13 de julio de 2019

EEUU. Multa histórica a Facebook de 5.000 millones de dólares por escándalos de de privacidad,

Ya se veía venir, incluso en abril de este año nos enteramos que Facebook había reservado 3.000 millones de dólares para la multa que se avecinaba por los casos de Cambridge Analytica y el resto de escándalos de privacidad, que no son pocos. Hace unos momentos, The Wall Street Journal publicó que tuvo acceso a la votación donde se determinó que Facebook tendrá que pagar 5.000 millones de dólares de multa por no proteger los datos de sus usuarios.
Según la información, Mark Zuckerberg llegó a un acuerdo con la Comisión Federal de Comercio en Estados Unidos (FCC) por sus repetidas violaciones a la privacidad. Dicho acuerdo contempla que Facebook pagará la multa histórica, mientras que la FCC aplicará nuevos controles para conocer las acciones de la compañía de Zuckerberg, aunque hasta el momento se desconocen los detalles de esto último.
Sería la mayor multa en la historia de EEUU hacía una tecnológica
Este acuerdo, en caso de confirmarse, reflejaría una nueva postura más agresiva por parte de los reguladores estadounidenses, ya que estaríamos ante la multa más grande que ha aplicado el gobierno de Estados Unidos a una compañía tecnológica. Anteriormente, en 2012, Google tuvo que pagar 22,5 millones de dólares de igual forma por malas prácticas de privacidad.
Fuentes de WSJ, y recientemente de New York Times y Washington Post, señalan que la votación dentro de la FCC fue de 3 a 2, donde tres senadores republicanos fueron quienes estuvieron a favor de la multa, mientras que los dos senadores restantes, demócratas, votaron en contra.
Ahora lo siguiente será pasar el resultado al Departamento de Justicia (DoJ) quien tendrá que ratificar el voto de la FCC. Según la información, el DoJ rara vez rechaza un acuerdo del FCC, por lo que se espera que sea aprobado y ejecutado en los próximos días.
Adicional a la multa, Facebook también habría aceptado una supervisión más exhaustiva de sus prácticas dentro del manejo de datos de los usuarios, pero se dice que no habría restricciones sobre el cómo recopila y comparte toda esa información. Esta decisión es la que habría dividido la votación, ya que los dos demócratas en contra buscaban imponer restricciones más duras a la compañía de Zuckerberg.
Se cree que esta multa histórica busca ser un ejemplo al mostrarse como una de las acciones regulatorias más estrictas del gobierno de Trump, una especie de llamado de atención a la industria y una forma de adoptar un poco lo que ocurre en la Unión Europea con este tipo de casos que suelen ser severamente castigados.
A pesar de todo esto, tras darse a conocer la noticia, las acciones de Facebook se dispararon hasta los casi 206 dólares, que es el precio más alto alcanzado en el último año.
Fuente: Xataka

'MALWARE'. Infecta 25 millones de móviles Android y sustituye aplicaciones por código malicioso

La compañía de ciberseguridad Check Point ha descubierto un 'malware' que se aprovecha de vulnerabilidades del sistema operativo Android y reemplaza aplicaciones por códigos maliciosos sin que los usuarios sean conscientes y ha infectado alrededor de 25 millones de teléfonos móviles.
El 'malware', que se conoce como 'Agent Smith', simula ser una aplicación de Google y a través de vulnerabilidades de los teléfonos móviles Android sustituye aplicaciones ya instaladas por versiones con un codigo malicioso integrado para acceder a los dispositivos, como ha explicado Check Point en un comunicado.
Agent Smith utiliza su amplio acceso a los recursos de los dispositivos para mostrar anuncios fraudulentos para lucrarse, pero también podría utilizarse para fines mucho más intrusivos y perjudiciales, como el robo de credenciales bancarias y las escuchas clandestinas.
Este virus afectó principalmente usuarios de habla hindi, árabe, ruso o lenguas de Indonesia y las principales víctimas se encuentran en la India, aunque otros países asiáticos como Pakistán y Bangladesh también se han visto afectados.
Países como Reino Unido, Australia y Estados Unidos también han registrado un número de usuarios afectados por este malware y Check Point ha estado trabajando con Google intentando solucionar el promblema. Según la empresa de ciberseguridad, "en este momento no queda ninguna aplicación infectada en Play Store".
CÓMO DESHACERSE DEL 'MALWARE'
La limpieza del dispositivo y eliminar este software malicioso se realiza de una manera u otra dependiendo del sistema operativo del móvil. En el caso de móviles Android, se debe ir al menú y seleccionar el gestor de aplicaciones y desde ahí seleccionar las aplicaciones sospechosas y desinstalarlas o eliminar todas las aplicaciones instaladas recientemente.
En el caso de los iPhone, Check Point recomienda ir a menú, iniciar Safari y en la lista de opciones, seleccionar la opción 'bloquear pop-ups' y luego ahí, en 'opciones avanzadas', redirirgirse a 'datos web' y eliminar los datos de cualquier página web que esté en la lista y no reconozcas.
Fuente: Europa Press

