Month: May 2016

The next generation Yontoo browser hijackers

Posted on

Looking at the latest Yontoo browser hijackers leads us to believe that they have shifted their interest from Firefox to Chrome.

We have discussed Yontoo before as a PUP that has two faces. The official installer used to target Firefox and Internet Explorer.  Now they have shifted to Chrome. A few in between have been doing both Chrome and Firefox, but were less intrusive towards Chrome. More precisely, they did not change the Start- and Home-page.

Why the change?

Of course we can only guess, but a good reason seems to be the fact that Firefox started disabling their browser Extensions as they could not be verified. So maybe we can chalk this one down as a victory for those guidelines.


I guess even if their extensions would make it through the guidelines required by Firefox, it would take too much time and energy to do this for all the new versions that Yontoo keeps putting out there. Why they apparently have stopped targeting Internet Explorer is a mystery to us at this point in time. Maybe they are planning a similar move to target Edge with newer variants.

What does it do to Chrome?

These are the permissions that the new version gets.


The hybrid versions that targeted both Chrome and Firefox were a little less intrusive as they did not change the Start- and Home-page in Chrome.


Besides changing these settings the Yontoo extensions also control several settings for Chrome until you disable the extension.



We took a closer look at the new versions of the Yontoo browser hijackers and took a stab at guessing why they made the switch from Firefox to Chrome.

Extra file information

Md5 Search New Window installer 1f9ec8189ce7a8e0b1057b518714ccca

Md5 Tide Search installer 4cdff17f8ab9b8056ecdcef35bdd26db

Md5 Search Voyage installer 89e2b736e401f53e3159b046b4b46ace


FBI Harassing TOR Software Developer, Refusing To Explain Why They Want To Meet Her

Posted on

Short Bytes: Little did Isis Agora know that working for the Tor would land her into a land of troubles. This account of a series of events that happened between her and the FBI is sufficient to explain the intention of the FBI and what traumatic and post-traumatic behavioural changes a normal citizen has to go through after such incidents. 

To crack its authoritarian whip, FBI seems so wilful in its act. They like to chase, sniff and sometimes, even let loose from a distance that the sound is perceived not so loud to others yet it reaches out to the intended person. Such is the case with Isis Agora Lovecruft.

Isis Agora Lovecruft has been working with the Tor for many years. Currently, her job role is a lead software developer. Besides working as a lead software developer, she has experience in working with other security and encryption products and services like Open Whisper Systems and the LEAP Encryption Access Project.


Well, like her, there are many in the US who have such a job role and same working experience in security as a developer. So, is that a coincidence that FBI ‘just’ wants to talk to her?

It began with an FBI agent coming to her parents’ house, leaving behind his visiting card and later making phone calls to her parents when she was not at home and out for work. Puzzled by such incidents, Lovecruft decided to hire a lawyer who reached out to the FBI agent in the scene above.

Here is what happened:

The lawyer calls the FBI agent. The lawyer said that now he represents the Lovecruft’s family and asked the FBI agent that instead of directing the questions to the family members, all the questions should be directed to him. For which the agent agreed but asked to call back in five minutes.

Back then, LoveCruft was in a process of shifting to Germany permanently. Even in Germany, FBI gave her frequent visits and calls.

Meanwhile, in the discussion with the lawyer, the FBI kept mentioning some documents which they had no idea about and FBI insisted always on meeting with her in person.

However, the next day, Agora’s visa was approved but eight hours later, his lawyer received a voicemail saying:

Hello this is Special Agent Kelvin Porter, we spoke two days ago regarding your client. Umm… well… so the situation with the documents… it’s umm… it’s all fixed. I mean, we would of course still be happy to meet with your client if she’s willing, but the problem has… uh… yeah… been fixed. And uh… yeah. Just let us know if she wants to set up a meeting.

But this voicemail from January is not the end of the story.

Last week, FBI came knocking again at her door with a subpoena for her to serve. The lawyer representing Lovercuft was informed of the subpoena and asked that she should meet one of their agents in San Francisco. The situation looked like Lovecruft might be a potential target which FBI was reluctant to talk about from the beginning.

Owing to such tremendous pressure, she stopped contacting others fearing she might endanger them as well. Her parents a-9lso would sometimes receive threats and so will his lawyer.

As she mentions in the end that paychecks for working on Tor come from the US government. She is not doing any crime, she is just working on a software which lets people browse safely.


Iran-linked Hackers Used “Infy” Malware in Attacks Since 2007

Posted on Updated on

Researchers at Palo Alto Networks have come across a new malware family that appears to have been used by an Iran-based threat actor in targeted espionage operations since 2007.

