ESPAÑA. Extraditará a EEUU al hacker ruso acusado de acceso indebido a cuentas bancarias

La Audiencia Nacional española aprobó la extradición del ruso Stanislav Vitaliyevich Lisov a Estados Unidos, donde es buscado por el presunto desarrollo y uso de software malicioso para robar dinero de cuentas bancarias.

El máximo tribunal informó el martes que el programador de sistemas de 31 años, conocido como "Black" o "Blackf", es acusado de haber defraudado 855.000 dólares de varios bancos entre junio de 2012 y enero de 2015.

Según un comunicado de la corte, Lisov fue detenido en el aeropuerto de Barcelona en enero bajo una orden internacional de detención de un tribunal de Nueva York, que le acusa de crear el virus "NeverQuest", que se propaga a través de redes sociales, correo electrónico y transferencias de archivos.

Lisov y sus cómplices habrían infectado con el virus a los computadores de sus víctimas y robado la información de acceso a cuentas de instituciones financieras, usada luego para sustraerles dinero a través de transferencias electrónicas, retiros de efectivo en cajeros y compras por Internet, según el auto judicial.

El tribunal estadounidense lo acusa de asociación ilícita para cometer fraude y abuso con computadores y por medios electrónicos, delitos que en Estados Unidos conllevan penas de hasta 35 años de prisión.

En España, ambos delitos se engloban dentro de la "estafa agravada", que lleva asignada una pena de 1 a 6 años.

"La jurisdicción norteamericana es competente para enjuiciar los hechos porque, aunque el reclamado no se encontraba en EEUU cuando se cometieron los mismos (...), intrascendente al tratarse de presuntos delitos de estafa cometidos por internet, la mayoría de las víctimas se encuentran en ese país", dice el auto de la Sala de lo Penal que el acusado tiene tres días para recurrir.

La investigación de la Guardia Civil en colaboración con el FBI estadounidense se centró en servidores operados por el detenido en Francia y Alemania y en ellos se hallaron bases con listas de datos robados a bancos, incluyendo saldos de cuentas.

Uno de los servidores tenía archivos con millones de detalles de acceso a cuentas bancarias, como nombres de usuario, contraseñas y preguntas de seguridad.

Fuente: Reuters

RUSIA. Putin promulga ley que prohíbe acceder a páginas web bloqueadas en el país

El presidente Vladimir Putin promulgó una ley que prohíbe una tecnología que proporciona acceso a sitios web no permitidos en Rusia, publicó el domingo el sitio en internet del gobierno.

La ley, que ya había sido aprobada por la Duma, la Cámara Baja del Parlamento, prohibirá el uso de redes privadas virtuales (VPN) y otras tecnologías que permiten a las personas navegar anónimamente en internet. La medida comenzará a regir el 1 de noviembre.

Leonid Levin, director del comité de política de información de la Duma, dijo que la ley no pretende imponer restricciones a los ciudadanos respetuosos de la ley, sino que sólo pretende bloquear el acceso a "contenidos ilegales", según un reporte de la agencia de noticias RIA.

En caso de incumplimiento, las autoridades bloquearán las páginas de internet que permiten sortear el bloqueo de otras páginas prohibidas en Rusia, entre las cuales abundan, entre otros, medios de comunicación opositores al Kremlin y medios ucranianos.

A fin de facilitar a los operadores y gestores de recursos web el cumplimiento de la ley, el órgano de vigilancia pertinente (Roscomnadzor) creará un registro único que recogerá todos los sitios de internet prohibidos en el país.

También le corresponde a Roscomnadzor vigilar la red digital con el objetivo de descubrir y neutralizar las páginas web que incumplen con la nueva ley, aprobada hace apenas unos días por el Parlamento ruso.

Censura y libertad de prensa

La nueva normativa dota a este órgano de competencias para cooperar con las fuerzas de seguridad para identificar y localizar proveedores u otros agentes responsables de facilitar el acceso a recursos de internet bloqueados.

Desde la vuelta de Putin al Kremlin en 2012, pero sobre todo después de las multitudinarias manifestaciones opositoras de ese mismo año, Rusia ha aprobado una serie de leyes que restringen la actividad de la oposición y la libertad de prensa.

Fuente: ABC.es

SUECIA. Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos. Sin embargo, las consecuencias no han ido más lejos de, al cambio, 8.500$

¿Cómo comenzó todo?

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.

Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:

1. Capacidad de todas las carreteras y puentes.
2. Nombres, fotos y direcciones de pilotos de combate de las fuerzas aéreas..
3. Nombres, fotos y direcciones de todos los incluidos en el registro policial, los cuales se creían datos clasificados.
4. Nombres, fotos y direcciones de todos los operadores de las unidades de élite del país, el equivalente a los Navy SEAL.
5. Nombres, fotos, y direcciones de todos los testigos protegidos.
6. Tipo, módelo, tamaño, e incluso defectos en todos los vehículos militares, incluyendo sus operadores.

A pesar de que la brecha se produjo en 2015, no fue descubierta hasta 2016 y acabó con la renuncia de Maria Agren, directora general de la STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:

• https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Fuente: Hispasec

ESPAÑA. Bochornoso fallo de seguridad en el Sistema telemático de Justicia.

Después de que algunos abogados lo detectaran y lo reportaran, y tras varias mentiras por parte de LexNET, finalmente la compañía lo admitió y detuvo la plataforma para poder solucionar el fallo de seguridad.

Para acceder a la plataforma es necesario identificarse utilizando un certificado digital y una firma electrónica almacenada dentro de una tarjeta criptográfica. La seguridad, en este aspecto, es elevada. Sin embargo, una vez autenticado en el sistema, cada usuario tiene su área privada asociado a una simple URL, concretamente a un simple parámetro de la misma. Para el colmo, tras la última actualización del sistema, si un usuario cambia dicho parámetro por el ID de otro usuario de la plataforma, puede acceder a absolutamente todo su contenido, desde la bandeja de entrada hasta los documentos más confidenciales. Un fallo absurdo, estúpido y que hubiera sido detectado en las primeras fases de una auditoría de seguridad.

Frente al aviso del posible fallo en #LexNET, estamos revisándolo. Os mantendremos informados @SGJusticia

— LexNET Justicia (@lexnetjusticia) July 27, 2017

Varias horas más tarde de duro trabajo, la vulnerabilidad fue resuelta y el sistema y toda su información volvía a ser segura. ¿de verdad se lo creyeron?

600 MB de datos robados a LexNet: Documentos privados, certificados, código fuente, etc

Como hemos dicho, los responsables del mantenimiento de LexNet detectaron y solucionaron el problema de seguridad, volviendo a convertir esta plataforma en un lugar seguro y privado. Y esto no lo negamos, pero la solución llegó demasiado tarde.

El Confidencial informaba que el Ministerio de Justicia había confirmado el filtrado de más de 600 MB de datos de la plataforma. Entre estos datos se encuentran, por ejemplo, más de 11.000 documentos secretos sobre casos judiciales, certificados de los usuarios y, además, una gran parte del código fuente de la plataforma. El acceso no autorizado fue detectado igualmente el pasado 28 de julio, tras lo cual los técnicos de Justicia empezaron a borrar los archivos del servidor.

Estos datos, independientemente de la importancia de los documentos judiciales (que no es poca, precisamente), permiten conocer al detalle cómo funciona la plataforma y la expone a que cualquiera pueda auditar la seguridad y explotar posibles fallos de seguridad aún desconocidos y ocultos en el código. Además, se ha expuesto la arquitectura de la plataforma Orfila (incluido un “Manual de Explotación Orfila” para uso interno), el sistema que se encarga de conectar tribunales, juzgados, fiscalías con todo el sistema de sanidad en España.

Dentro de Orfila es posible encontrar información sensible sobre violaciones, maltrato, abusos o cualquier prueba médica o autopsia realizada a cualquier paciente. Todos estos datos, además, han sido descargados desde un servidor del Estado, servidor que ni siquiera pedía autenticación.

"En fin, así es LexNet, así es la Justicia y así hace las cosas el Gobierno de España".

Fuente: Redeszone.net

HBO. Anuncia que fue hackeado y medio asegura que robaron guión de "Game of Thrones"

El canal estadounidense de televisión por cable HBO dijo el lunes que piratas informáticos le han robado capítulos de algunos de sus programas, y según Entertainment Weekly entre el material hurtado estaría el guión de un episodio sin estrenar de la popular serie "Game of Thrones".

HBO, unidad de Time-Warner Inc, se negó a comentar sobre la programación específica robada en el ciberataque.

"Como muchos de ustedes probablemente ya han escuchado, hubo un incidente cibernético dirigido contra la compañía, que ha resultado en el robo de cierta información exclusiva, incluida parte de nuestra programación", escribió el presidente ejecutivo de HBO, Richard Plepler, en un mensaje a sus empleados que la empresa compartió con la prensa.

