Boletín nº 75 Noticias Seguridad en Comunidad Movistar Empresas
Datos de 3,1 millones de usuarios de Facebook expuestos por aplicación de terceros Después de toda la tormenta generada por el escándalo de Cambridge Analytica, una investigación llevada a cabo por New Scientist muestra que una aplicación desarrollada en la Universidad de Cambridge ha terminado por exponer los datos privados de 3,1 millones de usuarios. La aplicación, que era vendida como un test psicológico, se llamaba myPersonality y estuvo enviando datos personales como la edad, el sexo, la localización, el estado de las actualizaciones y otros resultados a investigadores de otras universidades y de distintas compañías, entre las que se encuentran Google, Microsoft, Yahoo y la propia Facebook, que accedían a lo recopilado mediante un sitio web compartido. Lo peor fue que unos estudiantes, después de subir código a GitHub (cosa normal en los entornos universitarios), acabaron filtrando, posiblemente sin querer, el usuario y la contraseña para acceder al sitio web compartido, por lo que dicha credencial se podía obtener con tan solo realizar una búsqueda en Internet. El escándalo de Cambridge Analytica ha obligado a Facebook a reforzar sus políticas en torno a la privacidad. Fuente: muyseguridad.net. Malware que mina criptomonedas CSIRT-CV ha elaborado un informe sobre el estado del arte del malware destinado a minar criptomoneda, tan en auge en los últimos meses. CSIRT-CV en colaboración con el laboratorio de malware de S2Grupo ha elaborado un informe que contiene un estado del arte de las distintas variantes de amenazas orientadas al minado de criptomoneda más comunes. En concreto se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales vías y técnicas de infección. A partir de todos los datos recopilados se puede remarcar el considerable incremento de nuevas amenazas orientadas al minado de criptomoneda, y de entre ellas el hecho de que la mayoría se basan en código reutilizado de repositorios públicos que puede ser utilizado de forma legítima. Otro detalle remarcable es que se está explotando todo tipo de dispositivos desde equipos de usuario, servidores, smartphones y dispositivos IoT. Fuente: www.csirtcv.gva.es Wicked-Mirai: nueva variante más agresiva Expertos de la empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai a la que denominaron Wicked-Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original. Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el análisis que realizó Fortiguard, esta nueva variante "Wicked" se centró en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos IoT, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques. Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos. Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil. Fuente: www.seguridadyfirewall Extensiones maliciosas de Chrome infectan a más de 100.000 usuarios Ciberdelincuentes desconocidos infectaron más de 100.000 PCs mediante siete extensiones maliciosas para el navegador web Chrome, que estaban alojadas en la tienda oficial de Google. Hace tiempo que las extensiones maliciosas (y otro tipo de apps) superaron la seguridad de la tienda de aplicaciones de Google y lamentablemente se repiten este tipo de noticias a pesar de los esfuerzos del gigante de Internet. Abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store. En enero, ICEBRG detectó cuatro extensiones maliciosas en la Chrome Store que llegaron a infectar alrededor de medio millón de computadoras, incluyendo estaciones de trabajo pertenecientes a organizaciones importantes. El mes pasado, Google decidió eliminar las extensiones de criptominado de la Chrome Web Store por los problemas derivados de esta actividad. La historia se repite, según el anuncio de la firma Radware, que habla de 100.000 máquinas infectadas por descargas de siete extensiones maliciosas de Chrome vinculadas al criptominado desde la tienda oficial. Con ello, los ciberdelincuentes habrían obtenido datos de inicio de sesión y otros confidenciales de los usuarios. Una buena parte de ellas se propagaron a través de enlaces falsos enviados a la red social Facebook. Fuente: www.muyseguridad.net Brain Food: Botnet para spam en PHP encontrado en 5.000 servidores Han conseguido comprometer 5.000 servidores con un script malicioso en PHP que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia. Fuente: www.bleepingcomputer.com Speculative Store Buffer Bypass: vulnerabilidad en Red Hat y KVM Speculative Store Bypass es una vulnerabilidad de seguridad descubierta recientemente por varios investigadores de seguridad de Google y Microsoft y bautizada por Spectre-NG y parece ser una cuarta variante del error de hardware de Spectre divulgado públicamente a principios de este año en microprocesadores modernos, y luego descubierto para afectar miles de millones de dispositivos. Los investigadores de Google y Microsoft descubrieron el error de forma independiente. Los errores se funcionan de manera similar a los errores Meltdown y Spectre, una razón por la cual se clasificaron como "variante 3a" y "variante 4" en lugar de vulnerabilidades separadas por completo. AMD, ARM, Intel, Microsoft, y Red Hat han publicado avisos de seguridad en el momento de la redacción, con explicaciones de cómo funcionan los errores, junto con los consejos de mitigación. Fuente: access.redhat.com Identifican APT Crouching Yeti, conocido por sus ataques a compañías industriales Kaspersky Lab ha descubierto la infraestructura utilizada por el conocido grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear. Numerosos servidores en diferentes países se han visto afectados desde 2016, a veces solo con el fin de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan sitios web rusos, se utilizaron para ataques "watering hole". Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques "watering hole" (los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso). Fuente: diarioti.com Ciberdelincuetes roban 15 millones en México A finales de Abril, diversos bancos mexicanos registraron que estaban sufriendo fallas en sus sistemas de pagos y transferencias interbancarios. En este caso, el SPEI (Sistema de Pagos Electrónicos Interbancarios), que es administrado por el Banco de México(Banxico) por ser la institución financiera central del país, fue lo que presentó problemas. El sistema SPEI de México es una red doméstica similar al sistema de mensajería global SWIFT que mueve miles de millones de dólares diariamente. El 27 de abril las transferencias electrónicas de los bancos se volvieron lentas. Siendo viernes y fin de mes, varios mexicanos esperaban el pago de sus salarios por lo que algunos usuarios comenzaron a denunciar las irregularidades. Aunque se cree que fue un intento de ciberataque o una vulnerabilidad en el SPEI lo que causó que miles de trabajadores no recibieran sus pagos, Banxico rechazó la posibilidad. En su lugar acusó a los bancos afectados de ser los responsables del problema, y les ordenó trabajar en un protocolo de contingencia que provocaría retrasos en los movimientos realizados. Este protocolo de contingencia pone las transacciones en manos humanas, por lo que aunque han sido capaces de realizar algunos pagos y de retornar dinero a las cuentas originales de aquellos movimientos que no se completaron, toma una considerable cantidad de tiempo el realizar todo esto. Fuente: www.fayerwayer.com Software malicioso de minería realiza medio millón de ataques en tres días La instalación de un software de minería desde la web, a espaldas de los usuarios, es una tendencia muy en boga. Pero esta semana tomó un giro más agresivo, con un malware denominado WinstarNssmMiner, del cual se han detectado 500.000 ataques en tres días y habría dejado hasta 30.000 dólares en ganancias para los delincuentes en la criptomoneda monero. Fuente: www.criptonoticias.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 59 Noticias Seguridad en Comunidad Movistar Empresas
* Vulnerabilidad en Signal, WhatsApp, and Threema permite el acceso a los chats grupales A pesar del cifrado de extremo a extremo mediante el cual Signal, WhatsApp, and Threema aseguran que solo emisor y receptor pueden leer lo que se envía, y que nadie más (ni siquiera WhatsApp) lo puede hacer, una nueva investigación de la universidad Rurh de Bochum [PDF] revela una vulnerabilidad que compromete la privacidad del contenido multimedia y los datos personales de los chats grupales. La investigación fue publicada el miércoles en Real World Crypto Security Symposium en Suiza. En el paper se analizan distintos tipos de enfoques para explotar vulnerabilidades en los mensajeros actuales, el analista jefe de Kaspersky Lab, Victor Chebyshev, ha asegurado que las vulnerabilidades descubiertas en la infraestructura de servicios de mensajería, "dan la oportunidad a los intrusos de agregar nuevos miembros a los chats grupales sin que este hecho sea evidente para los demás miembros. Si no queda más remedio que compartir información confidencial por WhatsApp, hay que evitar hacerlo en un chat de grupo y, en su lugar, enviar un mensaje directo". Toda la información en este artículo. * MaMi, el nuevo spyware para macOS Se ha descubierto un malware para macOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje. La maligna configuración de DNS's extraído de objective-see.com. Patrick Wardle, un experto en seguridad informática ha descubierto un spyware para macOS, gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas. El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite que cuando la víctima quiera visitar "google.com", sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web, con lo cual puede responder que acuda a un servidor diseñado para robar información. Toda la información aquí. * Encuentran un grave fallo en Gmail que puede dejar sin servicio de correo a cualquier usuario La empresa de seguridad We Are Segmented daba a conocer una nueva vulnerabilidad en los servidores de Gmail, un fallo de seguridad bastante preocupante para Google. Tal como ha podido demostrar esta empresa de seguridad, el fallo en los servidores puede permitir a un atacante enviar un correo especialmente diseñado con un texto “Zalgo” que, al recibirlo la víctima, podría dejarle sin acceso al correo electrónico. Un texto Zalgo es un tipo de texto formado por caracteres (letras, números, símbolos, etc) unicode que se extiende hacia arriba, abajo, derecha e izquierda mezclándose con el texto original. El investigador de seguridad que descubrió este fallo empezó probando los efectos de este tipo de texto, formado por más de 1 millón de caracteres, al inyectarlo en cualquier página web desde el navegador. Al hacerlo, pudo ver cómo el navegador se bloqueaba por completo y quedaba totalmente inutilizado. Si quieres saber más sobre este tema, pulsa en este enlace. * Skygofree es el spyware más poderoso de la historia, según expertos Un grupo de investigadores de seguridad informática ha revelado una nueva variedad de malware de Android que ha sido catalogado como una de las herramientas de spyware más poderosas jamás detectadas. Bajo el nombre ‘Skygofree’, apodado así por los expertos de Kaspersky Lab, el spyware se ha utilizado desde el 2014 para atacar Smartphones, robar chats de WhatsApp, grabar conversaciones y espiar los mensajes de texto de las víctimas, así como también llamadas telefónicas, audios, eventos de agenda y ubicación geográfica de dispositivos . El malware generalmente se propaga a través de sitios web comprometidos que imitan a los operadores móviles más conocidos, incluidas las empresas británicas Three y Vodafone. Si bien el código interno del malware ha cambiado a lo largo de los años, los investigadores dicen que se puede utilizar para dar a los hackers control remoto total del dispositivo infectado. La última versión del Skygofree contiene 48 comandos para diversas formas de espionaje. Uno de ellos se conoce como ‘geofence’, y solo graba audio cuando el objetivo se encuentra en una ubicación específica. Otro comando, llamado ‘WiFi’, podría usarse para interceptar los datos que fluyen a través de una red inalámbrica. Si te interesa leer la noticia completa, accede a este enlace. * Otro error en Intel AMT permite acceso remoto con contraseña "admin" Ha sido un año nuevo terrible para Intel. Los investigadores advierten de un nuevo ataque que se puede llevar a cabo en menos de 30 segundos y que potencialmente afecta a millones de computadoras portátiles en todo el mundo. Mientras Intel se apresuraba a implementar parches para las vulnerabilidades de Meltdown y Spectre, los investigadores de seguridad descubrieron un nuevo fallo crítico de seguridad en el hardware de Intel que podría permitir a los piratas informáticos acceder a las computadoras portátiles corporativas de forma remota. ¿Cómo es el ataque? Reiniciar el el sistema de la víctima, presionar CTRL-P para iniciar la BIOS de Intel Management Engine (MEBx), introducir la contraseña predeterminada que es:"admin", una vez iniciado el proceso, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto. Ahora, el atacante puede acceder al sistema de forma remota mediante la conexión a la misma red inalámbrica o cableada. Más información aquí. * Bypass del doble factor de autenticación por SMS En 2016, el broker de criptodivisas Coinbase informó que recibió ataques de intercambio de puertos, el cual ocurre cuando un delincuente conecta el número de teléfono de la víctima a un dispositivo bajo su control y logra obtener sus SMS. El ataque comienza cuando el delincuente busca personas que trabajan en una industria en particular o revisando las cuentas de las redes sociales que mencionan Bitcoin y Coinbase. El ladrón no tardará mucho en encontrar la dirección de correo electrónico y el número de teléfono móvil de la víctima en línea a través de una página de contacto, por ejemplo, fingiendo ser un usuario legítimo, el delincuente llama al proveedor de telefonía móvil de la víctima. Más información en este enlace. * Google Cloud alcanza la certificación de ciberseguridad ENS Con esta certificación de conformidad con el Esquema Nacional de Seguridad, el servicio Cloud de la compañía amplía su ámbito de implantación a nuevas empresas, organismos y administraciones públicas. Google informa que desde finales del pasado año, desde octubre de 2017, su plataforma Cloud cuenta con la certificación de conformidad del ENS (Esquema Nacional de Seguridad) de nuestro país en la categoría de Nivel Alto. Desde Google afirman cumplir con la regulación europea y española (LOPD, Ley Orgánica de Protección de Datos) y ofrecer dos alternativas de cumplimiento. En la actualidad, Google cuenta con más de 3 millones de clientes a nivel mundial, y gracias a la certificación obtenida de ENS, la cartera de clientes previsiblemente se ampliará, con posibilidad de llegar a nuevos clientes de la administración pública. De hecho, los servicios y productos Azure y Office 365 de Microsoft ya la obtuvieron a mediados del año 2016 como cita Microsoft Trust Center, un reconocimiento que posicionó a Microsoft Ibérica como el primer proveedor Hyper Scale Cloud en conseguir dicha certificación cumpliendo con las exigencias legales en materia de seguridad. Más info aquí. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
