domingo, 11 de febrero de 2024

Mini PC cazado vendiéndose con virus

Los Mini PC se han transformado en una tendencia cada vez superior. Son económicos y ofrecen una potencia más que conveniente para todo tipo de tareas. Además, tienen ese diseño tan pifia y reducido que ayuda a que los podamos poner donde sea. Pero es obvio que nadie se quiere encontrar con un virus dentro de su ordenador por muy barato que le salga. ¿Qué ha pasado?

Un problema de fábrica

Lo primero de todo es dejar claro que este no es el típico caso de historia conspiratoria en la cual se ha descubierto que una marca estaba escondiendo malware en sus ordenadores. De haber sido así, el virus no habría sido detectado con tanta facilidad. En general, podría haber sido únicamente un fallo en el proceso de fabricación.

Aviso de amenaza detectado en un ordenador Mini PC con spyware

 

Tal y como el usuario que lo ha descubierto comenta, tras llevar a cabo la configuración inicial de Windows en el Mini PC, le apareció una alerta de Windows Defender. En ese momento, el programa de Microsoft le informó de la presencia de un spyware que tenía capacidad para espiarle, robar sus contraseñas, sus cuentas de servicios como Steam y el acceso a sus criptomonedas.

Marca y modelo afectados

Concretamente, el Mini PC que se ha visto afectado por este problema ha sido el Acemagic AD08 mini PC, un modelo que se encuentra disponible en todo tipo de tiendas, incluida Amazon, al precio de unos $614.44 (aunque se ha visto con oferta por debajo de este costo). En principio, no es un super ventas, pero entre los comentarios que ha recibido por parte de los clientes de la tienda se encuentran valoraciones positivas que indican cosas como “compacto y coqueto”, “ocupa poco espacio” o el típico en este estilo de producto “No se puede pedir más por ese precio”.

Pero si seguimos mirando los comentarios vamos a encontrar uno que coincide plenamente con lo que ha contado The Net Guy, el usuario de YouTube que ha reportado el problema. Así, un cliente de Amazon llamado Inalco dice “viene con regalos” y explica que, después de la instalación, ha visto cómo el antivirus de Windows eliminaba cinco malware distintos.

Por lo tanto, la pregunta es si existe riesgo con todas las unidades del Acemagic AD08 mini PC o si es un caso aislado. Cuando The Net Guy ha hablado con el fabricante a la vista de lo ocurrido, lo que ha explicado Acemagic es que es cierto que tuvieron una mala remesa que se vio afectada por la presencia de virus. No obstante, han confirmado que ya han tomado medidas para quitar estas unidades del mercado y, en teoría, ya no debería haber ningún problema con el modelo.

El asunto es que, al menos según cuenta The Net Guy, ha preguntado a amigos que también tienen ordenadores Mini PC de esta marca y varios le han dicho que les ha pasado exactamente lo mismo. Por lo tanto, esto hace pensar que quizá no se trate de un caso tan aislado o que es posible que los sistemas de control de calidad de la entidad china no sean demasiado eficaces.

 

El motivo por el cual se puede colar algún virus en los ordenadores es porque, en ocasiones, las versiones que estos equipos instalan de Windows no suelen estar limpias. Si en el momento de la carga no se hace una limpieza o no se tiene cuidado con el software que se implementa, se produce el riesgo de enviar el ordenador a los clientes cargado de virus. Como se ha podido ver, una limpieza inicial por parte del usuario es suficiente con la intención de eliminar el malware y spyware para dejar el ordenador limpio, pero es obvio que se trata de algo a tener en cuenta.

Si tuvieras este modelo de Mini PC, no sería mala idea pasar el antivirus y asegurarte de que no hay nada extraño en la memoria de tu equipo. Más allá de esto, no parece que haya que preocuparse en exceso, dado que es algo que, por otro lado, no es tan atípico en la compra de ordenadores Mini PC. Por ello, siempre es recomendable, al recibirlos, hacer una instalación limpia desde cero. Eso te puede ahorrar muchos quebraderos de cabeza.

Ir al Inicio

miércoles, 7 de febrero de 2024

La IA ya es capaz de generar documentos de identificación falsos

Un sitio web clandestino llamado OnlyFake afirma utilizar “redes neuronales” para generar fotografías de aspecto realista de identificaciones falsas por sólo 15 dólares, alterando radicalmente el mercado de identidades falsas y la ciberseguridad en general. Esta tecnología produce identificaciones falsas casi instantáneamente, podría simplificar todo, desde el fraude bancario hasta el lavado de fondos robados.