Mencionando que hay una "investigación en marcha", la compañía rechazó comentar sobre reportes que indican que guiones y episodios inéditos están entre el material hackeado.

Entertainment Weekly señaló que piratas informáticos robaron 1,5 terabytes de datos y que ya habían publicado en internet episodios inéditos de "Ballers" y "Room 104", junto con "un guión o tratamiento" del capítulo de la próxima semana de "Game of Thrones".

Reuters recibió un correo electrónico el domingo de una persona que se adjudicaba un robo de datos a HBO, entre ello parte de "Game of Thrones". La serie se encuentra en su séptima temporada y finalizaría el año que viene.

Fuente: Reuters

Múltiples vulnerabilidades en Microsoft Office Outlook

Microsoft ha publicado actualizaciones extraordinarias, no incluídas en el boletin mensual de seguridad, para corregir dos vulnerabilidades de severidad alta que afectan a las versiones de Microsoft Office y Microsoft Outlook. Estas vulnerabilidades podrían permitir que un atacante remoto ejecutara comandos arbitarios en un sistema objetivo, catalogadas de  Importancia: 4 - Alta

Recursos afectados:

• Microsoft Outlook 2016 (ediciones de 64 bits)
• Microsoft Outlook 2016 (ediciones de 32 bits)
• Microsoft Outlook 2010 Service Pack 2 (ediciones de 64 bits)
• Microsoft Outlook 2013 RT Service Pack 1
• Microsoft Outlook 2010 Service Pack 2 (ediciones de 32 bits)
• Microsoft Office 2016 Click-to-Run (C2R) para ediciones de 64 bits
• Microsoft Office 2016 Click-to-Run (C2R) para ediciones de 32 bits
• Microsoft Outlook 2013 Service Pack 1 (para ediciones de 32 bits)
• Microsoft Outlook 2013 Service Pack 1 (ediciones de 64 bits)
• Microsoft Office 2010 Click-to-Run (C2R) para ediciones de 64 bits
• Microsoft Office 2013 Click-to-Run (C2R) para ediciones de 64 bits
• Microsoft Office 2010 Click-to-Run (C2R) para ediciones de 32 bits
• Microsoft Office 2013 Click-to-Run (C2R) para ediciones de 32 bits

Recomendación

Microsoft ha publicado actualizaciones de seguridad para los recursos afectados. Dichas actualizaciones pueden descargarse desde el siguiente enlace: Security Update Guide https://portal.msrc.microsoft.com/en-us/security-guidance

Detalle e Impacto potencial de las vulnerabilidades corregidas

Las vulnerabilidades se deben a una gestión errónea de las entradas suministradas por el usuario en el software afectado. Un atacante podría explotar las vulnerabilidades persuadiendo a un usuario del sistema local para que abra e interactúe con un archivo malicioso, enviado por correo electrónico. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios con los privilegios del usuario. Si el usuario tiene privilegios elevados, el atacante podría comprometer completamente el sistema objetivo.

Fuente: INCIBE

CIBERATAQUES. El número crece un 40% en el segundo trimestre de 2017 respecto al anterior

Un 3,44% de los equipos protegidos por alguna solución de Panda Security ha sufrido ataques de amenazas desconocidas en el segundo trimestre de 2017, según datos de la compañía de ciberseguridad, lo que representa un incremento de un 40% respecto al registrado durante los tres primeros meses del año. Los ataques han afectado mayoritariamente a particulares y pequeñas empresas.

La empresa ha explicado en su segundo informe de 2017 que el segundo trimestre del presente año "ha sido uno de los más trepidantes de los últimos años en lo que a seguridad informática se refiere". En este mayor incremento han tenido un papel destacado los ciberataques globales WannaCry, en mayo, y el que fue identificado por nombres como GoldenEye o Petya, entre otros, que ocurrió entre mayo y junio. Las pérdidas económicas generadas por estos incidentes han alcanzado cifras de "entre 1.000 y 4.000 millones de dólares", ha recordado Panda Security en referencia a diferentes estudios.

Según datos recopilados por la compañía de ciberseguridad, el 3,44% de las máquinas protegidas por alguna solución de Panda Security ha sufrido ataques de amenazas desconocidas, "lo que supone un incremento de casi el 40% respecto al trimestre anterior". Dividido este dato en función del tipo de cliente, el estudio de la empresa española refleja que un 3,81% de los usuarios domésticos y pequeñas empresas ha sufrido un ataque en estos tres meses, por el 2,28% de las medianas y grandes empresas.

