5 de octubre de 2014

CIBERATAQUE. JPMorgan sufre un ataque que afecta a 76 millones de hogares

JPMorgan Chase sufrió el pasado verano una intrusión masiva en su sistema informático, que ahora detalla afectó a 76 millones de hogares y siete millones de negocios en Estados Unidos. El asalto al mayor banco por activos del país es el último en una sucesión de ataques de los hackers que ha afectado a otras grandes corporaciones en el ámbito del consumo, como son las cadenas comerciales Home Depot y Target o la compañía de comercio electrónico eBay.
El grupo financiero que dirige Jamie Dimon explica que los piratas informáticos tuvieron acceso a los datos de contacto de sus clientes, como correos electrónicos y teléfonos. También a información que identifica qué tipo de relación tienen con el banco. Pero la entidad asegura que los activos financieros y la información relativa a las cuentas no estuvieron en compromiso, porque los hackers no tuvieron acceso a información sensible como claves, datos personales o números de identificación.
El banco neoyorquino negó que se tratara de una nueva vulnerabilidad en su sistema. Es la segunda vez que informa de lo sucedido en menos de tres meses. En agosto ya indicó que fue víctima de un programa malicioso, en el que se vieron afectadas otras grandes entidades y que asoció con hackers de origen ruso. JPMorgan sufre intentos de este tipo a diario y destina 200 millones de dólares cada año a protegerse. Insiste que en este momento no observa una actividad inusual o fraudulenta.
Los detalles de este extenso ciberataque fueron revelados en una nota entregada por JPMorgan al regulador financiero, al cerrar Wall Street. La intrusión en su sistema comenzó aparentemente el pasado mes de junio, pero no fue descubierta hasta pasado un mes. Las primeras informaciones publicadas sobre el incidente indicaban que afectó a cerca de un millón de cuentas. Sin embargo, es mucho mayor y afectó a cualquier usuario de su portal o de su aplicación para dispositivos móviles.
Ahora se sabe supera con creces la intrusión que puso en compromiso las tarjetas de crédito de 40 millones de clientes en el caso de Target, la pasada temporada compras navideñas, o los 56 millones de Home Depot este verano. La que sufrió a comienzos de año eBay afectó a 145 millones de usuarios. El banco explica que sigue investigando lo sucedido, junto a las autoridades federales. En este momento desconoce su origen ni los autores.
Fuente: El Pais.com

PIRATERIA. Los hackers informáticos que atacaron a JPMorgan, también atacaron otras 9 empresas

Cerca de nueve bancos y corredurías fueron infiltrados por el mismo grupo de piratas informáticos que recientemente atacó a los sistemas computacionales de JPMorgan Chase & Co, informó en la noche del viernes el diario New York Times, citando a personas no identificadas con conocimiento del tema.
El reporte, que no pudo ser confirmado de manera independiente y que no identifica a las compañías que sufrieron el ataque junto a JPMorgan, dice que no está clara la gravedad de las violaciones de seguridad.
JPMorgan dijo el jueves que sufrió el robo de los nombres y la información de contacto de unos 83 millones de clientes entre personas y pequeños negocios, en una de las mayores violaciones de seguridad de la historia.
El diario New York Times dijo que la amplitud de los ataques y la incertidumbre sobre los motivos de los piratas informáticos están complicando a los funcionarios y agentes de inteligencia de Estados Unidos.
No fue posible contactar a representantes del Servicio Secreto de Estados Unidos para que realizaran comentarios en la mañana del sábado. El Servicio Secreto está investigando el ataque contra JPMorgan.
Más información
Fuente: Reuters

SERVICIOS FINANCIEROS. Guerra abierta con los cibercriminales

Un ejecutivo senior de Citigroup ha defendido que el sector Servicios Financieros está inmerso en una guerra por la ciberseguridad de sus redes.
Una conferencia celebrada en Boston en la que se trató el rema de los ciberataques en instituciones financieras ha vuelto a poner de manifiesto los peligros que corren estas en sus operaciones diarias.
Charles Bauer, encargado de Seguridad de la información en Citigroup, ha asegurado que su banco recibe 10 millones de ataques informáticos cada mes.
El ejecutivo ha explicado que ante ese panorama es evidente que los cibercriminales acabarán hackeando el banco y “la clave está en cómo se responde a esos ataques”, recogen en FinancialNews.
En su opinión, los bancos deben invertir en prevención, detección y planes de respuesta, y ha comentado que en Citibank han establecido un equipo de trabajo que se encarga de pensar sobre las acciones que puedan realizar los hackers y detectar las señales de potenciales ataques.
Por otra parte, en el evento también se expuso que los problemas para las instituciones financieras cuando reciben el ataque de algún hacker no son solo de robo de dinero, ya que los cibercriminales también pueden estar interesados en información privada, como los datos de los clientes, fusiones y adquisiciones, acuerdos en mercados de capitales y la compra y venta de acciones en la bolsa.
Los expertos en seguridad financiera consideran que los bancos y las empresas del sector tienen problemas para responder a esos ataques informáticos porque para hacerlo necesitan de la colaboración de clientes, organismos reguladores y sus empleados.
Fuente: Silicon News.es

BADUSB. Liberan el código fuente de la vulnerabilidad

BadUSB es una vulnerabilidad que permite a usuarios malintencionados modificar el firmware de un dispositivo USB para ejecutar código automáticamente sin intervención del usuario. Y después de dos meses del descubrimiento aún no hay soluciones definitivas, sino pequeños “parches” que complican la explotación de la vulnerabilidad pero que aún están lejos de solucionarla de forma definitiva.
Una vez se descubrió la vulnerabilidad los investigadores decidieron que la mejor opción era no publicar el código fuente del exploit ni facilitar información a otros usuarios sobre cómo se podía explotar este fallo. Sin embargo, no todos los investigadores estaban de acuerdo con la afirmación.
Algunos de los investigadores que participaron en el descubrimiento de esta vulnerabilidad han afirmado que las agencias de seguridad (como la NSA) probablemente ya hayan sido conscientes de la vulnerabilidad desde hace tiempo y que incluso la han podido explotar en varias ocasiones. También han decidido que el conocimiento debe pertenecer al pueblo y aunque algunos utilizarán dicha vulnerabilidad para hacer el mal, otros pueden incluso desarrollar un posible “parche” que solucione el fallo, por ello han decidido colgar ejemplos de explotación de la vulnerabilidad en la plataforma GitHub.
Por el momento las únicas soluciones temporales a esta grave vulnerabilidad son, en primer lugar, un dispositivo que corta la conexión de datos y únicamente lleva señal eléctrica por el USB (como podemos ver en la imagen anterior). Este dispositivo nos permite utilizar cables para cargar dispositivos sin peligro a que un malware explote la vulnerabilidad BadUSB. Otra solución desarrollada por una empresa de seguridad detecta que se ha conectado una memoria USB en nuestro equipo y nos permite elegir si acceder a ella o bloquear completamente su conexión, ideal para evitar que terceras personas puedan acercarse a nuestro ordenador en lugares públicos e infectar el equipo conectando únicamente una memoria USB maliciosa.
Por el momento habrá que esperar aún más para encontrar una solución definitiva que nos proteja por completo de esta vulnerabilidad. Varios investigadores de seguridad están trabajando en poder solucionarla y los fabricantes ya están lanzando nuevas memorias y conexiones USB que no son vulnerables a BadUSB.
Fuente: Help Net Security

BADUSB. Código disponible en GitHub y ¿ pandemia mundial a la vista ?