The security firm discovered the malware after in May 2015 its systems detected two emails carrying malicious documents sent from a compromised Israeli Gmail account to an industrial organization in Israel. At around the same time, the company also spotted a similar document attached to an email sent to a U.S. government recipient.

An analysis of the files and the malware functionality turned up more than 40 variants of a previously unknown malware family that Palo Alto Networks has dubbed “Infy” based on a string used by the threat actor in filenames and command and control (C&C) folder names and strings.

Based on samples submitted to VirusTotal, the oldest variant found by researchers dates back to August 2007. However, the C&C domain used by the oldest sample has been associated with malicious activity as far back as December 2004.

Experts reported observing increased activity after 2011 and noted that the malware has improved over the years, with developers adding new features such as support for the Microsoft Edge web browser. Attacks involving Infy malware were also spotted in April 2016, which suggests the actor continues to be active.

According to Palo Alto Networks, most of the malware samples from over the last five years were eventually detected by antivirus software, but in a majority of cases with a generic or unrelated signature. Experts attributed the industry’s failure to connect the Infy samples to each other to the fact that the malware has only been used in limited attack campaigns.

The malware, typically disguised as a document or a presentation, is designed to collect information about the infected system, log keystrokes, and steal passwords and other data from browsers. All the information is sent back to a C&C server.

Researchers identified 12 domains used for C&C servers, some of which have also been mentioned in a report describing an attack against the government of Denmark.

WHOIS information and IP addresses associated with the C&C domains suggest that the attackers might be based in Iran, although it’s not uncommon for threat groups to plant false evidence to throw investigators off track.

“We believe that we have uncovered a decade-long operation that has successfully stayed under the radar for most of its existence as targeted espionage originating from Iran. It is aimed at governments and businesses of multiple nations as well as its own citizens,” researchers said in a blog post.

Andre McGregor, director of security at endpoint protection company Tanium, noted in a presentation earlier this year at the RSA Conference that Iran had no cyber capabilitiesuntil 2010, when its nuclear facilities were hit by Stuxnet. However, the expert said the country, whose main enemies are considered Israel, the United States and Saudi Arabia, evolved a great deal over the past years.

The most notable attacks attributed to Iran include the Saudi Aramco incident, the DDoS attacks aimed at U.S. banks, a 2013 attack on a small New York dam, and an operation targeting the Sands Casino in Las Vegas.



Posted on

La ciberseguridad se refiere al conjunto de soluciones, servicios y entrenamientos que puede implementar una empresa u organización para su ciberdefensa contra ciberataques. Según los informes de la empresa de ciberseguridad, las empresas u organizaciones son cada vez más conscientes de los ciberataques. Desde el último año, casi un 35% de las empresas en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India han incrementado sus inversiones en los servicios de ciberseguridad y es por eso que hay una gran necesidad de especialistas de ciberseguridad para implementar las soluciones de ciberdefensa. Al comprender las razones detrás de los ciberataques, permite una empresa u organización a adquirir los servicios de ciberseguridad y diseñar plan de ciberseguridad y ciberdefensa de una manera más efectiva. Según la experiencia de los especialistas de ciberseguridad, es más el miedo a los ciberataques dirigidos está haciendo que los gobiernos, empresas u organizaciones gastan dinero en los servicios de ciberseguridad y soluciones de ciberdefensa. Estos planes de implementación de los servicios de ciberseguridad y soluciones de ciberdefensa, van mucho más allá de invertir en las soluciones tradicionales como los firewalls, gestión de vulnerabilidades, etc. En general, ellos están buscando servicios de ciberseguridad más sofisticados y soluciones de ciberdefensa inteligentes que puedan protegerles de ciberataques avanzados.

Como los gobiernos y empresas grandes están involucrados en el tema de ciberseguridad, la metodología de implementar servicios de ciberseguridad y soluciones de ciberdefensa ha cambiado de modo radical. Según el profesor de la escuela de ciber seguridad, la ciberseguridad se ha convertido en una cosa necesaria para todos los aspectos. Las empresas grandes no solo están enfocando sobre servicios de ciberseguridad y soluciones de ciberdefensa, también se quieren que su equipo de TI sea especialista en ciberseguridad. Para desarrollar habilidades de especialista de ciberseguridad en su equipo de TI, las empresas deben enfocar en las capacitaciones de ciberseguridad. Con las capacitaciones de ciberseguridad las pequeñas empresas también pueden comprender y implementar las soluciones de ciberseguridad avanzadas y soluciones de ciberdefensa inteligentes sin ayuda de una empresa de ciberseguridad.