DESCARTADA UNA 'CIBERGUERRA'

Panda Security ha descartado a través de su informe la existencia de una 'ciberguerra' a pesar del volumen de los dos potentes ataques producidos entre abril y junio. "Hay escaramuzas como WannaCry o GoldenEye que, de una forma u otra, nos afectan a todos los ciudadanos del planeta", han indicado desde la compañía, añadiendo que al mismo tiempo "están teniendo lugar otros de forma silenciosa pero que son si cabe aún más graves", como han sido los "claros intentos" de manipulación de las elecciones de países como Francia o Estados Unidos.

El informe trimestral también ha presentado la lista de países más y menos atacados durante abril, mayo y junio. El Salvador (10,85%), Brasil (10,04%), Bangladés (9,77%), Honduras (9,44%) y Rusia (8,96%) han registrado la mayor actividad de cibertataques durante ese periodo, mientras las estadísticas de Panda Security han señalado a Suecia (0,42%), Noruega (0,47%), Eslovenia (0,64%), Finlandia (0,64%) y Dinamarca (0,71%) como los países de menor volumen de incidentes. España ha ocupado el decimoséptimo puesto en la lista de países con menor incidencia de ciberataques, con un 1,5%.

La compañía española ha identificado como "única explicación" al auge de ataques por 'ransomware' la existencia de víctimas que pagan las cantidades exigidas por los 'hackers' para desencriptar sus ficheros secuestrados. "Está en las manos de todos nosotros poner fin a estos ataques, por un lado protegiéndonos para evitar convertirnos en víctimas y por otro, tener siempre copias de seguridad de nuestra información para no pagar jamás un rescate", ha destacado Panda Security entre las conclusiones de su estudio trimestral.

Fuente: Europa Press

CIBERSEGURIDAD. El portal de ciberseguridad 'No More Ransom' en un año ayudó a más de 28.000 usuarios

La iniciativa 'No More Ransom', puesta en marcha por la Policía Nacional holandesa, Europol y las empresas de ciberseguridad McAfee y Kaspersky Lab, ha cumplido un año desde su puesta en marcha el 25 de julio de 2016, con un balance de actividad de más de 28.000 dispositivos descifrados por medio de sus herramientas.

A lo largo de este periodo, la actividad de ataques por 'ransomware' se ha visto marcada por la acción global de WannaCry y de otro virus que ha registrado distintas denominaciones como ExPetya, como lo ha identificado Kaspersky Lab. La compañía rusa ha recordado a través de un comunicado que el total de usuarios que entre abril de 2016 y marzo de 2017 se han visto afectados por este tipo de ciberataques creció en un 11,4% comparado con un año antes, "pasando de 2.315.931 a 2.581.026 los usuarios afectados en todo el mundo".

'No More Ransom' está disponible en 26 idiomas e incluye 54 herramientas de descifrado, ofrecidas por nueve 'partners', que abarcan 104 familias de 'ransomware'. Hasta ahora, este servicio ha recibido más de 1,3 millones de visitantes únicos y ayudado a descifrar más de 28.000 dispositivos. Su mayor pico de actividad se produjo en mayo, cuando estalló la crisis de WannaCry, que generó más de 150.000 visitas a la web de la iniciativa.

MÁS DE 109 SOCIOS

La iniciativa cuenta con 109 'partners', entre los que se encuentran organizaciones policiales como las de República Checa, Grecia, Hong Kong o Irán, las últimas en incorporarse a esta red de socios. Kaspersky Lab ha destacado que el éxito de la iniciativa "es compartido", ya que es imposible alcanzar los objetivos "aisladamente por una fuerza policial o alguien de la industria". Uniendo fuerzas "se ha podido combatir mejor a los cibercriminales e impedirles que hagan daño a las personas, empresas e infraestructuras críticas, de una vez por todas", ha afirmado la compañía de ciberseguridad.

Las fuerzas policiales de todo el mundo, en estrecha cooperación con los 'partners' privados, están realizando investigaciones sobre los cibercriminales de 'ransomware' y su infraestructura. Sin embargo, ha recordado Kaspersky Lab, la prevención "es sin duda mejor que la cura". "Los usuarios de internet deben ante todo intentar evitar convertirse en víctimas", ha advertido, indicando que la web de 'No More Ransom' ofrece numerosas recomendaciones sobre prevención. En caso de ataque, "es importante no pagar el rescate e informar de la infección a la policía".