OnlyFake creó una licencia de conducir de California muy convincente, completa con cualquier nombre, información biográfica, dirección, fecha de vencimiento y firma arbitrarios que quisiéramos. La foto incluso da la apariencia de que la tarjeta de identificación está sobre una alfombra mullida, como si alguien la hubiera colocado en el suelo y tomado una fotografía, lo que muchos sitios requieren con fines de verificación. Luego, se utilizó otra identificación falsa generada por este sitio para completar con éxito el proceso de verificación de identidad en OKX. OKX es un intercambio de criptomonedas que ha aparecido recientemente en múltiples registros judiciales debido a su uso por parte de delincuentes.

En lugar de elaborar minuciosamente una identificación falsa a mano (una profesión criminal altamente calificada que puede llevar años dominar) o esperar a que llegue por correo una comprada con el riesgo de ser interceptada, OnlyFake permite que prácticamente cualquier persona genere identificaciones falsas en minutos que parecen lo suficientemente reales como para pasar por alto varios sistemas de verificación en línea. O al menos engañar a algunas personas.

Esta herramienta de OnlyFake genera permisos de conducir, documentos de identidad y pasaportes falsos realistas de 26 países, incluidos Estados Unidos, Canadá, Gran Bretaña, Australia y varios países de la Unión Europea. Acepta pagos en varias criptomonedas a través del servicio de pagos comerciales de Coinbase.

La persona detrás de OnlyFake se hace llamar «John Wick» y afirma que estas identificaciones pueden eludir los controles en los principales exchanges como Binance, Kraken, Bybit, Huobi, Coinbase, OKX y también el neobanco Revolut. Los usuarios de un canal de Telegram también afirman haber tenido éxito en el uso de estas identificaciones falsas para pasar controles en otros intercambios como Kraken, Bybit, Huobi y PayPal.

El nivel de credibilidad es tal, que puede saltarse los procesos de verificación conocidos como KYC (know your client/customer), el proceso que realizan las entidades financieras para verificar la identidad de sus clientes en cumplimiento de exigencias legales.

El creador admite que, como cualquier generador de imágenes por IA, pueden aparecer errores en algunas de las imágenes, pero el resultado general es muy realista, incluidos fondos creíbles, como una alfombra mullida detrás de la identificación falsa de dos caras.

El propietario de OnlyFake afirma que se pueden producir cientos de identificaciones falsas a la vez (hasta 20,000 documentos al día) utilizando datos de Excel (a plena capacidad, esto significaría unos ingresos diarios de 300,000 dólares para sus desarrolladores) y que la era de los documentos retocados con Photoshop está llegando a su fin. El fácil acceso a identificaciones falsas convincentes genera preocupación sobre el fraude de identidad y el blanqueo de dinero mediante el uso de crypto exchanges y neobancos.

Ir al Inicio

lunes, 5 de febrero de 2024

Glide te convertirá en programador en cuestión de minutos

Hace unos años para convertirnos en programadores y crear nuestros propios desarrollos, teníamos que aprender una serie de conceptos básicos. Además de todo ello, en la mayoría de las ocasiones nos veíamos en la obligación de conocer más o menos en profundidad algún lenguaje. Sin embargo las cosas han cambiado bastante a lo largo de los últimos años. Ahora tenemos la oportunidad de convertirnos en programadores e incluso sin teclear una sola línea de código.

Precisamente este es el caso con una plataforma de la que te puedes beneficiar sin instalar nada en el PC. Además dispone de una modalidad gratuita que nos permitirá introducirnos en este mundo del desarrollo software, sin pagar y sin tener conocimientos previos.

Para todo esto vamos a echar mano de la aplicación web llamada Glide. En un principio no tienes más que acceder a esta web oficial, y registrarnos para empezar a usarla.

 

inicio glide

Esto es algo que podemos llevar a cabo a través de una dirección de correo electrónico o de nuestra cuenta de Google.

Cómo convertirnos en programadores con Glide

Una vez nos hemos registrado en la aplicación como tal, Glide nos pedirá una serie de datos personales. Entre estos indicamos el uso que haremos de la plataforma de programación, a qué nos dedicamos, o cuántos utilizarán la aplicación como tal. A partir de ahí también tendremos la oportunidad de especificar una fuente del que donde podemos extraer los datos que formarán parte de la app para facilitarnos aún más las cosas.

fuente glide

Hay que tener en consideración que aquí podremos crear nuestros propios proyectos de desarrollo tanto para dispositivos móviles como para entornos de sobremesa. De hecho desde un principio podremos especificar el tipo de interfaz que vamos a utilizar para crear nuestra aplicación. Todo ello lo logramos gracias a las funciones y herramientas que nos ofrece esta plataforma para interactuar con otras aplicaciones y contactos.