La solución del problema de ciberseguridad parece sencillo pero hay muchos obstáculos como falta de recursos, conocimientos, dinero etc. Pero con la participación del gobierno en el área de ciberseguridad, las cosas pueden cambiar mucho. Los gobiernos de varios países, especialmente de Estados Unidos, Rusia, China, Reino Unido, Alemania y la India han estado desarrollando y empleando capacidades ofensivas cibernéticas, incluyendo el espionaje cibernético. Estos esfuerzos no están realmente enfocados en las soluciones de ciberdefensa o en perito judicial informático sin embargo; están más enfocados sobre cómo tomar el control del ciberespacio y es similar a la guerra fría en la década de los 80. Para disuadir a los ciberataques, muchos gobiernos han pensando en usar las sanciones y demás acciones típicos utilizados para el acto de la guerra. Estos acciones ayudarán en algunos escenarios, pero no en otros escenarios en los que perito judicial informático no puede producir suficiente evidencia. Según los expertos de la formación de perito judicial informático, para defenderse en el ciberespacio, el gobierno debe jugar un papel proactivo en el ámbito de ciberseguridad.

Profesor de la escuela de ciber seguridad, Dave Smith menciona que para el gobierno a proteger el sector privado en el ciberespacio es una tarea compleja, ya que hay una gran cantidad de restricciones políticas. Implementación de los servicios de ciberseguridad y soluciones de ciberdefensa para la aplicación de la ley en el ciberespacio es una tarea compleja. Al asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad, las agencias gubernamentales pueden mantener un control más fuerte sobre el ciberespacio. Como hay muchas organizaciones de ciberseguridad que trabajan en proyectos patrocinados por el gobierno y esas organizaciones tienen muchos recursos. Entonces, estas organizaciones de ciberseguridad pueden compartir la información sobre amenazas con las empresas de ciberseguridad y otras empresas del sector privado.

Los gobiernos de varios países pueden crear los siguientes programas como parte de sus estrategias de seguridad cibernética y sus guerras contra ciberdelincuencia.


El objetivo del programa de educación general de ciberseguridad debería centrarse más en la aumentación de la conciencia de ciberseguridad entre público en general. Las agencias gubernamentales pueden colaborar con las escuelas de ciber seguridad y garantizar que las personas aprenden a ser más seguro en línea. Similares programas se fueron lanzados por las empresas de ciberseguridad y escuelas de ciber seguridad en Europa y estaban dirigidos a aumentar la comprensión de las amenazas cibernéticas y cómo funciona la ciberdelincuencia. Según los profesores de escuela de ciber seguridad, las agencias gubernamentales pueden organizar programas de publicidad en televisión y en línea para aumentar la conciencia de ciberseguridad entre publico.


Acuerdo con los maestros de escuela de ciber seguridad; el problema en el ámbito de ciberseguridad, es la extrema escasez de los especialistas de ciberseguridad altamente cualificados. El sistema educativo existente debe producir más estudiantes con altamente calificados en ciberseguridad. Estos especialistas de ciberseguridad, mantendrán el gobierno y el sector privado por delante en el escenario de la tecnología. El gobierno tiene que desarrollar una estrategia para ampliar y apoyar los programas de educación en ciberseguridad dirigidos por las escuelas de ciber seguridad. El objetivo del programa de desarrollo y entrenamiento de ciberseguridad debería ser asegurarse de que el gobierno y el sector privado tienen especialistas de ciberseguridad. El gobierno debe trabajar con las escuelas de ciber seguridad y asegúrese de que el nivel de capacitación de ciberseguridad es de acuerdo con las normas internacionales. Podemos clasificar las capacitaciones de ciberseguridad en siguientes áreas: usuarios general de TI, la infraestructura de tecnología de la información, operaciones, mantenimiento y seguridad de la información, perito judicial informático, análisis de malware, seguridad en la nube, seguridad móvil, desarrollo de exploits, soluciones de ciberdefensa, derecho cibernético, contrainteligencia y cursos de ciberseguridad avanzados. Según profesores de cursos de ciberseguridad, con la ayuda de los cursos de ciberseguridad, el sector privado tendrá el mayor beneficio, ya que reducirá su gasto en servicios de ciberseguridad.


El objetivo del programa de infraestructura para educación de ciberseguridad debería ser centrarse en la creación de nuevas escuelas de ciber seguridad y la mejora de las escuelas de ciber seguridad existentes. El programa debe incluir alianza con las escuelas de ciber seguridad y las organizaciones de ciberseguridad existentes para desarrollar más programas de investigación y desarrollo en este campo. Programa de infraestructura para educación de ciberseguridad debe apoyar la educación formal de ciberseguridad y también debe ser un programa líder en la investigación y el desarrollo de ciberseguridad. Así este programa ayudaría a los gobiernos, el sector privado, las empresas de ciberseguridad existentes y las organizaciones de ciberseguridad. Todas estas escuelas de ciber seguridad también pueden servir como centros de servicios de ciberseguridad y actuarán como autoridad de referencia para las universidades y otras escuelas existentes.