Vulnerabilidad en videollamadas Zoom expuso cámaras web de ordenadores Mac a ataques DoS

La aplicación de videoconferencias Zoom ha resuelto una vulnerabilidad día cero en los dispositivos Mac que permitía a páginas de Internet acceder a la cámara del ordenador sin el permiso del usuario e incluso, a través de esta técnica, llevar a cabo un ataque de denegación de servicio (DoS, por sus siglas en inglés).
Esta vulnerabilidad se debe a que la instalación de la aplicación requiere intalar un servidor que permite solicitudes que no aceptarían navegadores habituales. El fallo podría hacer afectado a más de 4 millones de usuarios y un total de 750 mil empresas a nivel global, según explica en su web el experto en ciberseguridad Jonathan Leitschuh.
Zoom emplea un sistema de enlaces para acceder a las videoconferencia que permite que cualquiera pueda invitar a otro usuario, haya descargado o no la aplicación en su ordeanador Mac.
La vulnerabilidad reside en que, al hacer clic en este link de invitación, se une al usuario automáticamente a una videollamada de conferencia con su cámara encendida, obligándole a entrar en la llamada incluso sin su permiso.
Según ha explicado Leitschuh, la vulnerabilidad de Zoom permite también que cualquier página web pueda llevar a cabo un ataque de denegación de servicio contra usuarios de Mac al enviar de forma repetida invitaciones a una videollamada no válida.
Además, después de haber desinstalado la aplicación, esta vulnerabilidad sigue presente en el dispositivo, ya que el servidor que se descarga permanece en el ordenador y puede reinstalar el 'software' sin permiso del usuario.
Para evitar esta vulnerabilidad se debe mantener la aplicación actualizada y deshabilitar la configuración que permite a Zoom encender su cámara de manera automática cuando el usuario se une a una reunión. También se puede desactivar el servidor pero requiere ejecutar algunos comandos de terminal.
Según Leitschuh, ya le había comunicado esta vulnerabilidad a la empresa Zoom el pasado marzo y explica que la vulnerabilidad se corrigió en un punto desde entonces, pero que una regresión este mes hizo que la vulnerabilidad volviera a funcionar. El problema se corrigió de nuevo este martes.
Fuente: Europa Press

Descubren un nuevo 'ransomware' en Windows que usa la CPU para esconderse

La compañía de ciberseguridad Kaspersky ha descubierto un nuevo 'ransomware' de cifrado llamado Sodin que explota una vulnerabilidad de día cero en Windows para obtener privilegios elevados en un sistema infectado, y que aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar la detección.
El uso de la arquitectura de la CPU es una funcionalidad que no se ve a menudo en un 'ransomware', como asegura Kaspersky en un comunicado. Además, en algunos casos, el 'malware' no requiere la interacción del usuario y los hackers simplemente lo insertan en servidores vulnerables.
El cifrado o bloqueo de datos o dispositivos acompañado de una demanda de dinero, más conocido como 'ransomware', es una ciberamenaza duradera que afecta a individuos y organizaciones.
La mayoría de las soluciones de seguridad detectan versiones conocidas y vectores de ataque establecidos. Sin embargo, enfoques sofisticados como el de Sodin, que implica la explotación de una vulnerabilidad de día cero recientemente descubierta en Windows (CVE-2018-8453) para escalar privilegios, podrían ser capaces de eludir las sospechas por un tiempo.
El 'malware' parece formar parte de un esquema RAAS (ransomware-as-a-service), lo que significa que sus distribuidores son libres de elegir la forma en la que se propaga el encriptador. Hay indicios de que el 'malware' se está distribuyendo a través de un programa de afiliados.
Así, los desarrolladores del 'malware' han dejado una funcionalidad oculta que les permite descifrar archivos sin que sus afiliados lo sepan: una 'llave maestra' que no requiere una clave del distribuidor para su descifrado (normalmente las claves del distribuidor son las que se utilizan para descifrar los archivos de las víctimas que pagaron el rescate).
Además, normalmente el 'ransomware' requiere alguna forma de interacción del usuario, como abrir un archivo adjunto a un mensaje de correo electrónico o hacer clic en un enlace malicioso. Los atacantes que usaron Sodin no necesitaban esa ayuda: normalmente encontraban un servidor vulnerable y enviaban un comando para descargar un archivo malicioso llamado "radm.exe". Esto les permitía guardar el 'ransomware' de forma local y ejecutarlo.
La mayoría de los objetivos del ransomware Sodin se encontraron en Asia: el 17,6 por ciento de los ataques se detectaron en Taiwán, el 9,8 por ciento en Hong Kong, y el 8,8 por ciento en la República de Corea. Sin embargo, también se han observado ataques en Europa, América del Norte y América Latina.
La nota de rescate que se deja en los equipos infectados requiere un valor en bitcóins de 2.500 dólares estadounidenses por cada víctima.
Sodin hace uso también de la técnica 'Heaven's Gate' para dificultar la detección. Esto permite a un programa malicioso ejecutar código de 64 bits desde un proceso en ejecución de 32 bits, algo que no es una práctica común y que no ocurre a menudo en el 'ransomware'.
"El 'ransomware' es un tipo de 'malware' muy popular, pero no es frecuente que veamos una versión tan elaborada y sofisticada: usar la arquitectura de la CPU para pasar desapercibido no es una práctica común para los encriptadores", ha apuntado el investigador de seguridad de Kaspersky Fedor Sinitsyn.
La vulnerabilidad CVE-2018-8453 que utiliza el 'ransomware' fue detectada anteriormente siendo explotada por un actor de amenazas que los investigadores creen que es el grupo de 'hacking' FruityArmor, y fue reparada el 10 de octubre de 2018.
Fuente: Europa Press

