jueves, 19 de septiembre de 2024

La botnet de IoT "Raptor Train" compromete más de 250,000 dispositivos en todo el mundo

Cualquier aparato conectado a Internet puede ser objetivo para los piratas informáticos. Podrían formar parte de una botnet, que es una red de equipos informáticos controlados por los atacantes y son utilizados para tumbar servidores o lanzar más ataques.

Es esencial tomar medidas de precaución si nos encontramos con un problema de este tipo. Es clave preservar los datos y no dar facilidades a los piratas informáticos, además de evitar que entren con facilidad en los dispositivos.

Miles de routers y cámaras infectados

Un grupo de investigadores de seguridad, junto al FBI, ha detectado una botnet denominada Raptor Train. Concretamente, ha afectado a 260,000 dispositivos, tanto en Estados Unidos como en otros países, varios europeos. El objetivo principal ha sido determinadas infraestructuras críticas, como sectores de telecomunicación, militar, industria de defensa…

Aunque este tipo de ataques pueda estar más orientado a empresas y organizaciones gubernamentales, también podría afectar a viviendas y usuarios domésticos. En esta ocasión, principalmente han atacado a routers y cámaras de vigilancia, pero también a servidores NAS y otros equipos informáticos.

Algunos de los dispositivos atacados incluyen enrutadores, cámaras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.

En la mayoría de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio.

La botnet Raptor Train, realmente no es reciente. De hecho, llevan operando cuatro años. Utiliza una variante de Mirei, la famosa botnet, como carga útil principal. Es capaz de enviar ciertas tareas, gestionar servidores y controlar los dispositivos. En todos estos dispositivos infectados, tuvieron que eliminar malware.

Según indica el FBI, se trata de una botnet que utiliza direcciones IP de China. Tiene una gran capacidad para explotar vulnerabilidades de día cero y acceder a dispositivos muy variados. Además, en los últimos años ha aumentado su capacidad de servidores, por lo que se ha tornado en un peligro mayor. 

Este servicio permite un conjunto completo de actividades, incluida la explotación escalable de bots, la gestión de vulnerabilidades y exploits, la gestión remota de la infraestructura C2, la carga y descarga de archivos, la ejecución remota de comandos y la capacidad de adaptar los ataques de denegación de servicio distribuido (DDoS) basados ​​en IoT a escala.

Cómo evitar problemas con botnets

Hoy en día tenemos muchos dispositivos inteligentes conectados a la red, por lo que es aún más importante tomar precauciones y no dar facilidades a los atacantes.

Algo fundamental es actualizar los dispositivos. Una de las opciones que tienen los atacantes de lograr éxito, es precisamente al aprovecharse de equipos desactualizados, con vulnerabilidades. Por tanto, asegúrate siempre de tener la última versión del firmware disponible. Esto te ayudará a corregir fallos, pero también a optimizar el funcionamiento.

Otro consejo es que utilices contraseñas que sean fuertes y seguras. También es bastante común que los cibercriminales exploten claves de acceso débiles y entrar así en los dispositivos. Nunca dejes la contraseña que viene por defecto, sino que deberías poner una nueva, creada totalmente aleatoria y con buena longitud.

Es importante siempre mantener una buena seguridad de los dispositivos y evitar así dar facilidades a los ciberdelincuentes.

Ir al Inicio

miércoles, 18 de septiembre de 2024

La opción de WhatsApp desactivada por defecto para evitar que te roben haciéndose pasar por un contacto

Meta está comprometida con la seguridad en sus plataformas y ha blindado WhatsApp con una serie de funciones para acabar con el spam. La aplicación de mensajería instantánea integra una función con la que evitar las estafas de suplantación de identidad.

Activar la protección de WhatsApp frente a estafas

 
La opción oculta de WhatsApp (desactivada por defecto) para evitar que te roben haciéndose pasar por un contacto

 

WhatsApp tiene una forma de evitar los mensajes de números desconocidos, pero la función está desactivada por defecto para los usuarios. La aplicación tiene un sistema que alerta si alguno de tus contactos ha cambiado su código de seguridad o ha realizado alguna acción sospechosa con su cuenta.

Esta opción funciona para las estafas por suplantación de identidad que acostumbran robar una cuenta y modificar el número sin que los usuarios se den cuenta del cambio. Los ciberdelincuentes pueden robar la cuenta de WhatsApp de tu socio, amigo o familiar, pero la aplicación te avisará para que estés alerta.