Fuente: Europa Press

CIBERADICIÓN. Aumenta la adicción al móvil, reconocida por el 45,3% de la población de 18 a 24 años

Un 45,3% de los jóvenes españoles de entre 18 y 24 años se declara adicto a su 'smartphone', de acuerdo con un estudio elaborado por el comparador 'online' Rastreator.com. La cifra, superior en 17 puntos porcentuales a la media nacional, mantiene una tendencia ascendente respecto a los dos años anteriores: en 2016 era de 31,2% y en 2015 había alcanzado el 28,9%. Sin embargo, el informe aprecia un descenso del número de horas que este sector de población dedica a estos dispositivos.

Los 'smartphones' han provocado uno de los cambios más disruptivos de las últimas dos décadas, permitiéndonos comunicarnos y acceder a internet desde cualquier lugar y en cualquier momento. Con los años, estos dispositivos se han convertido en la herramienta clave para realizar todas las operaciones diarias de los españoles; tan importante es, que España ya lidera el 'ranking' mundial de penetración de móviles, con un 88% de usuarios únicos, 22 puntos por encima de la media mundial.

Sin embargo, el uso de estos dispositivos varía sustancialmente en función de la edad, y son precisamente las generaciones más jóvenes, conocidas como nativas digitales, aquellas que mayor dependencia están desarrollando hacia sus teléfonos móviles. Así se desprende del análisis realizado por Rastreator.com, en el que se analizan los hábitos de uso del móvil entre las personas de 18 a 24 años.

CRECIENTE ADICCIÓN AL 'SMARTPHONE'

El uso intensivo del móvil provoca en los usuarios la necesidad de llevarlo consigo en todo momento y estar permanentemente pendientes de él. Este fenómeno ha llegado hasta tal punto que ya prácticamente la mitad (45,3%) de los jóvenes se declaran adictos a su terminal, según el 'IV Estudio de Comparación Online hacia el Ahorro Inteligente', elaborado por el comparador y difundido a través de un comunicado.

Este porcentaje es 17 puntos superior a la media nacional y casi triplica el de otras franjas de edad como la de mayores de 55 años (solo un 16%). Pero, además, estos datos muestran una creciente adicción año tras año, una tendencia ascendente que en esta generación es más evidente que en el resto. De esta forma, en esta edición del estudio, el porcentaje de jóvenes que se considera adicto al móvil ha subido considerablemente: 14 puntos porcentuales respecto a 2016 (31,2%) y más de 16 puntos respecto a 2015 (28,9%).

Tan dependientes se han vuelto muchos jóvenes que incluso un 52% reconoce que está pendiente de su móvil siempre que está con amigos, familiares o en pareja, ocho puntos más que la media de la población española. Esta necesidad de estar enganchados permanentemente puede derivar en fenómenos sociales como el 'phubbing' o la nomofobia, cada vez más extendidos.

MENOS HORAS DEDICADAS AL MÓVIL

A pesar de la creciente adicción al móvil que admite gran parte de los jóvenes, el aumento de concienciación sobre este problema está derivando en un intento de reducir sus horas de uso diario. Las personas de 18 a 24 años son la franja de edad que más lo utiliza: una media de cinco horas y 25 minutos cada día, dos horas más que la media nacional. Sin embargo, esta cifra se ha reducido en una hora y 23 minutos respecto a la media de los jóvenes del año pasado, lo que pone de manifiesto que esta generación está tratando de hacer un uso más responsable de sus dispositivos móviles.

Precisamente, el estudio de Rastreator.com muestra que el móvil se ha integrado de tal forma en la rutina de los jóvenes que el 73% de ellos afirma que mirarlo es lo primero que hace al levantarse y lo último al acostarse. Además, ocho de cada diez declaran que no podrían vivir sin su 'smartphone' --frente al 75% de la media nacional-- y el 43,3% preferiría incluso perder la cartera antes que el móvil.

Fernando Summers, CEO de Rastreator.com, ha señalado que "aunque es innegable que el teléfono móvil es indispensable en la rutina de todos los españoles, no debemos perder de vista la necesidad de utilizarlo con cabeza para evitar patologías derivadas de un uso abusivo". El responsable del comparador 'online' ha añadido que "es esencial ser conscientes del uso real que hacemos de nuestro 'smartphone' y tratar en consecuencia de ser responsables". En esta línea, ha zanjado, el estudio de Rastreator.com demuestra que, aunque cada vez más jóvenes consideran que tienen adicción a estos dispositivos, "también están haciendo un esfuerzo por pasar menos tiempo conectados".