El código de BadUSB no iba a ser publicado debido a lo extremadamente peligroso que era pero  finalmente no fue así y  ya está en GitHub, al menos parcialmente, pero con el potencial de crear una “pandemia informática”.
Una mala decisión por parte de algunos de los investigadores que desarrollaron BadUSB podría hacer que los dispositivos USB sean lo más inseguro en el mundo de la informática en los próximos meses. De ser un estándar universal para todo tipo de usos, gracias a BadUSB se convertirían en la forma de transmisión de virus más peligrosa hasta ahora.
Cuando Karsten Nohl hizo públicas sus investigaciones sobre seguridad en USB y como había creado BadUSB, se originó un enorme revuelo. De hecho, BadUSB parecía ser tan peligroso que el propio Karsten decidió en un principio que no iba a hacer público el código, ya que era muy improbable que la industria pudiera cambiar el estándar para evitar su propagación en un espacio de tiempo relativamente corto.
En malas manos, BadUSB plantea la posibilidad de que prácticamente todos los dispositivos USB del mundo estén infectados con un virus que resulta muy difícil de detectar y casi imposible de erradicar de los propios dispositivos. Hablamos de algo parecido a lo que ocurrió hace ya bastantes años con Windows XP, con un virus latente en Internet que apagaba los ordenadores nada más conectarse, pero que al menos en esa ocasión se solucionaba actualizando a un service pack.
Con BadUSB la posibilidad de evitarlo es mucho más complicada. Existen millones de dispositivos USB en el mundo totalmente descontrolados, cuyos fabricantes ya ni existen o a los que es imposible seguirles la pista, además de que para el público en general, el uso inseguro de pendrives y todo tipo de dispositivos USB está muy arraigado.
La única forma de evitar que BadUSB se apropie totalmente del control de estos dispositivos es que sus fabricantes actualicen su firmware y que el estándar USB cambie, algo que podría tardar casi 10 años y que llevaría a que millones de dispositivos tuvieran que ser incluso destruidos.
A pesar de todo, Adam Caudill y Brandon Wilson han decidido publicar parte de BadUSB en GitHub, abriendo una puerta que quizás no se pueda cerrar nunca y que termine matando al estándar USB. 
Fuente: ITespresso.es

SHELLSHOCK. El nuevo Heartbleed, pero mucho más agresivo

Aún se desconoce los sistemas vulnerables al error, pero se especula que la cifra podrían ser millones. 
El miércoles de la semana pasada se informó acerca de una grave vulnerabilidad de software llamada Shellshock. El error podría ser utilizado para comprometer millones de servidores y otros dispositivos en todo el mundo. Aún se desconoce la amplitud y el coste del problema, pero ya sabemos que Shellshock es más grave que la vulnerabilidad Heartbleed, que recibió amplia atención en abril de este año.
Heartbleed afectaba al software utilizado por los servidores para cifrar y asegurar las comunicaciones. El fallo permitía a los atacantes obtener información confidencial, como claves de cifrado o contraseñas, de servidores vulnerables que podían utilizarse para acceder secretamente al sistema más adelante, por ejemplo para robar datos personales.
Shellshock da mucho más poder al atacante. Se puede usar para hacerse con el control completo de un sistema incluso sin tener un nombre de usuario y contraseña. Aprovechar la vulnerabilidad es simple y no requiere conocimientos avanzados.
Puesto que un atacante puede utilizar Shellshock para ejecutar remotamente cualquier código en un sistema, podría utilizarse para crear un "gusano" autoreplicante. Utilizaría un sistema comprometido para atacar a otros sistemas, y así sucesivamente, propagándose en la red y comprometiendo cientos o miles de sistemas en poco tiempo.
Ya se ha identificado la vulnerabilidad en algunos dispositivos de redes populares y ampliamente utilizados por empresas. Los dispositivos móviles no están en riesgo, a menos que un dispositivo Apple o Android se haya modificado para tener más control sobre su software.
Shellshock es una vulnerabilidad peligrosa porque aunque Bash no está directamente expuesto a internet, un software que sí lo esté puede utilizar Bash internamente. Por ejemplo, el software "DHCP" que negocia la conexión a las redes wifi puede pasarle comandos a Bash. Esto significa que alguien que tenga un sistema operativo vulnerable (principalmente Linux) podría ser atacado cuando se conecte a una red wifi no fiable. (Vale la pena señalar que conectarse a redes wifi no fiables supone siempre un riesgo).
Al día siguiente de publicarse la información sobre Shellshock, surgieron indicios de que estaba siendo utilizando para realizar ataques "en la naturaleza". Los departamentos de seguridad de la información en todas las empresas y organizaciones deberían tomar medidas preventivas, tales como aplicar parches de seguridad y vigilar con precaución las redes internas. El Equipo de Preparación ante Emergencias Informáticas de EEUU ha emitido una alerta, y junto con otras organizaciones de seguridad en todo el mundo está recomendando a los usuarios y administradores de sistemas que apliquen parches de seguridad tan pronto como sea posible.
Sin embargo, aún es demasiado pronto para confeccionar una lista exhaustiva de los dispositivos afectados que deben actualizarse. Y aunque los investigadores y fabricantes de dispositivos están publicando detalles sobre qué dispositivos son vulnerables y cuáles no, en el caso de algunos dispositivos en uso nadie va a supervisarlos porque ya no son compatibles, o falta la documentación.
Fuente:  MIT Technology Review

SHELLSHOCK. Tambiém podría afectar a los servidores OpenVPN

Ahora se ha sabido que Shellshock también podría afectar a servidores OpenVPN debido a que este servicio incorpora distintas opciones de configuración que permiten ejecutar comandos personalizados durante las distintas etapas de la autenticación en el servidor. Algunas variables de entorno establecidas pueden ser fijadas por el cliente, lo que aumenta el riesgo de exposición.
Dependiendo de la configuración de OpenVPN, podríamos ser vulnerables a ejecución remota de código aprovechando la vulnerabilidad Shellshock. Una configuración de OpenVPN que permite la explotación de esta vulnerabilidad es “auth-user-pass-verify“, según la documentación oficial de OpenVPN, esta directiva proporciona una interfaz para extender las capacidades de autenticación de los servidores OpenVPN.
Esta opción ejecuta un script definido por el administrador, a continuación se validan los nombres de usuario y claves que proporcionan los clientes a través del intérprete de la línea de comandos, aquí radica el problema, y es que si el cliente envía un “nombre de usuario” específicamente diseñado para “escapar” de la shell, podría ejecutar cualquier orden.
Los desarrolladores de OpenVPN ya sabían de los riesgos de seguridad de esta opción antes de que apareciera Shellshock, y es que se debe tener mucho cuidado en evaluar cualquier script definido por el usuario ya que podrían causar una vulnerabilidad de seguridad.
 Fuente: TechWorld