Los motivos por los que Meta no activa esta función por defecto se desconocen, pero se puede configurar desde los ajustes de WhatsApp, luego dirígete a Cuenta y activa la primera opción que aparece conocida como “Notificaciones de seguridad”. 

Esta función revisa los cambios sospechosos en el código de seguridad del número de los contactos con los que tienes abierto un chat. “Si tienes varios dispositivos, debes activar este ajuste en cada dispositivo en el que quieras ver las notificaciones”, ha aclarado WhatsApp.

Esta capa de seguridad se suma a otras funciones que ha desarrollado la aplicación en los últimos meses con las que protege a los usuarios. Una de ellas es el bloqueo de todos los números desconocidos o establecer un límite de chats nuevos para un periodo determinado.

Ir al Inicio

martes, 17 de septiembre de 2024

¿Te ha escrito el servicio técnico de WhatsApp? es una estafa

Cada vez nos encontramos con una mayor cantidad de intentos de estafa y ataques a través de WhatApp. Una nueva campaña maliciosa se ha detectado recientemente diseñada de tal manera que podemos caer en la trampa sin darnos cuenta.

Cómo funciona esta estafa de WhatsApp

En un principio la campaña se centra en hacerse pasar por el servicio técnico de la propia aplicación. Evidentemente, todo ello con el claro objetivo de que nos confiemos.

En un aviso nos informan de que algunos usuarios se han encontrado con mensajes o incluso llamadas a través de WhatsApp de personas supuestamente pertenecientes al servicio técnico de la aplicación. Aquí nos mencionan que otros usuarios han accedido a nuestra cuenta de manera fraudulenta y se quieren asegurar de que nosotros somos los propietarios legítimos.

privacidad whatsapp

De ahí que nos piden una serie de datos pertenecientes a la cuenta como tal, inclusive la activación del método de protección de doble factor. Una vez hemos proporcionado todos esos datos de la cuenta al supuesto trabajador de Meta, al finalizar la comunicación los usuarios afectados ven que ya no tienen disponible su cuenta de WhatsApp. Básicamente, esto se traduce en que hemos sufrido un hackeo a toda regla.

Evita este tipo de fraudes y estafas online

Lo primero que debemos tener en consideración es que ni WhatsApp ni ninguna otra plataforma online, incluido nuestro banco, nos va a solicitar nunca datos de autenticación. Esto quiere decir que nunca debemos proporcionar los datos de acceso a nuestras plataformas si nos los solicitan a través de un mensaje SMS, de mensajería o por teléfono.

Lo habitual es que tengamos que introducir, en caso necesario, tan solo una parte de nuestra clave personal, todo ello a través de la web oficial de la plataforma o aplicación como tal. Las solicitudes de credenciales de acceso que nos llegan por el resto de vías, lo más probable es que sean una estafa o intento de ello. Cuando esto suceda, lo mejor que podemos hacer es notificar a los admministradores de la plataforma el intento del que estamos siendo víctimas.

Ir al Inicio

lunes, 16 de septiembre de 2024

APP Open Source para limpiar el móvil que lo deja como nuevo

Afortunadamente, hay gran variedad de apps para limpiar nuestro smartphone, algunas míticas y que siguen funcionando a las mil maravillas en la actualidad. Otras no tanto, no en vano, se han ganado la fama de hacer poco y ralentizar mucho.

Así de fácil funciona Cleaner

Cleaner es una de esas aplicaciones que pocos usuarios conocen. Es natural, puesto que no acumula millones de descargas en Play Store y es relativamente reciente. Su desarrollador, la mantiene con actualizaciones frecuentes.

Una de sus bondades es que es Open Source, por lo que su código está disponible para todo aquel que quiera realizar una modificación o mejora. Aunque lo verdaderamente relevante de Cleaner es que cumple con creces las expectativas desde un primer momento.

Es una aplicación muy sencilla, enfocada en el mantenimiento de nuestro dispositivo Android: escanea la memoria interna para localizar archivos pesados, residuales (de aplicaciones que ya no usamos) y que de manera adicional, proporciona un administrador de aplicaciones y de memoria.

Cleaner App Android

 

La única cagada son los anuncios que salen en la parte inferior de la pantalla, a veces en pantalla completa también, aunque por suerte se pueden cerrar inmediatamente.