Apple soluciona una vulnerabilidad de iMessage que bloqueaba los iPhone

Apple ha solucionado un 'bug' presente en su aplicación de mensajería propia iMessage, presente en el sistema iOS y en macOS, que era capaz de reiniciar el equipo en el caso de los ordenadores y de bloquear completamente un iPhone.
La vulnerabilidad día cero de iMessage ha sido descubierta por el programa de seguridad Project Zero de Google, fue advertida originalmente en el mes de abril y Apple la solucionó en la actualización 12.3 de iOS, ya distribuida.
El 'bug' de la aplicación de mensajería reside en el método IMCore, que puede lanzar una excepción a mensajes mal formados, que asumen que se trata de un 'string' de código sin comprobarlo.
El fallo tiene efectos distintos en los sistemas iOS y macOS, ya en los equipos de sobremesa solamente causa el reinicio debido al error, pero en los iPhone, "recibir este mensaje causa que Springboard -el escritorio de iOS- falle y reaparezca repetidamente", según project Zero.
Debido a este error, la interfaz de usuario no se muestra y el teléfono se bloquea, dejando de responder a las acciones del usuario. Esta situación continúa incluso tras el reinicio y "hace que el teléfono sea inutilizable en cuanto se bloquea".
La única alternativa es restablecer el sistema y perder los datos del dispositivo, según ha advertido Google sobre este fallo de seguridad, ya arreglado mediante una actualización de seguridad en iOS 12.3
Fuente: Europa Press

CONTROL. De redes sociales y WiFi públicas, claves para proteger a menores de ciberriesgos

Con la llegada del verano y de las vacaciones escolares, los menores disponen de más tiempo de ocio, y gran parte de este tiempo lo dedican a las nuevas tecnologías. De acuerdo con la encuesta 'España en Cifras' del INE, en España el 26,2 por ciento de los menores con 10 años tiene móvil propio; un porcentaje que sube al 94,8 por ciento cuando llegan a los 15 años.
Con el mayor uso crecen también los ciberriesgos que afrontan los menores y que deben supervisar sus padres o tutores, que pueden evitar mediante una serie de buenas prácticas como la supervisión en redes sociales y del control de datos personales en redes WiFi públicas. Así lo ha recomendado el experto en ciberseguridad de la empresa tecnológica Nunsys y cibercooperante del Instituto Nacional de Ciberseguridad (INCIBE) José Luís Jiménez.
En las vacaciones de verano, los menores optan por las nuevas tecnologías como una forma de ocio y aprendizaje, sometiéndose a una serie de riesgos en la red de los que deben ser conscientes. Como solución, Jiménez propone informarles "de una manera adecuada a su edad".
A partir de un estudio publicado por la consultora Edelman, que ha revelado que el 74 por ciento de los menores pasa menos de una hora al día fuera de casa en esta época, Jiménez ha propuesto "incentivar otras formas de ocio", como la lectura, el ejercicio o las actividades artísticas.
En relación a esto, es recomendable que los menores limiten las horas de uso de tecnología para evitar episodios de dependencia que pueden verse reflejados cuando vuelvan a la rutina escolar tras el periodo vacacional en síntomas como mayor irritabilidad o problemas de concentración.
Por su parte, es importante la configuración correcta del dispositivo, ya sea móvil o tablet, actualizando el sistema operativo e instalando un antivirus, para evitar que otras personas puedan controlar la cámara y micrófono del terminal.
Se recomienda instalar aplicaciones de control parental que permitan a los adultos ver y controlar lo que los niños están haciendo en Internet, de tal manera que puedan detectar si el menor está sufriendo ciberacoso por parte de desconocidos, y tomar las medidas correspondientes al respecto.
Además, Jiménez propone "evitar introducir datos sensibles", como contraseñas o números PIN mientras se estén utilizando redes WiFi públicas como las que se ofrecen en restaurantes u hoteles.
También destaca la importancia de supervisar el uso que se da a las redes sociales, de tal manera que afirma que lo correcto es "nunca publicar fotos en las que se reconozca a los menores ni revelar detalles personales".
Un informe de Online Nation, publicado por Ofcom, oficina de comunicaciones de Reino Unido para las industrias de transmisión, telecomunicaciones y correos, ha revelado que en el 79 por ciento de los casos de jóvenes de entre 12 y 15 años que han tenido malas experiencias 'online', la causa han sido las redes sociales.
INCIBE ha publicado recientemente la 'Guía de mediación parental', un manual editado a través de su canal Internet Segura for Kids (IS4K) dirigido al público infantil y a padres que apuesta por el acompañamiento familiar y la mediación parental para garantizar un uso seguro de la tecnología por parte de los menores educándoles en ciberseguridad en función de su edad y madurez.
Fuente: Europa Press