Fuente: Reuters

COPYFISH. Extensión para Google Chrome secuestrada e infectada con adware

CopyFish es un software de OCR para Google Chrome que permite extraer textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con 37.740 usuarios, que recibieron el pasado 29 de julio una nueva actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de phishing dirigido a uno de los desarrolladores, los atacantes lograron acceder a su cuenta de "Google extensions" y robar la aplicación, transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado en https://chromedev.freshdesk.com

Tras modificar la aplicación, publicaron la nueva versión del plugin (V2.8.5) en el repositorio de Google.

Los usuarios empezaron a reportar anuncios y spam en las webs que visitaban, lo que levantó las sospechas de los desarrolladores, que en ese punto ya habían perdido el control sobre su aplicación.

Gracias a un usuario de la comunidad de HackerNews se pudo contactar con uno de los administradores de UNPKG, un CDN para paquetes 'npm' que utilizaba la extensión maliciosa. Gracias a esto se pudo desactivar rápidamente el malware:

https://unpkg.com/copyfish-npm-2-8-5@1.0.1501416918/

https://www.npmjs.com/package/copyfish-npm-2-8-5

El pasado 1 de agosto el soporte técnico de Google devolvió la aplicación a sus legítimos desarrolladores, que actualizaron rápidamente el plugin con una versión limpia:

UPDATE August 1, 2017: This is the new, updated and SAFE version of Copyfish. For more details on what happened please see https://a9t9.com/blog/chrome-extension-adware/

Además se desactivó la versión maliciosa para los usuarios que aún la tenían instalada.

A día de hoy la versión infectada ya está desactivada y se han tomado las medidas de seguridad oportunas. Decir que sólo afecta a Google Chrome, la versión para Firefox no ha sido comprometida.

Más información:

·        Extensión oficial en Google https://chrome.google.com/webstore/detail/copyfish-%F0%9F%90%9F-free-ocr-soft/eenjdnjldapjajjofmldgmkjaienebbj

·        Comunicación oficial de los desarrolladores https://a9t9.com/blog/chrome-extension-adware/

·        Conversación en HackerNews https://news.ycombinator.com/item?id=14888010

Fuente: Hispasec.com

LEAKERLOCKER. Es el malware para Android que amenaza con chivarse a tus contactos

Nacido a principios de 2016 y repuntando en los últimos días, LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes...) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos... Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

1.    Hay más de 10 contactos y más de 10 fotos

2.    Constan 3 o más registros de llamadas

3.    La aplicación se ha descargado a través de Google Play

Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.

Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:

No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)

Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso...)

Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado...)

No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o "hackear" WhatsApp, si es que te mereces la infección...)

Más información:

• LeakerLocker Mobile Ransomware Threatens to Expose User Information http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/
• LeakerLocker: Mobile Ransomware Acts Without Encryption  https://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551
• LeakerLocker Ransomware Found in Two Apps on the Google Play Store https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/
• Twitter: #leakerlocker https://twitter.com/hashtag/leakerlocker

Fuente: Hispasec

DEFCON. Poniendo a prueba la seguridad de las máquinas de votación

El pasado fin de semana se celebró la famosa conferencia de seguridad DefCon en su 25ª edición. En esta ocasión,  el gobierno norteamericano cedió algunas máquinas de votación ya retiradas para que los investigadores disfrutaran y a la vez encontraran agujeros de seguridad para mejorar las nuevas remesas de máquinas.

Una de las máquinas cedidas fue la “ExpressPoll 5000”, que utilizaba un antiguo slot PCMCIA para transferir archivos, además de almacenar distintas bases de datos. Para empezar, hicieron un pequeño chequeo al sistema para sacar información general, como:

1.    Sistema operativo Windows CE 5.0

2.    El software estaba desarrollado en una aplicación usando .NET.

3.    El software utilizaba WinForms en la interfaz de usuario.

4.    El “bootloader” era propietario.

5.    La arquitectura del procesador era ARM.

6.    Contenía un fichero de base de datos en una tarjeta de memoria.

Tras probar múltiples exploits típicos para esta versión de Windows sin éxito, los investigadores se centraron en otro vector de ataque: la tarjeta de memoria.

Al arrancar el sistema con la tarjeta de memoria insertada, el bootloader comprueba un archivo llamado NK.BIN. Si está presente, lo carga en memoria RAM sin ningún tipo de comprobación de autenticidad. En ese momento se puede cambiar el firmware de manera permanente.

En este caso el archivo NK.BIN se utiliza para actualizaciones de Windows CE 5.0 en dicha máquina, pero un atacante puede subir y ejecutar cualquier Kernel NT e incluso una imagen con Linux (aunque esta última posibilidad no fue probada).