Lo mejor es la sencillez: este tipo de aplicaciones suelen hacer falsas promesas, así como ejecutar tareas que dicen aumentar la velocidad del sistema. Nada de eso es verdad, por eso los usuarios valoran tanto a Cleaner. No intenta engañarnos, simplemente ayudarnos en la limpieza de archivos y aplicaciones.

Por si fuera poco, el diseño es muy familiar e intuitiva, podría ser perfectamente una app de Google. De hecho, se asemeja en cierta manera al administrador de Google Files. Uno de los aspectos de esta app que más convence.

Cleaner Android Ajustes

Y sus ajustes permiten personalizar esta experiencia de limpieza: temas oscuros y claros, colores de acento, qué archivos se eliminan y analizan, y un largo etcétera. Ideal para limpiar la memoria interna y ganar algo de espacio.

Puedes descargar Cleaner desde Play Store siguiendo este enlace. O bien desde su repositorio oficial en GitHub. Recuerda activar la opción de orígenes desconocidos para que Android te permita instalarla.

Ir al Inicio

sábado, 14 de septiembre de 2024

El troyano TrickMo para Android aprovecha los servicios de accesibilidad para cometer fraudes bancarios en el dispositivo

Investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el análisis y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas.

"Los mecanismos incluyen el uso de archivos ZIP malformados en combinación con JSONPacker", dijeron los investigadores de seguridad de Cleafy Michele Roviello y Alessandro Strino . "Además, la aplicación se instala a través de una aplicación de descarga que comparte los mismos mecanismos anti-análisis".

"Estas funciones están diseñadas para evadir la detección y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware".

TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene antecedentes de atacar dispositivos Android para robar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero.

Se considera que el malware enfocado en dispositivos móviles es obra de la ahora desaparecida banda de delitos electrónicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibida.

Entre sus características se destacan su capacidad para grabar la actividad de la pantalla, registrar pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposición HTML, así como realizar clics y gestos en el dispositivo.

La aplicación maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome y, cuando se inicia después de la instalación, insta a la víctima a actualizar los Servicios de Google Play haciendo clic en el botón Confirmar.

Troyano para Android TrickMo

Si el usuario continúa con la actualización, se descarga al dispositivo un archivo APK que contiene la carga útil de TrickMo bajo la apariencia de "Servicios de Google", después de lo cual se le solicita al usuario que habilite los servicios de accesibilidad para la nueva aplicación.

"Los servicios de accesibilidad están diseñados para ayudar a los usuarios con discapacidades brindándoles formas alternativas de interactuar con sus dispositivos", dijeron los investigadores. "Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo".

"Este permiso elevado permite a TrickMo realizar diversas acciones maliciosas, como interceptar mensajes SMS, gestionar notificaciones para interceptar u ocultar códigos de autenticación y ejecutar ataques de superposición HTML para robar credenciales de usuario. Además, el malware puede ignorar las protecciones de teclas y aceptar permisos automáticamente, lo que le permite integrarse sin problemas en las operaciones del dispositivo".

Además, el abuso de los servicios de accesibilidad permite al malware deshabilitar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos automáticamente a voluntad y evitar la desinstalación de ciertas aplicaciones.

Troyano para Android TrickMo

El análisis de Cleafy también descubrió configuraciones erróneas en el servidor de comando y control (C2) que hicieron posible acceder a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales e imágenes, sin requerir ninguna autenticación.

El servidor C2 también aloja los archivos HTML utilizados en los ataques de superposición. Estos archivos incluyen páginas de inicio de sesión falsas para varios servicios, entre ellos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance.

La falla de seguridad no solo resalta el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de ser explotados por otros actores de amenazas.

La gran cantidad de información expuesta desde la infraestructura C2 de TrickMo podría aprovecharse para cometer robos de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar las cuentas y bloquear el acceso de las víctimas restableciendo sus contraseñas.

"Usando información e imágenes personales, el atacante puede crear mensajes convincentes que engañen a las víctimas para que divulguen aún más información o ejecuten acciones maliciosas", señalaron los investigadores.

“La explotación de datos personales tan amplios produce daños financieros y de reputación inmediatos y consecuencias a largo plazo para las víctimas, lo que hace que la recuperación sea un proceso complejo y prolongado”.

La revelación llega mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos determinen si sus aplicaciones se cargan lateralmente mediante la API Play Integrity y, de ser así, requerir que los usuarios descarguen las aplicaciones de Google Play para poder seguir usándolas.

Ir al Inicio