GOOGLE. Prepara la nueva actualización de Google Penguin

Google podría lanzar la próxima semana una nueva versión de Penguin, su algoritmo especializado en la lucha contra el spam y los enlaces de baja calidad.
 La empresa indica que no se tratará de una simple actualización sino de una completa renovación del algoritmo. Unas mejoras en las que han invertido mucho tiempo y esfuerzo, y que solo saldrán a la luz cuando estén realmente a punto.
 Así lo  recoge Search Engine Land, en unas declaraciones realizadas por Gary Illyes, Ingeniero de calidad del buscador y analista de tendencias para Google en el Search Marketing Expo East, celebrado estos días en Nueva York, y donde se han recogido las tendencias y experiencia en cuanto a SEO y SEM por parte de los máximos responsables del sector.
 Por tanto, si todo va según lo previsto, Penguin promete hacer la vida un poco más fácil para los webmasters, así como hacer las delicias de los usuarios, según indica el responsable de Google.
 Ciertamente, Google podría haber realizado con más frecuencia actualizaciones de este algoritmo, pero ha preferido actuar cuando las mejoras fueran verdaderamente significativas, así como útiles, tanto para los usuarios como para los webmasters.
 Por último, una advertencia que realizó Illyes en su intervención fue que el nuevo Penguin afectará no solo a las páginas que desarrollen en la actualidad una política de enlaces de baja calidad, o que utilicen prácticas que puedan considerarse spam; sino también a aquellas que en las últimas semanas hayan deshabitado dichos enlaces. Por lo que la ira de Penguin amenaza con ser implacable.
Fuente: Puromarketing.com

GOOGLE. Eliminará de sus búsquedas a los medios alemanes a causa de la “tasa Google”

La aplicación de la llamada “tasa Google” en Alemania va a dar sus primeros frutos, y no van a ser demasiado positivos para algunos. Aquellos diarios que no accedan de manera voluntaria a que sus contenidos sean indexados por Google no aparecerán en las búsquedas, sólo aparecerá el título del artículo y el enlace pero sin imágenes ni contenidos.
A partir del 9 de octubre Google dejará de mostrar en sus búsquedas contenidos de la prensa alemana. La decisión es consecuencia de la legislación recientemente aprobada en el país germano y que obligaba a abonar una cantidad a aquellos medios de comunicación cuyos contenidos fuesen indexados por Google.
La aparición en las búsquedas de extractos de los textos o imágenes en formato reducido había hecho irritar a los editores de prensa alemana que solicitaban de Google el abono de una cantidad por mostrar estos contenidos. El gobierno de Berlín accedió a dicha petición pero la reacción de la empresa de Mountain View ha resultado quizá más perjudicial para los medios puesto que ahora las búsquedas en Google relativas a sus contenidos se limitarán al titular y enlace del artículo.
Google había anunciado que no tenía intención de abonar cantidad alguna (bautizada como “tasa Google” y ante la amenaza de diversos editores de demandar a la empresa esta ha optado por limitar la información que mostrará en su buscador. Se verán afectados 170 cabeceras de periódicos, 20 canales de televisión y 59 emisoras de radio que habían formado un frente común contra Google y que ahora califican como “chantaje” la medida de Google quien, por su parte, afirma ofrecer cada mes más de 500.000 accesos a páginas web de noticias ubicadas en Alemania y que cada una de esas visitas puede suponer un valor en torno a 0,15 €.
Más información
Fuente: The Inquirer

DEMANDAS. Las "famosas desnudas" del celebgate quieren demandar a Google

   Google podría ir a los tribunales por no haber retirado las fotos filtradas por hackers en las que aparecen famosas desnudas. El escándalo, que acabó conociéndose como celebgate, afectó a celebridades como Jennifer Lawrence, Rihanna, Kim Kardashian o Kaley Cuoco entre otras. Ahora, los abogados de algunas de ellas le piden al gigante de las búsquedas 100 millones de dólares.
   Si Google no retira las fotos privadas de las famosas de sitios como YouTube o BlogSpot, los abogados amenazan como demandar al buscador, según informa The Guardian. Al parecer, el abogado Martin Singer, que también representó en alguna ocasión al director Bryan Singer, o al actor John Travolta y a Charlie Sheen, ha escrito a Google exigiendo que la compañía pague por su "comportamiento poco ético y descarado".
   En la carta, a la que ha tenido acceso la web Page Six, Singer acusa Google "de no actuar con prontitud y de manera responsable para eliminar las imágenes" y "a sabiendas, facilitando y perpetuando la conducta ilegal".
   Singer envió la carta a Google en nombre de sus clientes pero sin un nombre específico, según señala The Guardian. Le pidió que eliminase las imágenes hace más de un mes y muchas de ellas siguen enlazadas por el buscador y, además, alojadas en sitios como BlogSpot y YouTube.
Fuente: Europa Press

GOOGLE. Responde a las "famosas desnudas" que quieren demandar

   Este miércoles, el abogado Marty Singer le envió a Google una carta amenazando al buscador con una demanda de 100 millones de dólares por daños y perjuicios por facilitar supuestamente la publicación en la Red de las fotos hackeadas donde aparecían famosas desnudas como Jennifer Lawrence, Rihanna o Kim Kardashian. Google ha respondido este viernes diciendo que "ha eliminado decenas de miles de fotos".
   Singer envió la carta al gigante de las búsquedas sin citar exactamente el nombre de sus representados, pero se cree, según informa Hollywood Reporter, que la amenaza de demanda hacia Google la está tomando en nombre de famosas como Jennifer Lawrence, Kirsten Dunst, Kate Upton y otras estrellas.
   Según Singer, Google no está cumpliendo con sus responsabilidades en virtud de la ley de copyright o derechos de reproducción conocida como Acta de derechos de autor digitales del milenio (Digital Millennium Copyright Act) para eliminar con rapidez imágenes privadas en plataformas como YouTube y Blogspot, o eliminar URLs en su motor de búsqueda.
   Por su parte, un portavoz de Google ha respondido lo siguiente: "Hemos eliminado decenas de miles de imágenes -pocas horas después de que se solicitara su retirada- y hemos cerrado cientos de cuentas. Internet se utiliza para muchas cosas buenas. Robar fotos privadas de la gente no es una de ellas".
   Según el abogado, Google no hace nada "porque las víctimas son celebridades con valiosos derechos de publicidad, nada excepto recoger millones de dólares en ingresos publicitarios y tratar sacar provecho de este escándalo en vez de terminarlo. Google ha hecho la vista gorda mientras sus sitios explotan y victimizan a estas mujeres".
   Google asegura que sigue eliminado fotos porque representan violaciones a las normas de su comunidad con respecto a la desnudez y privacidad. El gigante web dice que su respuesta es generalmente de horas, no de semanas.
Fuente: Europa Press