App fraudulenta ofrece descargar actualizaciones de Samsung, que la compañía ofrece gratis

Más de 10 millones de usuarios han descargado una aplicación fraudulenta de descarga de actualizaciones Samsung, 'Updates for Samsung', que redirige a los usuarios a una página sobrecargada de anuncios y cobra por servicios gratuitos, y que nada tiene que ver con la compañía surcoreana.
El CSIS Security Group ha alertado sobre una aplicación no oficial y fraudulenta que sigue disponible en Google Play que se llama 'Updates for Samsung'. Esta aplicación ofrece el servicio de descargar las actualizaciones de 'firmware' para los dispositivos de Samsung, un servicio que en realidad se puede ejecutar de manera gratuita directamente desde el apartado de 'Ajustes' del propio móvil Samsung, pero que no impidió que más de 10 millones de usuarios descargaran al 'app'.
La empresa de ciberseguridad señala que aparte de mostrar una sobrecarga de anuncios, la aplicación ofrece una suscripción anual para descargar las actualizaciones del 'firmware' de Samsung por 34,99 dólares. Sin embargo, señalan que el pago no se realiza a través de Google Play, sino que la aplicación solicita que el usuario depositase los datos de su tarjeta bancaria.
Desde CSIS Security Group matiza que la aplicación sí permite realizar descargas gratis del firmware, pero la velocidad de descarga esta limitada a 56 KBps, lo que supone que una descarga habitual tarda unas cuatro horas en completarse, pero, además, el dispositivo suele fallar durante este proceso y recurrir a un mensaje de tiempo expirado, obligando de esta forma a los usuarios a optar por la ruta de pago.
Según las pruebas realizadas por CSIS, aun usando una red fiable las descargas gratuitas no llegaban a completarse. La aplicación también asegura que ofrece un servicio de desbloqueo de cualquier SIM por 19,99 dólares.
Fuente: Europa Press

RECONOCIMIENTO FACIAL. Son inocentes 4 de cada 5 sospechosos detectados por Londres

Cuatro de cada cinco personas que son identificadas como sospechosas a través del sistema de reconocimiento facial que prueban actualmente las fuerzas policiales de Londres resultan ser inocentes, como ha revelado un informe independiente que alerta sobre los fallos de esta tecnología y sobre que su uso podría vulnerar los derechos humanos.
El estudio del sistema empleado por la Policía Metropolitana de Londres fue encargado por Scotland Yard y realizado por académicos de la Universidad de Essex, quienes evaluaron la precisión de la tecnología en seis de las diez pruebas realizadas en la capital británica. La Policía de Londres comenzó a emplear estas medidas de seguridad en el carnaval del barrio de Notting Hill de 2016.
Un 81 por ciento de los individuos que fueron detectados por el sistema de reconocimiento facial como sospechosos que formaban parte de una lista de personas buscadas de las fuerzas de seguridad británicas resultaron ser inocentes.
De un total de 42 identificaciones, solo ocho resultaron ser correctas, lo que supone una tasa de error del 81 por ciento. Cuatro de los 42 eran personas que nunca fueron encontradas porque se perdieron por la multitud, por lo que no se pudo verificar la identificación.
La Policía Metropolitana de Londres ha defendido que estos datos no son correctos, según recoge Sky News, y mantienen que el sistema posee un margen de error de 0,1 por ciento. Calcularon este margen comparando las coincidencias exitosas y no exitosas con el número total de caras procesadas por el sistema de reconocimiento facial.
Según los investigadores, "es altamente posible que el despliegue policial de la tecnología de reconocimiento facial pueda considerarse ilegal si se lleva a los tribunales", y acusan a la Policía Metropolitana de Londres de haberse centrado en los aspectos técnicos obviando los aspectos no técnicos.
Los problemas destacados en el estudio se centran en que "no hay una autorización legal explícita" para el uso de estos sistemas en la legislación británica, y a que resulta "improbable que satisfaga los requisitos establecidos por los derechos humanos".
Fuente: Europa Press