Podremos crear nuestra aplicación propia a base de clics de ratón, todo ello de la forma más sencilla e intuitiva. Además podemos echar mano de bases de datos que hayamos creado con algunas de las aplicaciones más conocidas para estas tareas. Y es que nuestra nueva app puede crearse directamente de hojas de cálculo creadas en Google Sheets o Microsoft Excel, por ejemplo.

escritorio programar

Y es que al igual que nos encontramos con determinadas plataformas que nos permiten crear páginas webs sin esfuerzo, aquí podremos generar aplicaciones de una manera similar. Además tendremos la posibilidad de elegir los elementos que formarán parte de nuestro desarrollo de entre la amplia variedad aquí disponible. Nos referimos a fuentes tipográficas, iconos, fotos, tonalidades y mucho más.

Además una vez hayamos acabado, desde la propia plataforma de Glide tenemos la posibilidad de compartir nuestro proyecto o instalarla en el móvil como aplicación web. Aquí ya entrará en juego nuestra creatividad e imaginación para lograr los proyectos de desarrollo que buscamos o necesitamos.

Ir al Inicio

viernes, 2 de febrero de 2024

Piratas informáticos impulsan cargas útiles de malware USB a través de sitios web

Se descubrió que un actor de amenazas con motivación financiera que utilizaba dispositivos USB para la infección inicial abusaba de plataformas en línea legítimas, incluidas GitHub, Vimeo y Ars Technica, para alojar cargas útiles codificadas incrustadas en contenido aparentemente benigno.

Los atacantes ocultan estas cargas útiles a plena vista, colocándolas en perfiles de usuarios de foros en sitios de noticias tecnológicas o descripciones de videos en plataformas de alojamiento de medios.

Estas cargas útiles no suponen ningún riesgo para los usuarios que visitan estas páginas web, ya que son simplemente cadenas de texto. Sin embargo, cuando se integran en la cadena de ataque de la campaña, son fundamentales para descargar y ejecutar malware en los ataques.

Mandiant rastrea a los piratas informáicos responsables de esta campaña como UNC4990 y han estado activos desde 2020.

Alojamiento de carga útil involuntario

El ataque comienza cuando las víctimas hacen doble clic en un archivo de acceso directo LNK malicioso en una unidad USB. No se sabe cómo los dispositivos USB maliciosos llegan a las víctimas para iniciar la cadena de ataque.

Cuando se inicia el acceso directo, ejecuta un script de PowerShell explorer.ps1, que a su vez descarga una carga útil intermedia que decodifica una URL utilizada para descargar e instalar el descargador de malware llamado 'EMPTYSPACE'.

Estas cargas útiles intermedias son cadenas de texto que se decodifican en una URL para descargar la siguiente carga útil: EMPTYSPACE. 

UNC4990 ha probado varios enfoques para alojar cargas útiles intermedias, inicialmente usando archivos de texto codificados en GitHub y GitLab y luego cambiando a abusar de Vimeo y Ars Technica para alojar cargas útiles de cadenas codificadas en Base64 y cifradas con AES.

Mandiant señala que los atacantes no explotan una vulnerabilidad en estos sitios, sino que simplemente emplean características habituales del sitio, como una página Acerca de en un perfil del foro de Ars Technica o una descripción de video de Vimeo, para alojar de manera encubierta la carga útil ofuscada sin levantar sospechas.

Vídeo de Vimeo que oculta código malicioso en la descripción
Vídeo de Vimeo que oculta código malicioso en la descripción
Fuente: Mandiant
 

Además, estas cargas útiles no amenazan directamente a los visitantes de los sitios abusados, ya que son simplemente cadenas de texto inofensivas, y todos los casos documentados por Mandiant ahora han sido eliminados de las plataformas intermediarias afectadas.

La ventaja de alojar las cargas útiles en plataformas legítimas y de buena reputación es que los sistemas de seguridad confían en ellas, lo que reduce la probabilidad de que sean marcadas como sospechosas.

Además, los actores de amenazas se benefician de las sólidas redes de entrega de contenido de esas plataformas y disfrutan de resiliencia ante las eliminaciones.

Incrustar las cargas útiles en contenido legítimo y mezclarlo con grandes volúmenes de tráfico legítimo hace que sea más difícil identificar y eliminar el código malicioso.

Incluso entonces, los atacantes podrían fácilmente reintroducirlo en una plataforma diferente que admita comentarios o perfiles visibles públicamente.

Cadena de ataque completa UNC4990 Cadena de ataque UNC4990 completa
Fuente: Mandiant

Cargando tabla silenciosa

El script de PowerShell decodifica, descifra y ejecuta la carga útil intermedia obtenida de los sitios legítimos y coloca EMPTYSPACE en el sistema infectado, que establece comunicación con el servidor de comando y control (C2) de la campaña.

Evolución del script de PowerShell
Evolución del script PowerShell
Fuente: Mandiant
 

En las fases posteriores del ataque, EMPTYSPACE descarga una puerta trasera llamada 'QUIETBOARD', así como mineros de criptomonedas que extraen Monero, Ethereum, Dogecoin y Bitcoin.