PUBLICIDAD. Bots y spam siguen amenazando la industria publicitaria

 Según el último informe de Solve Media, los bots representan el 21% del tráfico online total registrado por estos sites. Un porcentaje que asciende hasta el 40% en el caso de Estados Unidos.Si nos centramos en el caso de las empresas, podemos apreciar cómo el 23% del tráfico móvil que registran sus sites es sospechoso de ser fraudulento, mientras que un 16% se atribuye a los bots.
 El creciente interés por parte de los bots en el tráfico móvil está directamente relacionado con el crecimiento del uso de estos dispositivos entre los usuarios. Solve Media estima que 8 de cada 10 usuarios móviles utiliza este dispositivo para buscar información antes de comprar.
 A medida que estas empresas están destinando más recursos en los dispositivos móviles, los spammers están aumentando peligrosamente su presencia en este medio. Otra muestra de ello es que, en el lado opuesto, la presencia de bots en el tráfico web ha descendido ligeramente desde el trimestre  anterior, situada en torno al 25%, hasta situarse en el 16%, a nivel global.
La amenaza de los bots pone en serio peligro la inversión publicitaria
  •  Según eMarketer, a finales de año la publicidad móvil representará el 10% de la inversión total publicitaria. De confirmarse la tendencia en favor de los dispositivos móviles, en 2018 podrían constituir el 70% de la inversión en publicidad digital. Sin embargo, la publicidad móvil no lo tiene fácil para demostrar su efectividad.
  •  El  informe  de S4M indica que los clics fraudulentos, el síndrome de los dedos gordos y la caída en la velocidad de navegación erosionan buena parte de la inversión en publicidad móvil, desperdiciando con ello oportunidades para impactar al público objetivo.
  •  Esta realidad podría suponer un lastre que dificultaría en gran medida el desarrollo de la publicidad móvil; que se perfila como el motor de la publicidad digital en los próximos años.
Fuente: Europa Press

CIBERDELINCUENTES. También van a por su cuenta de LinkedIn

De acuerdo con Panda Security, el objetivo final de los ataques, a esta red social, que cuenta con 300 millones de usuarios,  no es el propietario de la cuenta, sino la compañía donde trabaja y sus datos. Así, la red social se convierte en una agenda donde figuran los emails de empresa de miles de usuarios.
Cuando rastrean cuentas y encuentran varias que comparten el nombre de la organización, intentan conocer la estructura de las direcciones (suelen ser del tipo nombre.apellidos@nombredelaempresa.com). A continuación, al hacer una búsqueda más especializada, pueden conseguir una lista extensa de todos los correos de los trabajadores.
Si el hacker conoce la estructura de la red tecnológica que utiliza la compañía, puede acceder al sistema enviando un email a todo el directorio. En él, incluirá, por ejemplo, un enlace a una página donde se les pida a los destinatarios que inserten el nombre de usuario y contraseña de acceso a la plataforma de la entidad. Cuando los consiga, tendrá acceso para espiar sus archivos internos.
Si el cibercriminal consigue entrar a los equipos, será solo el primer paso para que tenga acceso a otro tipo de información: la de carácter privado, viéndose comprometidos números de cuenta, contraseñas de seguridad y bases de datos.
Para evitar cualquier tipo de problema al usar esta red social, Panda Security ofrece cuatro consejos. Son estos:
  1. Mantenerse bien informado sobre seguridad informática. Acudir a cursos o pedir a la propia compañía que organice talleres al respecto. Se evitarán muchos disgustos si los trabajadores saben reconocer un mensaje fraudulento y no caer en las trampas tendidas por los atacantes.
  2. Saber con seguridad qué tipo de datos les piden las plataformas TIC de tu empresa para no introducir información personal en páginas externas. Reconocer la cuenta de correo que se encarga de los comunicados también es útil para distinguir a los remitentes sospechosos.
  3. Conocer los mecanismos que puedes utilizar para avisar a los técnicos sobre cualquier elemento extraño. Los responsables de IT también pueden poner de su parte, advirtiendo de la importancia de estas acciones. Un aviso a tiempo puede evitar que alguien haga clic en un enlace fraudulento o proporcione sus datos.
  4. Utilizar en LinkedIn una cuenta de correo personal. Así será más difícil que te identifiquen, aunque también puedes aplicar las mismas recomendaciones: no abrir los correos de remitentes extraños, no pinchar en los ‘links’ de contenidos que no conozcas y tener cuidado con dónde introduces los datos.
Fuente: Silicon Week.es

MAC BOTNET. 17.000 Macs comprometidos por los ciberdelincuentes

Una red zombi que se alimenta de los ordenadores Macs infectados tiene 17.000 máquinas comprometidas mediante campañas de captación, según advierte la firma anti-virus rusa Dr Web .
El iWorm crea una puerta trasera en equipos que ejecutan OS X. Los inescrupulosos están usando los mensajes publicados en Reddit como una ayuda a la navegación que apunta máquinas infectadas hacia los servidores de comando y control.
Comprometida casa máquinas teléfono a estos nodos de comando para obtener instrucciones sobre qué hacer. Dr Web tiene más detalles sobre el mecanismo de un asesor (extracto de abajo).
  • Para adquirir una lista de direcciones del servidor de control, el robot utiliza el servicio de búsqueda en reddit.com, y - como una consulta de búsqueda - especifica los valores hexadecimales de los 8 primeros bytes del hash MD5 de la fecha actual. La búsqueda reddit.com devuelve una página web que contiene una lista de botnets C & C servidores y puertos publicados por los delincuentes en los comentarios a los minecraftserverlists posteriori de conformidad con el vtnhiaovyd cuenta.
Incluso si Reddit cierra las cuentas de la comunicación con la red de bots a los malhechores detrás de malware fácilmente podrían crear nuevas cuentas o bien utilizar un servicio web alternativa, como Twitter.
"Reddit no se está propagando la infección - es simplemente proporcionar una plataforma que está ayudando a los botmasters comunicarse con los ordenadores Mac que han logrado infectar", explica Graham Cluley, vigilante de seguridad veterano en una entrada de blog .
El mecanismo utilizado por el malware para difundir sigue sin determinarse. Su propósito es también claro. Investigadores Dr Web estiman la mayor parte de las víctimas de la botnet afecta a los Estados Unidos. El malware también ha quitado a un número significativo de los sistemas de Canadá y el Reino Unido.
Fuente: The Register