CHINA. Instala app de vigilancia en móviles de turistas que entran en Sinkiang

China instala una aplicación de vigilancia y seguridad en los móviles de todos los que cruzan la frontera en la región de Sinkiang, que registra el contenido almacenado y realiza búsquedas con temas controvertidos en el país.
Según The New York Times, en la entrada del territorio Chino de Sinkiang -en el oeste del país, y con frontera con Asia Central- las autoridades requieren la entrega de los móviles e instalan una aplicación que registra y rastrea los dispositivos de todos los que crucen por esta frontera.
La instalación de esta aplicación es desconocida para el dueño del móvil, ya que es desinstalada antes de que recupere el teléfono, pero la falta de control en su eliminación en algunos móviles ha dado lugar a su descubrimiento, según explica el medio citado. Esta vigilancia se supone que tiene el objetivo de prevenir el radicalismo Islamico y fortalecer el Partido Comunista en el oeste del país.
Un equipo de investigadores de The New York Times, el periódico alemán Süddeutsche Zeitung, la emisora alemana NDR, The Guardian y Motherboard, realizó un análisis de está aplicación y descubrieron que la aplicación recoge datos personales, incluyendo los mensajes de texto y los contactos.
También realiza una comparación entre los archivos de imágen y audio de cada teléfono móvil con un banco de documentos que está ya instado en la aplicación de hasta 73.000 archivos, relacionados con temas controvertidos. Muchos de los contenidos en el banco de archivos estaban relacionados con el extremismo islámico, como grabaciones de himnos yijadistas o imágenes de ejecuciones, pero otros se correspondían con escaneos de un diccionario arábe, imágenes del Dalai Lama, grabaciones de pasajes del Corán o incluso una canción heavy metal japonesa
En los dispositivos Android la aplicación se llamaba Fengcai y genera una informe de todos los contenidos del 'smartphone' incluidos los eventos del calendario, los mesnsajes de texto o el historial de llamadas, que luego es enviado a un servidor.
El código fuente de la aplicación reveló también que la empresa FiberHome había sido la encargada de desarrollar la aplicación. Según la página web de la compañía, ofrece productos para ayudar a la policía a recopilar y analizar datos, y ha firmado acuerdos con las autoridades de seguridad en toda China.
En el caso de los dispositivos de Apple, según explica The New York Time, los iPhone se conectan a otro dispositivo vía USB, pero no se sabe bien qué ocurre con ello. En el caso de la 'app' para Android, la investigación ha concluido que aunque esta permanezca en el 'smartphone', no realiza análisis en segundo plano
Fuente: Europa Press

GOOGLE. Admite que transcribe un 0,2% de las conversaciones de su asistente virtual

Google ha admitido este jueves la filtración de un conjunto de grabaciones de audio confidenciales que ha tenido lugar en los Países Bajos por parte de uno de sus revisores y ha reconocido que utiliza a expertos para llevar a cabo transcripciones de aproximadamente el 0,2 por ciento de los comandos de voz al Asistente para mejorar su funcionamiento.
El medio belga VRT News informó este miércoles sobre la presencia de un conjunto de archivos de audio privados procedentes de comandos de voz de usuarios al Asistente de Google, alertando de que la compañía estadounidense utilizaba expertos para transcribir estos audios.
Además, el medio centroeuropeo alertaba de que los revisores de Google podían escuchar las conversaciones y los ruidos de fondo de los usuarios del Asistente y sus altavoces inteligentes Home, incluyendo información personal como sus nombres o direcciones, y también de que estas conversaciones eran grabadas y almacenadas.
Ahora, en un comunicado, Google ha admitido que uno de sus expertos revisores ha violado las políticas de la compañía y ha filtado datos confidenciales de audios en idioma neerlandés.
El product manager del Buscador de Google, David Monsees, ha asegurado que sus equipos están investigando los hechos y que tomarán acciones. "Estamos llevando a cabo una revisión completa de nuestras medidas de seguridad para evitar que vuelvan a ocurrir conductas negativas como esta", según Monsees.
Google ha explicado también el funcionamiento de su tecnología de reconocimiento del habla, a través de expertos en lenguaje que "revisan y transcriben un pequeño número de comandos" para ayudar al funcionamiento del Asistente en los distintos idiomas en que está disponible.
La compañía estadounidense ha asegurado que sus expertos de lenguaje "solo revisan alrededor del 0,2 por ciento de todas las muestras de audio" del Asistente, y que además estas no se asocian a las cuentas de usuario como parte del proceso.
Asimismo, se instruye a los revisores para que "no transcriban conversaciones de fondo u otros sonidos, y que solo transcriban las muestras de audio que son dirigigas a Google", explica la compañía. También han aclarado que el Asistente de Google solamente envía datos de audio a los servidores de la empresa tras detectar el comando de activación 'Hey, Google'.
Fuente: Europa Press

LOGITECH. Vulnerabilidades en teclados y ratones de la firman permiten espiar a sus usuarios.