Inyección del nuevo bootloader

De manera similar a la que se cambia el firmware, también es posible cambiar el bootloader del sistema utilizando el fichero “EBOOT.BIN”. Se carga sin comprobar ninguna firma de integridad, al igual que el NK.BIN. Por desgracia esta vez la inyección no funcionó y el dispositivo quedó inservible.

Sobreescribiendo el archivo de recursos de la aplicación .NET

Cuando el software de ExpressPoll se lanza desde el botón “Lanzar” carga desde la tarjeta de memoria el archivo llamado “ExPoll.resources”. La idea de este archivo es poder definir imágenes, cadenas, botones, layouts, etc. Está pensado para personalizar la aplicación, por ejemplo sustituyendo el logotipo de Diebold.

El punto de fallo en el sistema es que los botones (y potencialmente otros elementos de la interfaz) se pueden sobreescribir para hacer otras acciones diferentes, como ejecutar un archivo almacenado en la tarjeta de memoria o ejecutar un comando en Windows CE.

La vulnerabilidad ha sido confirmada creando un archivo de recursos aleatorio de .NET, nombrándolo ExPoll.resources y copiándolo a la tarjeta de memoria. Como era de esperar, el sistema mostró un error, lo que significa que la carga del archivo funcionó. Pero al cargar un archivo corrupto se copió a memoria y dejando el sistema inservible en el proceso.

Bases de datos SQLite3

Pero sin duda una de las vulnerabilidades que más llamaron la atención es la del archivo de base de datos llamado “PollData.db3” en la tarjeta de memoria. Esta base de datos contenía toda la información de las encuestas, votantes… Usando esta información nos encontramos con varios tipos de posible ataques:

Filtración de información: Un atacante puede fácilmente extraer la tarjeta de memoria y reemplazarla por una que esté vacía.

Falsificación de información: Un atacante podría crear su propia base de datos y, reemplazando la tarjeta, cambiar los votos por unos falsos.

Puertos USB abiertos

El dispositivo dispone de una serie de puertos USB donde un atacante puede introducir un dispositivo para lanzar un ataque. A partir de aquí, las posibilidades quedan abiertas a la imaginación del lector.

Servidor web por defecto en WinCE

Windows CE tiene por defecto un servidor web abierto en el puerto 80 que se podría considerar como un riesgo de seguridad. Por ahora no han conseguido ningún ataque usando este vector, pero la investigación sigue abierta.

Los investigadores probaron otra serie de ataques, como desbordamientos de memoria usando “Bash Bunny” a través de los puertos USB, o introduciendo una base de datos de SQLite mayor de 1GB, sin que llegara a funcionar.

Más información:

• Hacking Voting Machines at DEF CON 25 https://blog.horner.tj/post/hacking-voting-machines-def-con-25

Fuente: Hispasec

SHIELDFS. Sistema de ficheros anti-ransomware

ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.

En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

 Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.

Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

 Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.

Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

 Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

 ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.

Más información:

• SHIELDFS: A Self-healing, Ransomware-aware Filesystem  http://shieldfs.necst.it/
• ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]  http://shieldfs.necst.it/continella-shieldfs-2016.pdf

Fuente: Hispasec

LIPIZZAN. Nuevo Malware espía detectado en Google Play

Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.

El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Cómo infecta Lipizzan

El virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:

1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.

Muestra de la segunda componente:

Media Server [https://koodous.com/apks/1ba8d5f45e8cd545cc3b919bea80e7bd5c6c85fc822f52edc0669191536d43da/analysis  ]

Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.

Lista negra de aplicaciones

"blacklist_apps": ["org.antivirus", "com.antivirus", "com.avast.android.mobilesecurity", "com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security", "com.kms.free", "com.kaspersky.kes", "com.kaspersky.lightscanner", "com.cleanmaster.mguard", "com.lookout.enterprise", "com.wsandroid.suite", "com.eset.ems2.gp", "com.symantec.enterprise.mobile.security", "com.qihoo.security",

"org.malwarebytes.antimalware", "com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid", "com.bitdefender.antivirus", "com.zimperium.zips", "com.psafe.msuite", "com.sophos.smsec", "com.drweb", "com.drweb.mcc", "com.bullguard.mobile.mobilesecurity", "com.bullguard.mobilebackup", "net.nshc.droidx3", "net.nshc.droidx3web", "com.sophos.appprotectionmonitor", "com.sophos.smsec", "com.sophos.mobilecontrol.client.android", "com.sophos.smenc", "com.comodo.cisme.antivirus", "com.quickheal.platform", "com.mobandme.security.virusguard", "de.gdata.mobilesecurity", "de.gdata.securechat", "com.webroot.security.sme", "com.webroot.secureweb", "com.ahnlab.v3mobileplus", "com.antiy.avlpro", "com.antiy.avl"],

