sábado, 3 de junio de 2023

Todos tus archivos están en peligro si usas Google Drive

Vulnerabilidades aparecen frecuentemente y es algo que puede afectar a servicios de todo tipo. El problema es cuando ocurre en una plataforma muy utilizada y donde además podemos tener información sensible almacenada. Es ahí donde debemos tomar ciertas precauciones para no caer en errores.

Fallo de seguridad en Drive

Se trata de una investigación que han realizado desde la empresa de incidentes en la nube Mitiga. Ha publicado resultados sobre una deficiencia que afecta a Google Workspace que podría permitir a un atacante filtrar datos de Google Drive sin dejar ningún tipo de rastro. Hay que tener en cuenta que este servicio de Google ha sido siempre un objetivo de los piratas informáticos, que han aprovechado cualquier tipo de fallo conocido.

Pero, ¿en qué consiste exactamente? Afecta a quienes utilizan Google Workspace, que es un servicio de pago. Permite dar visibilidad a los recursos de Drive de una organización y permite copiar, eliminar, descargar o ver los archivos. Un hipotético atacante, podría obtener acceso al usuario administrador y revocar la licencia para, posteriormente, reasignarla. Podría llegar a descargar los archivos, sin dejar registro, incluso sin que ese usuario tenga licencia de pago ya.

Desde Mitiga indican que se han puesto en contacto con el equipo de seguridad de Google, para informarles del problema, pero aseguran que no han obtenido una respuesta por ahora. Es de esperar que, en poco tiempo, Google lance una solución para evitar que un hipotético atacante pueda explotar este fallo de seguridad y afectar a los usuarios. Puedes ver el informe completo de Mitiga.

Cómo protegerte de este problema

No solo hablamos de este fallo puntual, sino de cualquier otro que pueda afectar a Google Drive. Podría poner en riesgo tus archivos si no tomas medidas. Nuestro consejo es que siempre revises muy bien que tienes todo actualizado. Cuando surge una vulnerabilidad, tarde o temprano la corrigen y eso llega en forma de actualización.

Además, conviene que tengas cuidado con los archivos que compartes. No los dejes expuestos en la red, para que cualquiera pueda acceder. Una buena idea es cifrarlos. Puedes subir contenido cifrado previamente y así, en caso de que se filtre, van a estar más protegidos y tendrás menos problemas.

Por otra parte, es fundamental siempre proteger el equipo. Básicamente hay dos factores clave: tener un buen antivirus y tenerlo actualizado. Un antivirus va a evitar la entrada de malware que pueda infectar tu sistema y llegar a robar archivos de Drive. Actualizarlo va a permitir corregir vulnerabilidades que pueda haber.

En definitiva, como ves hay un fallo de seguridad que puede afectar a Google Drive. Es muy importante tomar medidas siempre que aparezca un fallo de este tipo. Eso te ayudará a estar más protegido y que los archivos no queden expuestos. Es importante siempre evitar fallos al subir archivos a Drive, para no tener problemas.

Ir al Inicio

viernes, 2 de junio de 2023

Kaspersky descubre la Operación Triangulación en curso

La Operación Triangulación ha salido a la luz cuando la firma rusa de ciberseguridad Kaspersky revela una serie de ataques en curso contra iPhones. La campaña utiliza una vulnerabilidad de iOS y explota las técnicas de clic cero de iMessage para instalar malware sin interacción del usuario.

Kaspersky, en sus esfuerzos por combatir esta amenaza, ha llamado a la operación "Operación Triangulación" e insta a las personas que tengan información a presentarse y colaborar.

Este artículo profundiza en los detalles de la campaña, su impacto y las acusaciones posteriores hechas por la agencia de inteligencia y seguridad FSB de Rusia.

Operación Triangulación explota vulnerabilidad de iOS

Según la investigación de Kaspersky , los iPhones conectados a su red han sido víctimas de piratas informáticos que emplean una vulnerabilidad de iOS, aprovechando las vulnerabilidades de clic cero de iMessage .

Estas técnicas permiten la entrega de código malicioso a los dispositivos sin necesidad de interacción por parte del usuario. Aprovechando esta falla, los atacantes pueden descargar discretamente malware adicional de sus servidores. Si bien el mensaje inicial y el archivo adjunto se borran rápidamente, permanece una carga útil oculta con privilegios de raíz, lo que permite a los perpetradores recopilar información confidencial, ejecutar comandos remotos y mantener la persistencia.