Las agencias gubernamentales pueden asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad en el ámbito de respuesta a incidentes. Expertos de escuela de ciber seguridad explican que cuando las grandes empresas como banco o empresa multinacional etc sufren un ciberataque; ellos pueden tomar la ayuda del gobierno para hacer un perito judicial informático. Sin embargo, cuando las pequeñas empresas sufren un ciberataque; no es fácil para ellos a tomar la ayuda del gobierno para hacer un perito judicial informático. Así con este programa las pequeñas empresas pueden tomar la ayuda de una organización de ciberseguridad o empresa de ciberseguridad para el perito judicial informático. La otra solución es construir un equipo in-house de perito judicial informático con la ayuda de expertos de una buena escuela de ciber seguridad.


El objetivo del programa de recursos humanos de ciberseguridad debería ser gestionar el empleo en ciberseguridad, reclutamiento de personas y estrategias de las rutas de sus carreras. Con la ayuda de este programa, las agencias gubernamentales pueden administrar la fuerza laboral del gobierno, la fuerza laboral de las agencias de inteligencia, la fuerza laboral de las organizaciones de ciberseguridad y la fuerza laboral del sector privado. Profesores de los cursos de ciberseguridad mencionan que el programa de recursos humanos de ciberseguridad se puede utilizar para la evaluación de especialistas de ciberseguridad. Esto ayudaría en el desarrollo de especialistas de ciberseguridad y programas de capacitación de ciberseguridad.



No es suficiente que solo los profesionales de informática comprendan la importancia de ciberseguridad; líderes en todos los niveles de gobierno y el sector privado deben comprender la importancia de ciberseguridad. Por lo tanto la formación de ciberseguridad no sólo ayudará a los empleados de nivel bajo, pero los líderes empresariales también, y les ayudará a tomar decisiones de negocios e inversiones basadas en el conocimiento de los riesgos y posibles impactos. Así mismo una decisión tan importante es un programa de bug bounty y premios. El objetivo de este programa debería ser recompensar los especialistas de seguridad cibernética para encontrar vulnerabilidades y reportarlas en lugar de venderlas en el mercado negro. Según el profesor de curso de ciberseguridad, Deen Wright; es muy importante para los líderes del gobierno a hacer alianzas adecuadas con los líderes de las empresas de ciberseguridad y las organizaciones de ciberseguridad para desarrollar programa de recompensa y premios para recompensar los investigadores de seguridad cibernética por sus esfuerzos.

De esta manera el gobierno puede desarrollar una estrategia para ampliar sus alianzas con diversas empresas del sector privado, las empresas de ciberseguridad, escuelas de ciber seguridad y las organizaciones de ciberseguridad existente para defender proactivamente contra los ciberataques, los actos de espionaje y para establecer un lugar más fuerte en el espacio cibernético. Organizaciones como Instituto Internacional de Seguridad Cibernética una organización de ciberseguridad están trabajando junto con los gobiernos de los distintos países y sector privado.


OpenSSL gears up to fix high impact vulnerabilities

Posted on

OpenSSL project had announced on Thursday (April 28) upcoming security fixes for several vulnerabilities affecting the crypto library.

Every OpenSSL release since the infamous Heartbleed vulnerability1 of April 2014 has been met with nervous anticipation, and that applies as much to the upcoming 1.0.2h, 1.0.1t which will be released on May 3 between 12:00 and 15:00 UTC. These releases will patch several flaws, including ones rated ‘high severity’.

Issues that have a high severity rating affect less common configurations or are less likely to be exploitable. The forthcoming releases are due to be out by next Tuesday. They are not accompanied by any logo or a catchy title.

OpenSSL versions 1.0.0 and 0.9.8 are no longer supported and they will not receive any security updates. Support for version 1.0.1 will end on December 31, 2016.

These updates will be the third round in a year. In January, the project released versions 1.0.2f and 1.0.1r to address a high severity flaw that allows attackers to obtain information that can be used to decrypt secure traffic, and a low severity SSLv2 cipher issue.


The last major flare-up on this front coincided with the DROWN vulnerability, which emerged last month in March. DROWN is a serious flaw that can be exploited to crack encrypted communications. DROWN affected a quarter of the top one million HTTPS domains and one-third of all HTTPS websites at the time of disclosure.