Las direcciones de billetera vinculadas a esta campaña han obtenido ganancias que superan los 55,000 dólares, sin contar Monero, que se encuentra oculto.

QUIETBOARD es una puerta trasera sofisticada de múltiples componentes utilizada por UNC4990, que ofrece una amplia gama de capacidades, que incluyen:

  • Ejecutar comandos o scripts recibidos del servidor C2
  • Ejecutando código Python recibido del C2
  • Alteración del contenido del portapapeles para el robo de criptomonedas
  • Infectar unidades USB/extraíbles para propagar malware en otros sistemas
  • Tomar capturas de pantalla para robar información
  • Recopilación de información detallada del sistema y de la red.
  • Determinar la ubicación geográfica del sistema infectado.

QUIETBOARD también establece persistencia entre reinicios del sistema y admite la adición dinámica de nuevas funcionalidades a través de módulos adicionales.

Mandiant concluye subrayando cómo a UNC4990 le gusta realizar experimentos con sus campañas para descubrir vías óptimas para su cadena de ataque y perfeccionar sus metodologías.

A pesar de las medidas de prevención aparentemente sencillas, el malware basado en USB sigue representando una amenaza importante y sirve a los ciberdelincuentes como un medio de propagación eficaz.

En cuanto a la táctica de abusar de sitios legítimos para colocar cargas útiles intermedias, esto muestra que las amenazas pueden acechar en lugares inesperados y aparentemente inofensivos, desafiando los paradigmas de seguridad convencionales.

Ir al Inicio

martes, 30 de enero de 2024

Con Winlator podrás ejecutar cientos de juegos de PC en tu móvil Android

Ejecutar juegos de PC directamente en tu Android, parece algo imposible, pero en realidad es más fácil de lo que imaginas. Y todo gracias a Winlator.

Aprovechando que ahora Apple va a empezar a lanzar juegos de PC para sus iPhone y iPad, en Android ya tenemos esto desde hace tiempo. Y es que, una de las ventajas de tener un sistema tan abierto como el de Google es que permite a los desarrolladores crear proyectos tan interesantes como este Winlator.

¿Qué es Winlator?

Winlator es una aplicación de Android diseñada para permitirnos abrir juegos de Windows directamente en nuestro móvil Android. Para ello, este programa hace uso de una serie de herramientas y programas disponibles para Linux y los porta directamente al sistema operativo de Google para que puedan desempeñar la misma función.

Por un lado, Winlator hace uso de Box86/Box64, una herramienta que nos permite ejecutar programas para Linux fuera de los sistemas clásicos x86/x86_64 convencionales, como, por ejemplo, en máquinas ARM. A grandes rasgos, es un emulador para traducir instrucciones para que funcionen en otros procesadores, como el del Raspberry Pi, o el que tienen nuestros móviles.

 

Por otro lado, esta herramienta hace uso también de Wine, la conocida aplicación que nos permite ejecutar apps y juegos de Windows en Linux. No se trata de un emulador como tal, sino de una capa intermedia donde lleva las librerías y dependencias de Windows a cualquier sistema Linux para que los programas .exe se puedan ejecutar en el sistema sin problemas.

En resumen, lo que hace Winlator es, por un lado, portar programas como Box, de la arquitectura de PC a ARM, y utiliza este Box para ejecutar Wine dentro de Android. De esta forma, es capaz de correr casi cualquier juego que podamos tener para PC dentro de cualquier móvil, teniendo en cuenta, siempre, la potencia del dispositivo y el rendimiento que nos pueda dar.

Así puedes poner Winlator en tu Android

Este programa es totalmente gratuito para todos los usuarios. El problema es que, de serie, no está subido a la Google Play Store porque no cumple con los términos de uso de la tienda de Android. Por ello, para bajarlo, es necesario descargar e instalar a mano el archivo .apk que podemos encontrar en este enlace. También tendremos que bajar el archivo OBB y colocar la carpeta «main.3.com.winlator.obb» en el directorio «/storage/emulated/0/Android/obb/com.winlator» de nuestro dispositivo.

Una vez puesta en marcha la app, ya podemos ejecutarla. La primera vez que la abramos tendrá lugar una instalación automática en la que quedará preparada para funcionar. A partir de entonces, ya podemos copiar juegos a la memoria interna de nuestro móvil para empezar a jugar con ellos.

Podemos probar muchos juegos. Algunos pueden funcionar automáticamente sin tener que hacer nada, y en otros es posible que tengamos que realizar algún ajuste para que arranquen, o bajar la calidad de los gráficos para que consigan un mejor rendimiento. Todo depende, por supuesto, de la potencia bruta que tenga nuestro smartphone.

Ir al Inicio