Operación Triangulación proporciona un análisis en profundidad del malware

En respuesta a los desafíos planteados por el sistema cerrado de iOS, Kaspersky utilizó el kit de herramientas de verificación móvil para realizar un análisis exhaustivo del malware. Al crear copias de seguridad del sistema de archivos de iPhones infectados, se descubrieron conocimientos cruciales sobre el proceso de ataque y la funcionalidad del malware. A pesar de los intentos del malware de borrar los rastros de su presencia, persisten los indicadores de infección. Estos incluyen modificaciones a los archivos del sistema que dificultan la instalación de actualizaciones de iOS, patrones de uso de datos anormales y la inyección de bibliotecas obsoletas.

Un examen más detallado de los datos recopilados reveló que los signos de infección se observaron por primera vez en 2019. En particular, la versión más reciente de iOS atacada por este conjunto de herramientas maliciosas fue la 15.7 , mientras que la última versión importante en el momento del análisis fue iOS 16.5 . Es fundamental considerar que las actualizaciones posteriores de iOS pueden haber solucionado la vulnerabilidad explotada en estos ataques, mitigando el riesgo para los dispositivos que ejecutan las últimas versiones.

Dominios asociados con actividad maliciosa

Kaspersky ha proporcionado a los administradores de seguridad una lista de 15 dominios asociados con la campaña Operación Triangulación. Al analizar los registros históricos de DNS, los administradores pueden identificar posibles signos de explotación en sus dispositivos. Una vez que el malware aumenta los privilegios, descarga un conjunto de herramientas completo que otorga a los atacantes control sobre la ejecución de comandos, la recopilación de información del sistema y del usuario, y la obtención de módulos adicionales de un servidor de comando y control (C2).

Vale la pena señalar que el conjunto de herramientas APT utilizado en estos ataques carece de mecanismos de persistencia. Por lo tanto, un simple reinicio del dispositivo finaliza efectivamente las operaciones del malware. Sin embargo, dado que el análisis de la carga útil final aún está en curso, los detalles específicos sobre las funcionalidades del malware siguen siendo limitados.

Operación triangulación ataque ios Los registros DNS del ataque muestran una conexión con los servidores de Apple en la Operación Triangulación - Imagen: Kaspersky

Rusia acusa a EE.UU.

Coincidiendo con el informe de Kaspersky, la agencia de inteligencia y seguridad FSB de Rusia ha hecho acusaciones que sugieren la colaboración de Apple con la NSA. El FSB afirma que Apple proporcionó deliberadamente a la NSA una puerta trasera, lo que permitió la infección de iPhones en Rusia con spyware. Además, afirman que se han encontrado comprometidos numerosos dispositivos pertenecientes a funcionarios del gobierno ruso y personal de varias embajadas. Sin embargo, el FSB no ha proporcionado evidencia concreta para respaldar estas afirmaciones.

Anteriormente, el estado ruso aconsejó a su administración presidencial y a los empleados del gobierno que se alejaran de los iPhone de Apple y evitaran la tecnología fabricada en Estados Unidos. Kaspersky confirmó el impacto de los ataques en su sede de Moscú y empleados en otros países. Sin embargo, la empresa aclaró su incapacidad para verificar un vínculo directo entre sus hallazgos y el informe del FSB, ya que no tiene acceso a los detalles de la investigación técnica del gobierno. Sin embargo, el CERT de Rusia ha emitido una alerta que alinea la declaración del FSB con los hallazgos de Kaspersky.

Ir al Inicio

Extensiones maliciosas de Chrome con 75 millones de instalaciones eliminadas de Web Store

Google ha eliminado de Chrome Web Store 32 extensiones maliciosas que podrían alterar los resultados de búsqueda y generar spam o anuncios no deseados. En conjunto, vienen con un recuento de descargas de 75 millones.

Las extensiones presentaban una funcionalidad legítima y la denuncia es para mantener a los usuarios al tanto del comportamiento malicioso que venía en el código ofuscado para entregar las cargas útiles.

El investigador de ciberseguridad Wladimir Palant analizó la extensión PDF Toolbox (2 millones de descargas) disponible en Chrome Web Store y descubrió que incluía un código disfrazado como un envoltorio API de extensión legítimo.

En un artículo  de mediados de mayo, el investigador explica que el código permitía que el dominio “serasearchtop[.]com” inyectara código JavaScript arbitrario en cualquier sitio web visitado por el usuario.

El potencial de abuso va desde la inserción de anuncios en páginas web hasta el robo de información confidencial. Sin embargo, Palant no observó ninguna actividad maliciosa, por lo que el propósito del código no quedó claro.

