lunes, 13 de febrero de 2017

Kaspersky descubre un potente malware invisible que está infectando a bancos de todo el mundo


Los investigadores de Kaspersky Lab han vuelto a detectar un malware similar en apariencia al famoso Duqu 2.0 aparecido hace dos años. Según la investigación publicada las redes pertenecientes a 140 bancos y otras empresas han sido infectadas por este malware capaz de permanecer casi invisible.
En el año 2015 hacía su aparición Duqu 2.0, un virus que tenía la capacidad de infectar una red y permanecer únicamente en la memoria de las computadoras comprometidas. Como resultado de ello la infección permaneció sin ser detectada durante más de medio año.
El malware encontrado esta semana es muy similar. Según Kaspersky los hackers podrían tener una clara motivación financiera debido a los objetivos seleccionados. Además, podrían ser más de 140 bancos, ya que las infecciones son difíciles de detectar y los atacantes emplean herramientas legales para aprovechar alguna vulnerabilidad e inyectar el malware en la memoria del ordenador. Todo ello para finalmente sacar dinero de las cajeros… desde los propios bancos. Según la compañía de seguridad:
Lo que es interesante aquí es que estos ataques contra los bancos continúan en todo el mundo . En muchos casos los bancos no han sido adecuadamente preparados para lidiar con esto y las personas detrás de los ataques están sacando el dinero de los bancos... desde dentro de los propios bancos dirigiendo ordenadores que manejan los cajeros automáticos.
Las 140 organizaciones que han sido afectadas residen en 40 países diferentes, siendo Estados Unidos, Francia, Ecuador, Kenia y el Reino Unido los cinco países más afectados.
Un malware que se descubrió a finales del año pasado a través de un equipo de seguridad de un banco, en ese momento dieron con un controlador de dominio de Microsoft infectado aunque intacto, presumiblemente porque no se había reiniciado.
El análisis posterior encontró que los atacantes utilizaron herramientas para recopilar contraseñas de los administradores del sistema. Hoy los investigadores siguen sin saber la procedencia del ataque o incluso la manera en la que el malware se inicia, dudas que esperan resolver de aquí al mes de abril, momento en el que proporcionaran más detalles de la investigación en curso.

Fuente:  http://es.gizmodo.com/kaspersky-descubre-un-potente-malware-invisible-que-est-1792122617

sábado, 3 de septiembre de 2016

Lanzamiento de Tails 2.5, Tor 0.2.8.6 y Tor Browser 6.0.3

Tails 2.5 

Se han detectado numerosos agujeros de seguridad en varias de las aplicaciones o bibliotecas incluidas en Tails 2.4, por lo que pasarse a la nueva versión se hace imperativo.

Entre los programas implicados: Icedove, Linux Kernel, GIMP, libav, expat, libgd3, libmodule-build-perl, LibreOffice, libxslt1.1, OpenSSH, p7zipy el propio Tor Browser con problemas heredados de su base Firefox.

Al margen de esos problemas que fueron rastreados y solucionados vía Debian (la distro de la que deriva Tails) y Mozilla, destacar la actualización del cliente de correo Icedove que sustituyo a Claws Mail hace una temporada.

Icedove 45.1 soluciona algunos problemas de congelación en su pantalla en la configuración automática de proveedor de correo, de sincronización y también de envío en el caso de usar cuentas de Riseup o Boum.

Esta edición incluye lo último del navegador Tor Browser (6.0.3), del que hablaremos después.

Por lo demás en Tails 2.5 nos encontramos lo de siempre: escritorio GNOME (3.14.1), posibilidad de usar i2p como software de anonimato, modo persistencia para su ejecución live (Tails no se instala en el disco duro, o por lo menos no está diseñada para eso), cambio de dirección MAC para evitar dejar huellas y configuración de bridges para evitar una posible censura de la red Tor.

Por supuesto también programas de uso común –los LibreOffice, Gimp o Audacity que nos encontramos en cualquier distro– y otros algo más específicos: como el gestor de contraseñas KeePassX, el editor especializado en traducción de aplicaciones y sitios Poedit, la utilidad para sumas de verificación GTKhash, carteras para criptodivisas como Electrum Bitcoin Wallet, el programa para eliminar metadatos de nuestros archivos MAT, el software de edición colaborativo Gobby y WhisperBack una herramienta que permite reportar bugs de forma anónima.

Podéis descargar Tails 2.5 desde su web.
 
Tor Browser 6.0.3

El navegador más popular a la hora de circular de forma anónima en internet, se basa en su última edición en Firefox 45.3.0esr. (Firefox Extended Support Release).

Además de solucionar un puñado de bugs, actualiza algunos de los complementos que habitualmente le acompañan, aumentando sus capacidades y haciendolo mas seguro:

    Torbutton 1.9.5.6: botón en la barra de tareas que nos permite crear una nueva identidad, establecer nuestras preferencias de privacidad, modificar los niveles de seguridad o jugar con las conexiones de red.
    NoScript 2.9.0.12: botón en la barra de tareas que nos permite crear una nueva identidad, establecer nuestras preferencias de privacidad, modificar los niveles de seguridad o jugar con las conexiones de red.
    HTTPS-Everywhere 5.2.1: extensión que obliga a navegar con cifrado HTPPS, en las webs que así lo provean.