MAC. Cada computador de esta firma se expone al malware 10 veces por año

Desde Kaspersky Lab también advierten de que los sistemas OS X tienen un 3% de probabilidades de caer víctimas de una infección.
A pesar de la sensación de invencibilidad que ofrecen sistema operativos tipo OS X cuando se trata de enfrentarse a campañas de malware, los expertos en seguridad no dejan de repetir que es falsa. Los usuarios de Mac no deberían confiarse y aplicar también software antivirus.
O quizás otras medidas de seguridad como cifrar el disco, usar gestores de contraseñas, probar cuentas sin permisos de administración, prescindir de Java y actualizar siempre, siempre, programas como Adobe Reader.
Y es que la sensación de protección cuando ni siquiera se están aplicando soluciones reales es producto, sencillamente, del hecho de que las distintas versiones de Windows están más extendidas y los ciberdelincuentes pueden sacar más provecho si dirigen sus ataques a esa plataforma, por el número potencial de víctimas.
Pero no quiere decir que no exista malware para OS X, ni mucho menos.
Kaspersky Lab, por ejemplo, asegura que en sus archivos cuenta con 1.800 ejemplares de archivos maliciosos que son capaces de actuar en los ordenadores que fabrica Apple, entre los que se encuentran Callme, Laoshu, Ventir o el infame Flashback.
Esta firma también asegura que de enero a agosto de 2014 ha contabilizado un millar de “ataques únicos contra dispositivos Mac” y, lo que quizás sea más llamativo, que cada internauta activo que navegue con este tipo de computadoras “podría encontrar malware en su dispositivo Mac OS X al menos 10 veces en un solo año”.
Si hablamos de posibilidades, los Mac correrían el riesgo de caer infectados con una probabilidad del 3%.
Fuente: Silicon Week.es

MAC OS X. Existen 1.800 muestras de archivos maliciosos para SO. de Apple.

Según Kaspersky Lab, en los primeros 8 meses de 2014 se han registrado casi 1.000 ataques únicos contra dispositivos Mac.
Durante los primeros 8 meses de 2014 se han detectado casi 1.000 ataques únicos contra dispositivos Mac agrupados en 25 familias, de acuerdo con el último informe de Kaspersky Lab.
La compañía de seguridad ha registrado 1.800 muestras de archivos maliciosos Mac OS X, con lo que un usuario de Internet activo podría encontrar malware en su dispositivo al menos 10 veces al año.
El malware más destacado es el backdoor Callme, que ofrece a los cibercriminales acceso remoto al sistema y la posibilidad de robar los contactos de los usuarios.
Por países, EE.UU y Alemania son las principales víctimas de ataques a este sistema operativo, con más de 66.000 detecciones entre ambos; seguidos de Reino Unido, Canadá, España, Italia y Australia, con hasta 7.700 detecciones cada uno.
“En los últimos 4 años el panorama de amenazas a Mac ha cambiado significativamente de casos aislados a una epidemia global causada por el gusano Flashback, que infectó 700.000 dispositivos alrededor del mundo en 2011. Este fue un punto de inflexión y después han proliferado cientos de programas maliciosos para Mac cada año”, ha afirmado Eugene Kaspersky, presidente y CEO de Kaspersky Lab.
Entre los consejos que ofrece la compañía para aumentar la seguridad de Mac destacan crear una cuenta sin permisos de administrador para las actividades cotidianas; ejecutar la actualización de software y parchear el equipo con las actualizaciones; e instalar una buena solución de seguridad.
Fuente: Silicon News.es

MAC OS X . Estos equipos podrían formar parte de una botnet gracias a un virus

Existe una minoría  de amenazas que está diseñada también para afectar a equipos con sistema operativo Mac OS X. Se ha detectado la presencia de un malware que está afectando a los usuarios de estos equipos y está vinculando estos a una botnet en la que desempeñarán diferentes funciones.
El virus que llegaba al equipo le vincula a la botnet Aprox.
  • Mac.BackDoor.iWorm, que así es como se llama el malware que nos ocupa en esta ocasión, está afectando sobre todo a los usuarios de Estados Unidos, Canadá y Reino Unido, sin embargo, expertos en seguridad han detectado que existe un número de casos que se encuentran dispersos por el resto de países del continente europeo.
  • Sin embargo, la botnet a la que los equipos son vinculados no resulta una novedad. Muchos expertos en seguridad la daban ya por extenguida, sobre todo porque las últimas fechas de su actividad databan del año 2012, momento en el que el numero de equipos ascendía a más de 600.000. Sin embargo, esta vuelve a resurgir y un ejercito de equipos de usuarios particulares está siendo reclutado para realizar todo tipo de accesiones, como por ejemplo ataques de denegación de servicio o el envío masivo de correos spam.
  • La información del equipo con Mac OS X también se vería comprometida
  • Sin embargo, la labor del virus no acaba vinculando este a la botnet. De forma habitual buscará las direcciones de servidores en reddit.com, descargando de estos las órdenes y las funciones que pasará a realizar. De esta forma, se ha comprobado que es capaz de abrir un socket manteniendo una comunicación con una serie de direcciones (se creen que son servidores), utilizando este para enviar datos del usuario que se encuentran en el equipo, pudiendo también llevar a cabo la ejecución de comandos.
Fuente: Softpedia

POISON PI. Escanea redes WiFi desde su sala de correo

Bod seguridad Larry Pesce ha desarrollado un paquete de hackers a bordo para hackear redes inalámbricas por correo.
El dispositivo está diseñado para los llamados ataques de "envío" guerra descritos (VID) el año pasado en el que el hardware de hacking se envió a una organización de destino con el fin de atacar a las redes inalámbricas de una sala de correo o el escritorio del empleado ausente.
El directorio de Pesce es de bajo costo, cabe en una caja postal de USPS estándar, y proporciona escaneo y capacidades de ataque con el seguimiento de localización.
El tablero de corte Raspberry Pi superó una variedad de problemas de capacidad y de poder otorgarle hasta 300 horas de energía y la capacidad de informar ubicación sin GPS, que consume las pilas y ser ineficaces mayor parte del tiempo.
La tarjeta puede ser utilizada para combatir determinadas organizaciones, compañías navieras, o cualquier entidad a lo largo de la ruta de navegación, siempre y cuando el camión ya sea parado o se mueve lentamente en viajes de última milla.
Pesce dio con la cuestión de la localización llamado mapeo ubicación Wi-Fi de Apple a través de una API indocumentada utilizado en el proyecto iSniff. Y publicó el software en GitHub para los usuarios para mantenimiento del sistema, que se estaba actualizando continuamente.
"Se lee en la salida XML Kismet, lee todos BSSIDs y consulta API de indocumentados de Apple para poblar un mapa de Google", dijo.
El kit de la placa al descubierto era, a efectos prácticos una herramienta de sombrero negro dadas las reglas que prohíben el envío de baterías y componentes eléctricos activos
Hay poca defensa contra el ataque sin tener que gastar grandes cantidades de dinero.
El kit fue construido sobre una b_ Raspberry Pi con una tarjeta AWUS051NH inalámbrico, un cargador de batería barata reutilizados, kismet y software a medida.
Fuente: The Register