El investigador también notó que el código estaba configurado para activarse 24 horas después de instalar la extensión, un comportamiento que generalmente se asocia con intenciones maliciosas.

Hace unos días, Palant hizo  una publicación de seguimiento  sobre el caso para alertar que había descubierto el mismo código sospechoso en otras 18 extensiones de Chrome con un recuento total de descargas de 55 millones. Algunos ejemplos incluyen:

  • Autoskip para Youtube: 9 millones de usuarios activos
  • Soundboost: 6,9 millones de usuarios activos
  • Bloque Crystal Ad: 6,8 millones de usuarios activos
  • VPN rápida: 5,6 millones de usuarios activos
  • Clipboard Helper: 3,5 millones de usuarios activos
  • Maxi Refresher: 3,5 millones de usuarios activos

En el momento en que Palant hizo la segunda publicación, todas las extensiones aún estaban disponibles en Chrome Web Store.

La más popular de las extensiones maliciosas La más popular de las extensiones maliciosas (Avast)

 

Continuando con su investigación, Palant encontró dos variantes del código: una que se hace pasar por la API Polyfill del navegador WebExtension de Mozilla y otra que se hace pasar por la biblioteca Day.js.

Sin embargo, ambas versiones presentaban el mismo mecanismo de inyección de código JS arbitrario que involucraba serasearchtop[.]com.

Aunque el investigador no observó ninguna actividad maliciosa clara, señaló que hay numerosos informes de usuarios y reseñas en la tienda web que indican que las extensiones estaban realizando redirecciones y secuestrando resultados de búsqueda.

A pesar de sus intentos de informar las extensiones sospechosas a Google, continuaron estando disponibles para los usuarios desde Chrom Web Store.

Sin embargo, hoy temprano, la compañía de ciberseguridad Avast dijo que informó las extensiones a Google después de confirmar su naturaleza maliciosa y amplió la lista a 32 entradas. Colectivamente, estos contaban con 75 millones de instalaciones.

Avast dice que, si bien las extensiones parecen inofensivas para los usuarios desprevenidos, son programas publicitarios que secuestran los resultados de búsqueda para mostrar enlaces patrocinados y resultados pagos, y en ocasiones incluso sirven enlaces maliciosos.

En respuesta a una solicitud de comentarios antes de que Avast publicara sus hallazgos, un portavoz de Google dijo que "las extensiones informadas se eliminaron de Chrome Web Store".

“Nos tomamos en serio los reclamos de seguridad y privacidad contra las extensiones, y cuando encontramos extensiones que violan nuestras políticas, tomamos las medidas apropiadas”.

"Chrome Web Store tiene políticas implementadas para mantener a los usuarios seguros que todos los desarrolladores deben cumplir", dijo el representante de Google.

Avast destaca el impacto significativo de las extensiones, que se dirigieron a decenas de miles de sus clientes y potencialmente a millones en todo el mundo.

Para sus clientes, Avast neutralizó selectivamente solo los elementos maliciosos dentro de las extensiones, lo que permitió que las funciones legítimas siguieran funcionando sin interrupciones.

Si bien los 75 millones de descargas parecen preocupantes, la empresa sospecha que el recuento fue "inflado artificialmente". Puede encontrar una lista completa de las extensiones (ID) maliciosas en el informe de Avast .  

Los usuarios deben tener en cuenta que la eliminación de las extensiones de Chrome Web Store no las desactiva o desinstala automáticamente de sus navegadores, por lo que se requiere una acción manual para eliminar el riesgo.

Ir al Inicio

jueves, 1 de junio de 2023

Se descubrió que estas aplicaciones de Android contienen spyware malicioso

Se ha descubierto que una cantidad significativa de aplicaciones de Android, incluidas varias que estaban disponibles anteriormente en Google Play Store, contienen un kit de desarrollo de software potencialmente peligroso.

El SDK recientemente identificado, conocido como "SpinOK", fue sacado a la luz por Dr. Web . Este kit de desarrollo de software en particular es un módulo de publicidad que utiliza varias tácticas, como ofrecer minijuegos y recompensas diarias, para atraer a los usuarios y mantener su interés en los anuncios que se muestran.

Tras la investigación, Dr. Web descubrió un SDK y le otorgó el nombre "SpinOK". Disfrazado como un módulo de anuncios aparentemente inocuo que emplea funciones atractivas como minijuegos y premios diarios, SpinOK tenía como objetivo mantener la participación del usuario con los anuncios mostrados.