Un elevado número de teclados y ratones inalámbricos de Logitech presentan vulnerabilidades de seguridad. Un atacante podría espiar las pulsaciones e incluso infectar la máquina.
El investigador de seguridad Marcus Mengs ha descubierto que un gran número de teclados y ratones de Logitech son vulnerables a ataques mediante wireless. Su investigación sobre las conexiones wireless de los mencionados dispositivos ha puesto al descubierto numerosas debilidades. Estas vulnerabilidades afectan a teclados, ratones, y a punteros láser inalámbricos.
Los fallos permitirían a un atacante espiar las pulsaciones de los teclados. Todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima.
Marcus Mengs demuestra cómo infectar un sistema con un troyano controlado remotamente por radio. El uso de un canal de radio, implica que el ataque es incluso efectivo con máquinas que ni siquiera están conectadas a Internet.
LOGItacker by @mame82 works like a charm for injection on K400+, and this test gives me few ideas to include in this project 🙂 -> Red team tests are going to be wild! pic.twitter.com/aOWxCBIHwM
— Sébastien Dudek (@FlUxIuS) July 4, 2019
Según el fabricante, cualquier dispositivo de la firma Logitech con la tecnología de radio Unifying es vulnerable. Esta clase de tecnología está presente en los dispositivos de la compañía desde el año 2009. Los receptores USB vulnerables son reconocidos por un pequeño logo naranja con forma de estrella.
La serie gaming Lightspeed y los dispositivos apuntadores R500 y Spotlight están también afectados. Los punteros láser R400, R700 y R800 no son vulnerables a este ataque, pero sí lo son a otro ataque ya descubierto conocido como Mousejack.
Las dos vulnerabilidades, tienen como identificadores CVE-2019-13053 y CVE-2019-13052.
La vulnerabilidad CVE-2019-13053 permite a un atacante remoto inyectar cualquier pulsación en la comunicación de radio cifrada sin necesidad de conocer la clave criptográfica. Para lograrlo, el atacante sólo necesitaría acceso temporal al teclado. Según Mengs, otra forma de inyectar pulsaciones sería observando durante unos segundos el trafico de radio mientras el usuario está escribiendo y al mismo tiempo, procesar esa información para atacar el cifrado.
La segunda vulnerabilidad, con identificador CVE-2019-13052 permite a un atacante descifrar la comunicación entre el teclado y la máquina anfitriona si se ha interceptado el proceso de emparejamiento.
Para protegerse de estas vulnerabilidades es conveniente actualizar el firmware a la versión más reciente en los dispositivos afectados. Logitech recomienda usar el programa Logitech Firmware Update Tool SecureDFU para llevar a cabo la actualización.
Más Información:
Fuente: Hispasec

Magecart golpea de nuevo: Amazon S3 como vector de ataque contra 17.000 webs


Entre las webs infectadas se cuentan sitios que están en el top 2000 de los rankings Alexa.
Grupos de cibercriminales, comúnmente asociados con el nombre Magecart, caracterizados, entre otras cosas, por inyectar código javascript malicioso en las plataformas de e-commerce con el objeto de robar datos confidenciales de tarjetas de crédito, infectan más de 17.000 dominios web a través de instancias de Amazon S3 mal configuradas.
El informe, que puede consultarse aquí, incluye no sólo análisis detallados del procedimiento de infección, sino también métodos de mitigación o indicadores de compromiso. En él, se explica cómo los atacantes han aplicado una estrategia donde prime el alcance frente a la precisión. Esto es, los atacantes han optado por asegurar que su infección llegue al mayor número de víctimas posible, en vez de seleccionar concienzudamente los objetivos más sensibles o interesantes para sus fines.
Se trata de procedimientos similares a las infecciones sufridas por webs como AdMaxim, CloudCMS o Picreel. Sin embargo, los investigadores advierten que, a pesar de los esfuerzos por monitorizar estos ataques, esta campaña, detectada a principios de abril de 2019, posee una envergadura mucho mayor de lo que predecían los informes iniciales.
Según los investigadores, Magecart ha dedicado una gran cantidad de tiempo a rastrear la red en busca de instancias de Amazon S3 mal configuradas que permitan de forma pública consultar y editar el contenido de la instancia. Una vez encontradas, añadían código javascript malicioso al final de cada archivo javascript.
Usualmente, este código malicioso suele inyectarse en archivos javascript relacionados directamente con la página de pagos del sitio. Sin embargo, se han encontrado archivos js infectados, lo que indica, como se reseñaba anteriormente, un sacrificio de la especificidad de los objetivos en favor de un alcance mucho mayor.
Pese a que este alcance extendido lo sea en detrimento de una mayor precisión en la selección de objetivos, los investigadores insisten en que si los atacantes consiguen que cualquiera de las páginas infectadas recolecte algún dato sensible, el esfuerzo de los atacantes quedaría amortizado dado el retorno de la inversión que ganarían con los datos obtenidos.
Adicionalmente, este nuevo ataque involucra una manera novedosa de inyectar el código malicioso. En este caso, se ha optado por utilizar versiones altamente ofuscadas de código javascript.
El coste de esta clase de ataques asciende a cifras notables. Como ya contábamos en este artículo, la última empresa afectada fue British Airways, obligada a pagar una multa de 183.000.000 de libras.
Fuente: Hispasec