En el blog del proyecto Tor tenéis las notas completas de lanzamiento y enlaces para su descarga.

Tor 0.2.8.6

Señalar también que tras diez meses de trabajo se ha liberado The Onion Router 0.2.8.6, el software multiplataforma y protocolo de red implementado en servidores (nodos) y clientes para proteger la privacidad de sus usuarios.

Esta edición además de optimizar el rendimiento –reduciendo el tiempo de arranque de los clientes– y la seguridad en general –en especial lo relativo a las claves de identificación en el servidor–, vemos que en sistemas Linux se introducen las KeepBindCapabilities, que permiten al ejecutar Tor como root y posteriormente si cambiamos de identidad, mantenerlo asociado con un puerto inferior por debajo del 1024 (puertos con privilegios que un usuario normal generalmente no puede utilizar).

Más información sobre lo que nos trae Tor 0.2.8.6 en su web.

Fuente: https://www.sololinux.es/lanzamiento-de-tails-2-5-tor-0-2-8-6-y-tor-browser-6-0-3/

miércoles, 16 de marzo de 2016

De Foundation a Fandation -Un error que aborto un robo de 1000M€-.

Un error ortográfico (typo)en la instrucción a la hora de ordenar la transferencia bancaria ayudó a las autoridades a evitar el robo de cerca de mil millones de dólares al Banco Central de Bangladesh el mes pasado.

Así lo reveló uno de los funcionarios de la banca, cuyo ataque se produjo desde su cuenta en la Fed, el Banco de la Reserva Federal de Nueva York.

El ciberdelincuente que debía ordenar la transferencia a la Fundación Shalika, que se escribe en inglés "Foundation Shalika", escribió "Fandation Shalika". A pesar del error, los ciberdelincuentes consiguieron robar cerca de 100 millones de dólares, lo que supone uno de los mayores robos bancarios de la historia.

Esta semana el Banco de Bangladesh denunció el hecho del que fue víctima el 5 de febrero.

Según las primeras investigaciones, el ataque posiblemente proviene de China y consistía en realizar varias transferencias a diferentes cuentas en distintos países asiáticos desde la cuenta en la Fed por valor de unos 100 millones de dólares.

Los ciberdelincuentes violaron los sistemas del Banco de Bangladesh y robaron sus credenciales para realizar las diferentes transferencias de pago. A continuación, bombardearon el Banco de la Reserva Federal de Nueva York con casi tres docenas de peticiones para mover el dinero de la cuenta del Banco de Bangladesh a Filipinas y Sri Lanka.

Tras cuatro órdenes, por un valor de 81 millones de dólares, llegó la quinta por valor de 20 millones.

En ese momento, el delincuente debía ordenarla el traspasado a la ONG "Foundation Shalika". Sin embargo se confundió al escribir mal el nombre de la supuesta organización sin ánimo de lucro de Sri Lanka. Fue cuando saltaron todas las alarmas.

A partir de ese momento, los piratas se dieron cuenta de que ya no podían ejecutar su plan al completo: aún les quedaba por ordenar transferencias por un monto de unos 870 millones de dólares. Todas ellas fueron abortadas.

El Banco de Bangladesh trabaja por recuperar parte del dinero robado aunque en realidad tiene pocas esperanzas de conseguirlo o de localizar a los delincuentes que se esconden tras este ataque.

Además, culpa a la Fed de no detectar el robo y detener, por tanto, las operaciones. La entidad de Nueva York, sin embargo, aseguró que sus sistemas no se rompieron.

Fuente: The hackers News.

viernes, 12 de febrero de 2016

Escalada de privilegios en Windows: Hot Potato

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramientas de comandos que estos denominaron como "Hot Potato".

Esto es posible a unos fallos de diseño de Windows bien gestionados en el que se realizan tres ataques en uno.NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAP (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB).

Como ejemplo en una máquina virtual con Windows 7 PRO de 32bits el cual tiene las configuraciones por defecto. Haciendo uso de Potato intentaré escalar a un usuario raso y hacerlo formar parte del grupo Administradores del sistema en un Windows 7.
Nos descargamos a local Potato, abrimos una consola de comandos y comprobamos la dirección IP local y el usuario local de esa instancia el cual no tiene privilegios y es el usuario el cual queremos elevar sus permisos.

Figura 1: Comprobamos que el usuario no está como usuario administrador.

Dependiendo de ejecutar potato.exe en un sistema Windows 7/8/10/Server 2012 se aplicará de una u otra forma, dependiendo la técnica a aplicar.
Para más información consultar la web oficial del equipo de "Hot Potato"



Figura 2:  Sabiendo la dirección IP local y ejecutamos potato.exe para Windows 7.

Haciendo uso del modificador "-cmd" ejecutamos una cmd.exe y ejecutamos añadimos un usuario al grupo administradores (net localgroup administradores [user] /add).


Figura 3: Comprobamos que el usuario a sido agregado al grupo administradores.

¿Soluciones a estos tres ataques?

Lo que podemos hacer para solucionar esto sería revisar el tráfico NBNS de nuestra red, para WPAD detener el servicio de detección automática de proxy web WinHTTP, y para NTLM forzar la autenticación de Kerberos y NTLMv2 con esta solución de Microsoft y forzar la política para firmar comunicaciones SMB siempre.

Fuente: http://www.zonasystem.com/