Sin embargo, sin que los usuarios lo supieran, este módulo aparentemente inofensivo estaba extrayendo subrepticiamente información confidencial del dispositivo en el que estaba instalado. Como resultado, los usuarios se enfrentaron sin saberlo a mayores riesgos de robo de identidad, fraude electrónico y varias otras formas de ciberdelincuencia.

"En la superficie, el módulo SpinOk está diseñado para mantener el interés de los usuarios en las aplicaciones con la ayuda de minijuegos, un sistema de tareas y supuestos premios y sorteos de recompensas", afirmaron los investigadores.

Más allá de su funcionalidad engañosa, el SDK descubierto estuvo involucrado en un extenso robo de datos a través de las aplicaciones comprometidas. Para asegurarse de que no estaba operando dentro de un entorno de espacio aislado, el software malicioso verificó los sensores del dispositivo objetivo.

Una vez confirmado, estableció una conexión de red para obtener una lista de URL esenciales para renderizar los minijuegos integrados. De manera inquietante, esto permitió que el SDK robara una amplia gama de contenido, incluidos videos, fotos y otra información privada. Al escanear sistemáticamente directorios, buscar documentos específicos y luego transferirlos a un servidor remoto, el malware permitió el acceso no autorizado a los archivos confidenciales de los usuarios.

Además, el malware exhibió una táctica común empleada por actores maliciosos: monitorear el portapapeles para recopilar información confidencial. Esta técnica aumentó el riesgo de una mayor exposición de los datos, ya que el SDK rastreaba e interceptaba clandestinamente los datos almacenados en el portapapeles, lo que podía comprometer detalles críticos y exacerbar la amenaza a la privacidad del usuario.

Más de 420 millones de descargas

El alcance del SDK es asombroso, con más de 420 millones de instancias de aplicaciones que contienen este SDK que se descargan únicamente desde Google Play . Entre las aplicaciones comprometidas, los investigadores identificaron dos muy populares, Noizz: editor de video con música y Zapya - File Transfer, Share, ambas con más de 100 millones de usuarios.

El módulo troyano se encontró en las versiones 6.3.3 a 6.4 de Zapya, mientras que la versión 6.4.1 se verificó como limpia. En particular, otras aplicaciones muy descargadas, incluidas MVBit (un productor de estado de video de MV) y Biugo (un creador y editor de video), acumularon más de 50 millones de descargas cada una.

Estas son algunas de las aplicaciones más descargadas identificadas por Dr. Web:

  1. Noizz: editor de video con música - 100,000,000 de descargas
  2. Zapya – Transferencia de archivos, Compartir - 100 000 000 de descargas (módulo troyano presente en las versiones 6.3.3 a 6.4, pero ausente en la versión actual 6.4.1)
  3. VFly: editor de video y creador de video - 50,000,000 descargas
  4. MVBit - Creador de estado de video MV - 50,000,000 descargas
  5. Biugo - creador de videos y editor de videos - 50,000,000 descargas
  6. Crazy Drop - 10.000.000 de descargas
  7. Cashzine - Gane dinero recompensa - 10,000,000 descargas
  8. Fizzo Novel – Leer sin conexión - 10.000.000 de descargas
  9. CashEM: Obtenga recompensas - 5,000,000 de descargas
  10. Marque: ver para ganar - 5,000,000 de descargas

El artículo informa que casi todas las aplicaciones implicadas se han eliminado de Google Play Store, y los lectores interesados ​​pueden consultar la lista completa de aplicaciones afectadas para obtener más información.

Ir al Inicio

La nueva botnet de Horabot se hace cargo de las cuentas de Gmail y Outlook de las víctimas

Una campaña previamente desconocida que involucra el malware de botnet Horabot se ha dirigido a usuarios de habla hispana en América Latina, infectándolos con un troyano bancario y una herramienta de spam.

El malware permite a los operadores tomar el control de las cuentas de correo electrónico de Gmail, Outlook, Hotmail o Yahoo de la víctima, robar datos de correo electrónico y códigos 2FA que llegan a la bandeja de entrada y enviar correos electrónicos de phishing desde las cuentas comprometidas.

La nueva operación Horabot fue descubierta por analistas de Cisco Talos, quienes informan que el actor de amenazas detrás de ella probablemente tenga su sede en Brasil.

Comienza con el phishing

La cadena de infección de múltiples etapas comienza con un correo electrónico de phishing con temas fiscales enviado al objetivo, con un archivo adjunto HTML que supuestamente es un recibo de pago.