Nuevo ransomware dirigido a dispositivos NAS

Se ha encontrado una nueva familia de ransomware dirigida a dispositivos de almacenamiento conectado a la red (NAS). Estos están basados ​​en Linux fabricados por los sistemas QNAP y que mantienen a los usuarios como rehenes de datos importantes hasta que se paga un rescate.
Descubierto de forma independiente por investigadores de dos firmas de seguridad independientes, Intezer y Anomali, la nueva familia de ransomware se enfoca en los servidores NAS de QNAP mal protegidos o vulnerables ya sea por fuerza bruta forzando credenciales SSH débiles o explotando vulnerabilidades conocidas.
Apodado «QNAPCrypt» por Intezer y «eCh0raix» por Anomali, el nuevo ransomware está escrito en el lenguaje de programación Go y encripta los archivos con extensiones dirigidas mediante el cifrado AES y agrega una extensión encriptada a cada uno. Sin embargo, si un dispositivo NAS comprometido se encuentra en Bielorrusia, Ucrania o Rusia, el ransomware termina el proceso de cifrado de archivos y finaliza sin modificarlos.
En caso de llevarse a cabo el ataque, tras la ejecución, el ransomware primero se conecta a su servidor remoto de C&C, protegido detrás de la red Tor, utilizando un proxy Tor SOCKS5 para notificar a los atacantes sobre nuevas víctimas.
«Según el análisis, está claro que el autor del malware ha configurado el proxy para proporcionar a la red Tor el acceso al malware sin incluir la funcionalidad propia de Tor»
Antes de cifrar archivos, el ransomware solicita una dirección única de billetera de bitcoin, donde las víctimas deben transferir la cantidad del rescate. Esta dirección la obtiene desde el servidor de C&C del atacante que contiene una lista predefinida de monederos ya creados.
Si el servidor se queda sin direcciones de bitcoin únicas, el ransomware no procede a cifrar archivos y espera a que los atacantes creen y proporcionen una nueva dirección.
«Pudimos recopilar un total de 1,091 billeteras únicas destinadas a nuevas víctimas distribuidas en 15 campañas diferentes».
Como recordatorio, instamos a los usuarios a que habiliten las actualizaciones automáticas para mantener el firmware actualizado.
Fuente: Hispasec

Multada British Airways por 183M de libras al incumplir la GDPR

Se trata de la mayor multa aplicada en el Reino Unido por incumplir la Ley de Protección de Datos
La Britain’s Information Commissioner’s Office (ICO) ha impuesto una multa a la compañía aérea British Airways por la brecha de seguridad ocurrida el pasado año y perpetrada por el grupo delictivo Magecart, el cual ya vulneró otros sitios de comercio electrónico como Ticketmaster.
La filtración que ha originado la multa incluye la información bancaria y personal de 380.000 usuarios que realizaron reservas durante 2 semanas del pasado año. El ataque se perpretró a través de código Javascript incluido en el sitio web de la aerolínea, el cual registraba los datos de compra de los usuarios.
La multa de 183 millones de libras supone el 1,5% de la facturación de British Airways en 2017, la cual aunque cuantiosa aún queda lejos del 4% máximo que podría alcanzar por una infracción del nuevo Reglamento General de Protección de Datos (GDPR). Willie Walsh, consejero del grupo IAG, al que pertenece British Airways, se ha mostrado sorprendido y decepcionado por la sanción propuesta, la cual tienen 28 días para apelar.
El importe por la infracción queda muy lejos de las 500.000 libras por el escándalo de Cambridge Analytica o las también 500 mil libras que se impusieron a Equifax.
Más información:

Fuente: Hispasec

Nueva campaña de malware contra bancos de EAU, EEUU, corea del sur y Singapur

Investigadores de Proofpoint han detectado que el grupo ruso de cibercriminales TA505 ha iniciado una campaña con un malware llamado androMut. Este malware cuenta técnicas antianálisis muy sofisticadas que podrían estar inspiradas en el downloader Andromeda.
Las infecciones con este tipo de malware son especialmente peligrosas ya que suelen hacerse de forma silenciosa. Los usuarios y las compañías no suelen darse cuenta de que estás siendo infectados a no ser que el atacante decida instalar malware adicional o proceder al robo de credenciales.
Esta nueva campaña ha venido acompañada del envío masivo de cientos de miles de mensajes en las regiones afectadas, con señuelos objetivo y técnicas efectivas de ingeniería social.
Desde la compañía señalan que el nuevo downloader AndroMut, combinado con el RAT FlawedAmmy como payload, parece haberse convertido en un nuevo vector de ataque para estos cibercriminales este verano.
Más información:
Fuente: Hispasec