CISCO WEBEX MEETINGS SERVER Vulnerabilidad que podría permitir la descarga de archivos

Cisco ha publicado un boletín de seguridad para alertar de una vulnerabilidad que podría permitir la descarga de archivos de servidores Cisco WebEx Meetings Server.
 Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Detalle e Impacto de la vulnerabilidad
  •  El problema se debe a insuficientes validaciones en las entradas de los usuarios de Cisco WebEx Meetings Server, lo que podría permitir a un atacante remoto descargar archivos arbitrarios del servidor mediante URLs específicamente manipuladas.
  •  La vulnerabilidad tiene asignado el CVE-2014-3395. Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.
Más información:
Fuente: Hispasec

PHPMYADMIN. Vulnerabilidad de "Cross-site scripting"

 Se han descubierto vulnerabilidades XSS en las páginas de búsqueda de tablas y estructura de tablas de phpMyAdmin. Seha catalogado de Importancia: 1 - Mínima
Recursos afectados
  • Versiones de phpMyAdmin 4.0.x (hasta 4.0.10.4), 4.1.x (hasta 4.1.14.5) y 4.2.x (hasta 4.2.9.1).
Detalle e  Impacto de la vulnerabilidad
  • Esta vulnerabilidad se explota a manipulando un valor ENUM, que podría permitir un ataque XSS en páginas de búsqueda y de estructura de tablas, aunque es necesaria autenticación phpMyAdmin. Se ha asignado CVE-2014-7217 a esta vulnerabilidad.
Recomendación
Fuente: INTECO

SERVIDOR SCHNEIDERWEB. Vulnerabilidad de salto de directorio

Se ha hecho pública información relativa a un fallo de seguridad que afecta a los servidores web SchneiderWEB en diversos HMI's. Este problema ha sido clasificado como crítico.
Recursos afectados
  • Puesto que la lista es bastante amplia, se recomienda consultar el conjunto de dispositivos/módulos afectados en el documento de Schneider Electric.
Detalle e  Impacto de la vulnerabilidad
  • Los PLC de Schneider-Electric son utilizados en gran variedad de servicios (luz, agua, etc.) a lo largo del mundo y según este fabricante, el producto SchneiderWEB se encuentra desplegado en multitud de estas infraestructuras.
  • La vulnerabilidad (CVE-2014-0754) que afecta al servidor SchneiderWEB podría permitir a un atacante evitar los mecanismos de autenticación para acceder al dispositivo obteniendo permisos de administración y por ende, control total sobre el mismo. Para explotar el fallo es necesario disponer de acceso al dispositivo a través de la red (TCP/IP) y estar habilitado el tráfico HTTP.
Recomendación
·  Para solucionar el problema Schneider Electric ha proporcionado una actualización del firmware afectado, que es posible descargar de la sección "Software" en la página de Schneider.
·   Schneider Electric también recomienda las siguientes contramedidas para mitigar el problema hasta que se aplique la solución:
1.  Utilizar un firewall que inspeccione el tráfico HTTP para prevenir las peticiones sospechosas hacia los dispositivos afectados.
2.   Deshabilitar el puerto 80 en aquellos módulos en los que sea posible.
3.   Bloquear el puerto 80 en los cortafuegos para el tráfico que sea dirigido hacia los dispositivos afectados.
Más información
Fuente: INTECO

XEN. Denegación de servicio y revelación de información

Se ha publicado parche de seguridad que evita que invitados del HVM puedan provocar la caída del servidor o que tengan a datos de otros huéspedes o del propio hipervisor. Se ha catalogado de Importancia: 3 - Media
Recursos afectados
  • Sistemas x86 con versiones Xen 4.1 y posteriores.
Detalle e  Impacto de la vulnerabilidad
  • Un problema en la comprobación del rango en el Model-Specific Register (MSR) para APIC, permitiría causar denegación de servicio a través de una caída del sistema, y dar acceso a información sensible en zonas de memoria mas allá de la página simple configurada para la emulación del APIC.
Recomendación
  1. Xen ha liberado un parche que corrige la vulnerabilida disponible desde el sitio oficial http://xenbits.xen.org/xsa/xsa108.patch
  2. También es posible mitigar el problema permitiendo sólo "PV guests".
Más información
Fuente: INTECO

ROCKWELL MICROLOGIX 1400 . Validación incorrecta de datos de entrada en el DNP3

El investigador Mateo Luallen de CYBATI ha identificado una vulnerabilidad relacionada con una incorrecta validación de datos de entrada del sistema de comunicación DNP3, provocando una denegación de servicio en los dispositivos afectados. Se ha catalogado de Importancia: 4 - Alta
Recursos afectados
Los controladores Allen-Bradley (ahora Rockwell Automation) MicroLogix 1400 afectados son:
  • 1766-Lxxxxx Series A FRN 7 y anteriores
  • 1766-Lxxxxx Series B FRN 15.000 y anteriores
Detalle e  Impacto de la vulnerabilidad
  • Detalle vulnerabilidad Rockwell Automation, identificador AID 620295 en https://rockwellautomation.custhelp.com/app/answers/detail/a_id/620295
  • Esta vulnerabilidad afecta a los sistemas MicroLogix 1400 si el protocolo DNP3 se encuentra activado en los mismos, permitiendo un ataque de denegación del servicio cuando se reciben una serie de paquetes mal formados a través del interfaz Ethernet o de los puertos serie del dispositivo.
  • Esta vulnerabilidad puede ser aprovechada de forma remota y en caso de producirse la denegación de servicio, los sistemas deben reiniciarse para recuperar su normal funcionamiento.
Recomendación
  • Rockwell Automation ha publicado una nueva versión del firmware para MicroLogix 1400 Serie B que corrige esta vulnerabilidad.
  • Rockwell Automation recomienda actualizar los controladores MicroLogix 1400 Series B al firmware FRN 15.001 o superior. La ultima versión del firmware disponible puede encontrarse en la pagina web de Rockwell.
Más información
Fuente: INTECO

RSYSLOGD. Denegación de servicio y posible inyección de código

 Se han publicado parches que resuelven una vulnerabilidad en rsyslogd que podría permitir denegación de servicio, e incluso inyección remota de código en las versiones 7 y 8 del software, catalogada de Importancia: 3 - Media
Recursos afectados
  • En rsyslogd, las versiones vulnerables a denegación de servicio son las superiores a la 5.8.6. Además, las versiones 7 y 8 también podrían ser vulnerables a inyección remota de código.
  • Esta vulnerabilidad podría también afectar a las últimas versiones de sysklogd.
Detalle e  Impacto de la vulnerabilidad
  • Es posible provocar una denegación de servicio a través de rsyslogd, debido a un incorrecto control del mecanismo de gestión de arrays para el procesamiento de logs, como consecuencia de una violación de segmento en sistemas que tengan activa la recepción remota de eventos (desactivada por defecto).
  • Esta vulnerabilidad también podría permitir inyección remota de código por medio de paquetes especialmente manipulados en las versiones 7 y 8.
  • Según los desarrolladores de rsyslogd, esta vulnerabilidad podría afectar también a sysklogd.
Recomendación
  • Actualizar a las versiones 8.4.1 y 7.6.6.
Más información
Fuente: INTECO