Al abrir el HTML, se inicia una cadena de redirección de URL que lleva a la víctima a una página HTML alojada en una instancia de AWS controlada por el atacante.

Página maliciosa alojada en AWS Página maliciosa alojada en AWS (Cisco)

 

La víctima hace clic en el hipervínculo de la página y descarga un archivo RAR que contiene un archivo por lotes con una extensión CMD, que descarga un script de PowerShell que obtiene archivos DLL troyanos y un conjunto de ejecutables legítimos del servidor C2.

Estos troyanos se ejecutan para obtener las dos cargas útiles finales de un servidor C2 diferente. Uno es un script de descarga de PowerShell y el otro es el binario Horabot.

Diagrama de la cadena de infección Diagrama de cadena de infección (Cisco)

troyano bancario

Uno de los archivos DLL en el ZIP descargado, "jli.dll", que se descarga mediante el ejecutable "kinit.exe", es un troyano bancario escrito en Delphi.

Se dirige a la información del sistema (idioma, tamaño del disco, software antivirus, nombre de host, versión del sistema operativo, dirección IP), credenciales de usuario y datos de actividad.

Además, el troyano también ofrece a sus operadores capacidades de acceso remoto, como realizar acciones de archivos y también puede realizar registros de teclas, capturas de pantalla y seguimiento de eventos del mouse.

Cuando la víctima abre una aplicación, el troyano superpone una ventana falsa encima para engañar a las víctimas para que ingresen datos confidenciales como credenciales de cuentas bancarias en línea o códigos de un solo uso.

Código para crear formularios de phishing Código para crear formularios de phishing (Cisco)

 

Toda la información recopilada de la computadora de la víctima se envía al servidor de comando y control del atacante a través de solicitudes HTTP POST.

Cisco explica que el troyano tiene varios mecanismos antianálisis incorporados para evitar que se ejecute en espacios aislados o junto con depuradores.

El archivo ZIP también contiene una herramienta de spam encriptada DLL llamada "_upyqta2_J.mdat", diseñada para robar credenciales para servicios de correo web populares como Gmail, Hotmail y Yahoo.

Una vez que las credenciales se ven comprometidas, la herramienta se hace cargo de la cuenta de correo electrónico de la víctima, genera correos electrónicos no deseados y los envía a los contactos que se encuentran en el buzón de la víctima, fomentando la infección de manera algo aleatoria.

Esta herramienta también cuenta con registro de teclas, captura de pantalla e interceptación de eventos del mouse o capacidades de seguimiento, que se superponen funcionalmente con el troyano bancario, posiblemente por redundancia.

horabot

La carga útil principal que se lanza al sistema de la víctima es Horabot, una red de bots basada en PowerShell documentada que se dirige a los buzones de correo de Outlook de la víctima para robar contactos y difundir correos electrónicos de phishing que contienen archivos adjuntos HTML maliciosos.

El malware inicia la aplicación Outlook de escritorio de la víctima para examinar la libreta de direcciones y los contactos del contenido del buzón.

"Después de la inicialización, el script [Horabot] busca los archivos de datos de Outlook en la carpeta de datos de la aplicación de Outlook del perfil de la víctima", explica Cisco en el informe .

"Enumera todas las carpetas y correos electrónicos en el archivo de datos de Outlook de la víctima y extrae las direcciones de correo electrónico de los campos de remitente, destinatarios, CC y CCO de los correos electrónicos".

Función para extraer direcciones de correo electrónico Función para extraer direcciones de correo electrónico (Cisco)

 

Todas las direcciones de correo electrónico extraídas se escriben en un archivo ".Outlook" y luego se codifican y filtran al servidor C2.

Finalmente, el malware crea un archivo HTML localmente, lo llena con contenido copiado de un recurso externo y envía correos electrónicos de phishing a todas las direcciones de correo electrónico extraídas individualmente.

Flujo de infección de Horabot Flujo de infección de Horabot (Cisco)

 

Cuando finaliza el proceso de distribución de correo electrónico de phishing, los archivos y carpetas creados localmente se eliminan para borrar cualquier rastro.

Aunque esta campaña de Horabot se dirige principalmente a usuarios en México, Uruguay, Brasil, Venezuela, Argentina, Guatemala y Panamá, los mismos actores de amenazas o colaboradores podrían expandir su alcance a otros mercados en cualquier momento, utilizando temas de phishing escritos en inglés.

Ir al Inicio