconstruir los datos cifrados procesados dentro de éste. Según los investigadores que han descubierto la existencia de PortSmash estamos ante una vulnerabilidad que tiene potencial para afectar a todos los procesadores que utilizan tecnología de subprocesamiento, es decir, a aquellos que son capaces de aprovechar los tiempos de espera de la CPU para ejecutar múltiples subprocesos. Más información en https://www.muycomputer.com
Robo de datos en Radisson Hotel Group
Acorde al reporte de seguridad de Radisson Hotel Group, la violación de seguridad solamente afectó a un “pequeño porcentaje” de los miembros de Radisson Rewards: “Todas las cuentas de los miembros afectados ya se encuentran protegidas y se están monitoreando en busca de cualquier actividad anómala. Si bien el riesgo para las cuentas de Raddison Rewards es bajo, se recomienda a los usuarios que revisen personalmente la actividad en su cuenta para detectar cualquier conducta sospechosa”, menciona el reporte de seguridad de la empresa. “Radisson Rewards toma en serio este incidente y está llevando a cabo una investigación exhaustiva para ayudar a evitar que algo parecido vuelva a suceder en el futuro”. Aún no se hacen públicos los detalles técnicos sobre esta violación de seguridad. Más información en http://noticiasseguridad.com/.
Dos vulnerabilidades día cero exponen millones de puntos de acceso
El error, conocido como BleedingBit, afecta a las redes inalámbricas utilizadas en un gran porcentaje de empresas a nivel mundial. Dos vulnerabilidades día cero presentes en los chips Bluetooth de baja energía fabricados por Texas Instruments y utilizados en millones de puntos de acceso inalámbrico, exponen las redes corporativas donde se utilizan a silenciosos y peligrosos ataques, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Según los reportes, los atacantes podrían explotar las vulnerabilidades simplemente acercándose a una distancia suficiente (entre 100 y 300 pies de distancia de los dispositivos vulnerables). Un punto de acceso comprometido podría permitir a un atacante tomar el control del punto de acceso, capturar todo el tráfico y luego usar el dispositivo comprometido como una vía de acceso para futuros ataques internos. La vulnerabilidad afecta los puntos de acceso WiFi de Cisco, Cisco Meraki y Aruba Enterprise de Hewlett-Packard, que representan un gran porcentaje del hardware utilizado en las corporaciones.
Las dos fallas fueron descubiertas a principios de año y reveladas al público en los días recientes. “Un usuario no autenticado puede desplegar devastadores ataques en redes empresariales sin ser detectado desde una ubicación cercana a los dispositivos vulnerables, como el lobby de la empresa. Más información en http://noticiasseguridad.com/.
Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
¡Hasta la próxima semana!