IBM SECURITY ACCESS MANAGER. Múltiples vulnerabilidades

Actualización de seguridad para IBM Security Access Manager for Mobile y IBM Security Access Manager for Web, ya que podrían ser afectados por una vulnerabilidad de inyección de comandos y permitir un ataque de cross site scripting, catalogada de Importancia: 5 - Crítica
Recursos afectados
  • IBM Security Access Manager for Mobile 8. - Firmware versions 8.0.0.0, 8.0.0.1, 8.0.0.3, y 8.0.0.4.
  • IBM Security Access Manager for Web 7.0 y 8.0 - Firmware versions 7.0, 7.0.0.1, 7.0.0.2, 7.0.0.3, 7.0.0.4, 7.0.0.5, 7.0.0.6, 7.0.0.7, 7.0.0.8, 8.0.0.2, 8.0.0.3, y 8.0.0.4.
Detalle e  Impacto de la vulnerabilidad
 Las vulnerabilidades corregidas son:
  1. Inyección de comandos (CVE-2014-4823) - un atacante no autenticado y de forma remota podría inyectar cadenas de caracteres para ser interpretadas como comandos del sistema.
  2. Cross site scripting (CVE-2014-6079) - vulnerabilidad que permitiría engañar a un usuario de Local Management Interface para ejecutar comandos en el sistema que podrían comprometer parcialmente la integridad del sistema.
Recomendación
  • Actualice los sistemas afectados con el parche correspondiente que puede encontrar en la web IBM Fix Central.
Más información
Fuente: INTECO

HP SYSTEM MANAGEMENT HOMEPAGE. Multiples vulnerabilidades

Se han identificado múltiples vulnerabilidades web que afectan al producto HP System Management Homepage (SMH), tanto en versión Linux como Windows, catalogadas de Importancia: 3 - Media
Recursos afectados
  • Versiones anteriores a 7.4 de HP System Management Homepage (SMH) tanto Windows como Linux están afectadas.
Detalle e  Impacto de la vulnerabilidad
 Las siguientes vulnerabilidades, explotables remotamente, afectan a HP System Management Homepage (SMH):
  1. Modificaciones no autorizadas : CVE-2013-4545
  2. Fuga de información: CVE-2013-6420, CVE-2013-6422
  3. Denegación de Servicio (DoS): CVE-2013-6712
  4. Cross-site Scripting (XSS): CVE-2014-2640
  5. Cross-site Request Forgery (CSRF): CVE-2014-2641
  6. Clickjacking: CVE-2014-2642
Recomendación
Más información
Fuente: INTECO

FACTURAS ADOBE. Nueva forma de propagar malware

Según se puede leer en el blog de seguridad de Eset, una nueva campaña de distribución de malware se está llevando a cabo utilizando unas falsas facturas de Adobe Creative Cloud como nexo entre los piratas informáticos y las víctimas de estos. Varios usuarios han reportado un correo electrónico en nombre de Apple que incluso utiliza un dominio oficial de la compañía y que viene con un archivo .doc adjunto que, en teoría, es la supuesta factura.
Cuando los usuarios abren el documento para consultar la supuesta factura se encuentran con un mensaje que indica que dicho documento tiene macros (código para ejecutar) adjuntas y si queremos ejecutarlas.
Muchos procesadores de texto bloquean por motivos de seguridad estas macros, evitando así que el código se ejecute sin la intervención obligatoria del usuario. Los piratas informáticos han sido conscientes de ello y han decidido añadir a la falsa factura un mensaje en el que explican cómo permitir la ejecución de este código para poder visualizar correctamente la supuesta factura.
No se necesitan más pruebas para sospechar de esta supuesta factura, especialmente si no hemos hecho uso de los servicios de computación en la nube de Adobe, sin embargo, en Eset han querido identificar por completo la amenaza y han descubierto que la macro del fichero se centra en ejecutar un fichero oculto dentro del propio documento llamado “rsrs.exe“.
Este archivo corresponde a un malware llamado “Wauchos“. Es utilizado para descargar otras piezas de software malicioso más complejas en los sistemas de sus víctimas a la vez que crea una botnet bajo las manos del pirata informático probablemente destinada a realizar ataques dirigidos.
Sin duda un método de distribución de malware muy rudimentario, similar a los métodos utilizados en los años 90, pero que aún sigue siendo muy peligroso para muchos usuarios.
Fuente: Redeszone.net

PHISHING. Correo de AOL advierte de exceso de almacenamiento en bandeja entrada

Un  mensaje phishing se está enviando de forma masiva a todos los usuarios del servicio de mensajería AOL. En este correo se está advirtiendo a los usuarios de que se ha superado el tamaño del almacenamiento disponible en la bandeja de entrada.
Por el momento el correo solo se está enviando a las direcciones que pertenecen a dicho servicio, algo que es lo más lógico. Y es que no sería la primera vez que se envía un correo de estas carcateríaticas utilizando la imagen de un servicio a usuarios que no utilizan ese servicio o que no tienen cuenta en él. En este caso los usuario no tendrían ningún motivo para preocuparse. El problema aparece cuando un usuario que utiliza una cuenta de correo de AOL y recibe este mensaje, dudando de si este es legítimo o si por el contrario se trata de un engaño.
La finalidad de este correo no es otra que la de robar los datos de acceso a la cuenta del servicio, ayudándose para esto de unas de las muchas justificaciones que se utilizan: se ha superado el límite máximo de almacenamiento.
Las credenciales de acceso a la cuenta de AOL son robadas
  • En el cuerpo del mensaje se advierte al usuario de que ha superado el límite máximo de almacenamiento de la bandeja de entrada. Afirman que la cuenta se ha desactivado y que para seguir enviando y recibiendo mensajes en esta cuenta será necesario volver a validar la misma, algo utilizado con mucha frecuencia por los cibercriminales.
  • Sin embargo, esto es una escusa para llevar al usuario a una página falsa de inicio de sesión de AOL donde se le indica que debe proporcionar las credenciales de acceso junto con la introducción de un captcha, algo que parece que da mayor confianza al usuario y hace da al timo un poco más de veracidad. Bastaría con fijarse en la URL de la página donde nos encontramos para darnos cuenta que no pertenece a ningún dominio del servicio de correo y que se trata de una página falsa.
Fuente: Softpedia