El gobierno Croata objetivo ciberdelincuentes

Un grupo organizado de ciberdelincuentes ha atacado y, posiblemente, infectado a empleados del gobierno croata entre los meses de febrero y abril de este año.
Los atacantes han llevado a cabo una campaña de phishing que imitaba las notificaciones de entrega de los servicios postales croatas u otras empresas. Los correos electrónicos contenían un enlace a una página web con URL similar a la original en la que se pedía a los usuarios que descargasen un documento de Excel.
Cuidado con los adjuntos
Como es de esperar, el documento ocultaba en las macros numerosas líneas de código malicioso. Una vez que abrimos el documento se nos descargaría e instalaría malware en el equipo. Durante el análisis del ataque fueron detectados dos payloads distintos.
El primero fue reconocido como la puerta trasera Empire, un componente de Empire post-exploitation framework, y el segundo se reconoció como SilentTrinity, otra herramienta post-explotación similar a la primera.
El gobierno croata detectó el ataque en abril
La oficina de seguridad de sistemas de información, la autoridad responsable de la ciberseguridad de los organismos estatales de Croacia, emitió una alerta sobre el ataque
La agencia estatal de ciberseguridad compartió claves de registro, nombres de archivos, URLs e IPs de los servidores de control (C2) que usaban los atacantes y además, pidió a las agencias estatales que revisasen los registros y analizasen los equipos en busca de malware.
No se le ha atribuido la autoría del ataque a ningún grupo específico pero tras la investigación los expertos dijeron que «los datos disponibles sobre los hosts, direcciones y dominios utilizados, así como el alto número de conexiones entre ellos, sugieren un esfuerzo a gran escala.»
Más información

Fuente: Hispasec

MICROSOFT. Boletín de seguridad de julio de 2019

La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de julio consta de 75 vulnerabilidades, 15 clasificadas como críticas y 60 como importantes, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
  • Microsoft Windows,
  • Internet Explorer,
  • Microsoft Edge,
  • Microsoft Office and Microsoft Office Services and Web Apps,
  • Azure DevOps,
  • Open Source Software,
  • .NET Framework,
  • Azure,
  • SQL Server,
  • ASP.NET,
  • Visual Studio,
  • Microsoft Exchange Server.
Recomendación
Instalar la actualización de seguridad correspondiente. En la página de información de la instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.
Detalle de vulnerabilidades
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
1.   Ejecución remota de código,
2.   Divulgación de información,
3.   Elevación de privilegios,
4.   Denegación de servicio,
5.   Evasión de seguridad,
6.   Suplantación.
Más información
Fuente:INCIBE

Actualización de seguridad de SAP de julio de 2019

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
·        SAP Diagnostic Agent (LM-Service), versión 7.20.
·        Tests de SAP NetWeaver Process Integration ABAP (SAP Basis), versiones 7.0, 7.1, 7.3, 7.31, 7.4 y 7.5.
·        SAP Commerce Cloud (ex SAP Hybris Commerce) (HY_COM), versiones 6.3, 6.4, 6.5, 6.6, 6.7, 1808 y 1811.
·        OpenUI5, versiones anteriores e incluyendo 1.38.39, 1.44.39, 1.52.25, 1.60.6 y 1.63.0.
·        SAP Information Steward, versión 4.2.
·        ABAP Server y ABAP Platform (SAP Basis), versiones 7.31, 7.4 y 7.5.
·        SAP BusinessObjects Business Intelligence Platform (BI Workspace) (Enterprise), versiones 4.1, 4.2 y 4.3.
·        SAP NetWeaver para Java Application Server (Web Container), versiones de engineapi (7.1, 7.2, 7.3, 7.31, 7.4 y 7.5) y de servercode (7.2, 7.3, 7.31, 7.4 y 7.5).
·        SAP ERP HCM (SAP_HRCES), versión 3.
·        SAP NetWeaver Application Server para Java (Startup Framework), versiones 7.21, 7.22, 7.45, 7.49, y 7.53.
·        SAP Gateway, versiones 7.5, 7.51, 7.52 y 7.53.
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de vulnerabilidades
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad, siendo 1 de ellas de severidad crítica, 1 alta y 9 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
·        4 vulnerabilidades de Cross-Site Scripting (XSS).
·        1 vulnerabilidad de inyección de código.
·        1 vulnerabilidad de inyección de comandos del sistema operativo.
·        1 vulnerabilidad de denegación de servicio.
·        1 vulnerabilidad de divulgación de información.
·        3 vulnerabilidades de otro tipo.
Las notas de seguridad calificadas como crítica y alta se refieren a:
Se ha identificado una vulnerabilidad crítica en SolMan Diagnostic Agent (SMDAgent), perteneciente a Solution Manager (SolMan), encargado de gestionar las comunicaciones de eventos de monitorización y diagnóstico entre cada sistema SAP y el Solution Manager. Esta vulnerabilidad permitiría a un atacante comprometer el sistema SAP por completo. Se ha reservado el identificador CVE-2019-0330 para esta vulnerabilidad.
En la herramienta Extended Computer Aided Test Tool (eCATT), utilizada para la realización de pruebas de testing automatizadas, se ha encontrado una vulnerabilidad de severidad alta que permitiría realizar una inyección de código, impactando en la integridad y disponibilidad del sistema. Se ha reservado el identificador CVE-2019-0328 para esta vulnerabilidad.
Más información
Fuente: Hispasec