Servidor de contacto

"api_url": " https://vps.equus-tech.com:44001  ",

Más información:

• Información oficial de los desarrolladores de Google https://android-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html
• Repositorio con muestras de Lipizzan https://github.com/fs0c1ety/Android-Malwares/tree/master/Lipizzan

Fuente: Hispasec

De los creadores de SambaCry llega CowerSnail

El mismo grupo de atacantes – sin nombre conocido aún – que crearon SambaCry han creado este nuevo malware, el cual tiene como objetivo a sistemas Windows.

SambaCry fue detectado a principios de junio como un ataque que utilizaba la vulnerabilidad CVE-2017-7494 de Samba (de la que adquiere el nombre) para distribuirse. El objetivo de este malware es aprovechar los recursos del equipo infectado para minar criptomonedas, tales como Bitcoin, Latecoin, Monero, etc., instalando para ello el software CPUminer en el equipo víctima.

CowerSnail, es un backdoor que permite a los atacantes ejecutar cualquier comando en los sistemas infectados. Curiosamente, ambos troyanos usan el mismo C&C: cl.ezreal.space:20480. Lo que apunta a que ambos provienen de los mismo creadores según los investigadores de Kapersky Labs, que descubrieron ambas amenazas.

Sin embargo, hay pocas similitudes más allá de esta. Mientras que SambaCry atacaba a sistemas *nix, CowerSnail está enfocado a sistemas Windows. Además, algunos investigadores aseguran que este nuevo troyano cuenta con otras características especiales, como la recolección de información del equipo que infecta, y que van más allá de instalar software de minado.

Sergey Yunakovsky, de Kapersky Labs, afirma que:

Después de crear dos troyanos separados, cada uno para una plataforma específica, es muy probable que este grupo continúe produciendo malware en el futuro.

Más información:

• CowerSnail, from the creators of SambaCry: https://securelist.com/cowersnail-from-the-creators-of-sambacry/79087/

Fuente: Hispasec

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras

SLocker es un ransomware para Android que cifra los archivos y bloquea la pantalla. Se caracteriza por haberse hecho pasar por distintas fuerzas de seguridad de los estados, e incluso por el mismísimo WannaCry, para cobrar el rescate.

Una versión de SLocker la que se disfraza de WannaCry

Como si de una herramienta open source cualquiera se tratase, hace unos días se publicó en GitHub el código fuente de SLocker. El responsable, un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la descripción, no es el código fuente original, sino el obtenido tras decompilar una muestra con técnicas de ingeniería inversa. Parece ser que este usuario le está cogiendo el gustillo a eso de decompilar malware para Android y publicar el código fuente, como muestra otro nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl, otro peligroso malware para Android que, según la versión, recopila datos personales del terminal, secuestra funcionalidades del teléfono, o todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay información en la red de sobra, vamos a centrarnos en la publicación de su código fuente. El que publica especifica que el código fuente debe ser usado únicamente con propósitos de investigación en seguridad informática. Pero las palabras son sólo palabras, y el patrón es conocido de sobra: se publica el código fuente de un malware y en los días sucesivos florece una gran variedad de versiones de este, compiladas usando como base el código fuente publicado. La verdad, no podemos saber a ciencia cierta la intención de este usuario de GitHub que pide ayuda en una issue (ticket) para compilar el malware.

El código fuente público de malware atrae principalmente a delincuentes con perfil bajo, y no se espera un gran impacto a pesar de la liberación. Los delincuentes más experimentados suelen preferir programar ellos mismos el malware o comprarlo hecho a terceros con soporte y garantía de no ser demasiado público (y por tanto demasiado investigado y detectado). Al no ser atacantes muy sofisticados, los medios de propagación del malware tampoco lo serán, y seguramente se limitarán a intentar colar troyanos usando ingeniería social (haciendo pasar el malware por una herramienta para rootear el móvil o hacer trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el usuario. Una vez tienes todo software del terminal actualizado, el resto es sentido común. No instales aplicaciones sospechosas (ni siquiera si vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad necesitas esa aplicación para hacer trampas en un videojuego? Te puede costar un mal rato...

Más información:

• SLocker decompiled code leaked online for free, a gift for crooks and hackers http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html
• Android Smartphones Targeted by WannaCry Lookalike https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/
• Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/
• Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Fuente: Hispasec