VULNERABILIDADES. Varios fallos en Mac OS X y iOS descubiertos por Project Zero

El último programa de investigación del grupo Project Zero se centró en buscar errores y fallos y aumentar la seguridad de los productos de Apple, concretamente en el sistema operativo de escritorio, Mac OS X, y en su sistema operativo móvil, iOS. Con el lanzamiento de las últimas versiones de ambos sistemas, Apple  ha solucionado muchas (aunque no todas) las vulnerabilidades detectadas por este grupo. Algunas de dichas vulnerabilidades eran fallos en el kernel del sistema y otras simplemente errores que permitían a los usuarios malintencionados saltarse la capa sandbox del sistema.
Project Zero es un grupo de hackers que trabajan para Google que buscan mejorar la seguridad de los diferentes productos (tanto de software como de hardware) analizando el código y auditando los sistemas y dispositivos ayudando así a las empresas encargadas a identificar y solucionar errores y fallos que podrían suponer un fallo de seguridad para sus usuarios.
Las vulnerabilidades concretas que este grupo de investigadores detectó:
  • CVE-2014-4403.- Un fallo en la sandbox del kernel en Mac OS X permitía a cualquier atacante conocer la dirección de carga donde se ejecutaba este en la memoria del sistema.
  • CVE-2014-4394, CVE-2014-4395, CVE-2014-4401, CVE-2014-4396, CVE-2014-4397, CVE-2014-4400, CVE-2014-4399, CVE-2014-4398, CVE-2014-4416.- Estos errores eran fallos de los controladores Intel HD de los Mac más recientes que permitían ataques de corrupción de memoria desde las sandbox.
  • CVE-2014-4402.- Un fallo similar a los anteriores pero menos grave debido a que no se realizaron las comprobaciones necesarias en el motor de aceleración de la GPU.
  • CVE-2014-4376.- Similar a los anteriores, un puntero NULL en la memoria compartida podría ser explotado en los sistemas de 32 bits.
  • CVE-2014-4418.- Fallos en la implementación de la clase IOKit IODataQueue dentro de OS X y iOS donde los campos y el tamaño del núcleo de la memoria compartida que se mapean en el espacio de usuario permitiendo la escritura.
  • CVE-2014-4389.- Desbordamientos del núcleo permitiendo la corrupción de memoria en OS X y iOS.
  • CVE-2014-4390.- Error en la memoria compartida del Bluetooth de los dispositivos.
  • CVE-2014-4404.- Un fallo en OS X permite tomar el control de diferentes punteros de la memoria.
  • CVE-2014-4379.- Fallo en el teclado de OS X y iOS que permite leer espacios de memoria aleatorios.
  • CVE-2014-4405.- Una vez más, otro error diferente de un puntero que apuntaba a una variable NULL que podría ser aprovechado por los piratas informáticos para ejecutar código en la memoria.
Las vulnerabilidades SandBox son uno de los principales objetivos del Project Zero. Poco a poco van desapareciendo las vulnerabilidades más peligrosas y complicando el trabajo a los piratas informáticos hasta que poco a poco conseguiremos poder hacer un uso más seguro y privado de la tecnología.
Fuente: Google Project Zero

MALWARE. Utilizan una notificación falsa de Viber para instalarlo en los equipos

Los ciberdelincuentes están utilizando un correo falso de Viber haciendo creer al usuario que tiene pendiente un mensaje de voz, invitando a acceder a una página para poder escuchar dicho contenido.
Objetivo del falso correo de Viber
  • La finalidad de este correo no es la de robar los datos de acceso al servicio de mensajería, algo que se podría pensar a simple vista. Lo que en realidad quieren y buscan los ciberdelincuentes es que el usuario descargue un malware para que el equipo pase a formar parte de un botnet donde desempeñará diferentes labores, como por ejemplo realizar ataques de denegación de servicio contra servidores o equipos de multinacionales o el envío masivo de correos spam.
  • Cuando el usuario accede al correo electrónico se encuentra con todo tipo detalles, haciéndole creer que se trata de un correo del servicio de mensajería. Se le indica que posee una notificación pendiente y que le ofrece un botón de “Listen to Voice Message” donde este podrá acceder al mensaje al que se está haciendo mención.
  • Cuando el usuario hace click sobre este botón comienza la descarga de lo que parece un archivo de audio, aunque en realidad es un ejecutable que contiene todo lo necesario para que el malware se instale en el equipo.
Los equipos se unen a la botnet Aprox
  • Cuando el malware se instala en el equipo este busca mantener contacto con 5 direcciones IP que seguramente correspondan con servidores desde donde se indique qué ordenes deben seguir. La botnet no ha aparecido recientemente y ya es una conocida entre los expertos en seguridad y las compañías desarrolladoras de software antivirus. En un principio buscaba la infección de servidores de empresas, equipos que poseen una gran capacidad de cómputo y un mayor ancho de banda de Internet para realizar ataques.
  • Sin embargo, la composición de esta ha ido cambiando conforme ha pasado el tiempo y a día de hoy la prioridad de los propietarios de esta es la infección de equipos de usuarios particulares.
Fuente: Softpedia

PHISHING. Correo spam del Banco de Santander busca robar los datos de los usuarios

Una oleada de correos spam, que está afectando a usuarios españoles. Siendo más precisos, el correo suplanta la identidad del Banco de Santander, indicando al usuario que se ha puesto en funcionamiento una nueva herramienta que garantiza la seguridad de las transacciones y que es necesario que se confirmen las credenciales de acceso al servicio.
Detalle del falso correo
  • Un fallo de seguridad, una suspensión de la cuenta, una herramienta de seguridad nueva y así hasta conseguir una larga lista de ganchos que son empleados por los ciberdelincuentes para llamar la atención del usuario. En este correo se puede leer en el asunto “Aviso Banco Santander”, siendo la dirección remitente santander@sac.net, una dirección que no se corresponde con el servicio de atención al cliente que posee la entidad bancaria.
  • Tal y como suele ser habitual en estos casos, al usuario se le alerta de la necesidad de proceder al ingreso de los datos en el nuevo sistema de seguridad, ya que de lo contrario la cuenta quedará suspendida y no se podrá acceder y por lo tanto tampoco realizar transacciones.
Robar datos de usuarios gracias a una página falsa del Banco de Santander
  • Ni que decir que las entidades bancarias nunca solicitan el ingreso de datos utilizando un correo electrónico, por lo tanto, ante esta y situaciones similares lo mejor es ignorar el correo y borrarlo.
  • Al usuario se le da la oportunidad de completar el proceso de verificación de las credenciales haciendo uso de un enlace. Este redirige al usuario a una página web que es muy similar a la de inicio de sesión que disponen los usuarios particulares de la entidad, solicitando al usuario su nombre de usuario y la contraseña de acceso.
  • A priori, una vez que se cumplimentan estos datos y se envían la cuenta ya no será suspendida, pero nuevamente la realidad es muy distinta y es probable que los datos se hayan enviado a un servidor propiedad de los ciberdelincuentes para ser recopilados y utilizados sin que el usuario se percate.
Fuente: Redeszone.net