Noticias Ciberseguridad

CÓMO ROBAR EL PIN DE ANDROID Y EL CÓDIGO DE IPHONE O ANDROID DE SU AMIGO CON UN ENLACE ÚNICO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tutoriales/como-robar-el-pin-de-android-y-el-codigo-de-iphone-de-su-amigo-con-un-enlace-unico/

Le sorprendería lo fácil que es obtener el PIN del teléfono de su amigo y su contraseña de Windows con un solo enlace. Hoy hablaremos de una herramienta llamada Lockphish, con la que es posible obtener esta información con unos pocos pasos.

Esta herramienta utiliza el servidor Ngrok para la recolección de tráfico. El objetivo de Ngrok es capturar el PIN o la contraseña y enviarlos al atacante en una red privada. Al igual que Ngrok, hay muchos otros proveedores como LocalHost, Serveo, LocalXpose, LocalHostRun que son utilizados por investigadores del Instituto Internacional de Seguridad Cibernética (IICS) con fines de investigación.

ENTORNO

  • Sistema Operativo: Kali Linux 2019.3 64 bit
  • Versión de Kernel: 5.2.0

PASOS DE INSTALACIÓN

1
2
3
4
5
6
7
8
root@kali:/home/iicybersecurity# git clone https://github.com/thelinuxchoice/lockphish
Cloning into 'lockphish'
remote: Enumerating objects: 32, done.
remote: Counting objects: 100% (32/32), done.
remote: Compressing objects: 100% (32/32), done.
remote: Total 32 (delta 11), reused 0 (delta 0), pack-reused 0
Receiving objects: 100% (32/32), 28.39 KiB | 215.00 KiB/s, done.
Resolving deltas: 100% (11/11), done.
  • Use el comando cd para ingresar al directorio lockphish
1
2
root@kali:/home/iicybersecurity# cd lockphish/
root@kali:/home/iicybersecurity/lockphish#
  • Ahora, use este comando para iniciar la herramienta
    • bash lockphish.sh
LockPhish - Tool Launch
  • Cuando lanzamos la herramienta, debemos ingresar al enlace de phishing para redireccionamiento
  • Luego descargará el servidor Ngrok automáticamente, iniciará el servidor Ngrok y PHP y proporcionará un enlace de phishing HTTPS
  • Ahora, envíe esta URL a la víctima o su amigo. Si la víctima abre la URL en el móvil y haga clic en este enlace
Lockphish - Phishing Link
  • La víctima será dirigida a la página de bloqueo de pantalla. Donde él / ella pensará que su teléfono móvil se bloqueó y se le pedirá que ingrese el PIN de Android, el código de acceso del iPhone e incluso la contraseña de Windows si se abre en la máquina Windows
Lockphish - Phishing Lock Page
  • Si la víctima ingresa la contraseña y hace clic en Aceptar. El servidor Ngrok recopila el PIN o la contraseña y los envía de vuelta a la máquina de los hackers
LockPhish - Victim Credentials
  • Aquí, hemos obteniendo con éxito el PIN del teléfono de la víctima, se identifica la dirección IP y los detalles del dispositivo de la víctima
  • De la misma manera, podemos realizar para cualquier teléfono y máquina de Windows

CONCLUSIÓN

Hemos demostrado lo fácil que es robar el PIN o la contraseña de la víctima usando el enlace único en el menor tiempo posible. Recuerde que siempre debe tener cuidado al abrir cualquier URL desconocida en sus dispositivos móviles y computadora.

PUBLICAN JAILBREAK DE IOS 14 SÓLO UNAS HORAS DESPUÉS DE SU LANZAMIENTO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/publican-jailbreak-de-ios-14-solo-unas-horas-despues-de-su-lanzamiento/

Apple acaba de presentar iOS 14, además de iPadOS 14, anunciando también el lanzamiento de la versión beta para que los desarrolladores puedan probar nuevas funciones y preparar sus aplicaciones para cuando la actualización sea lanzada al público en general, mencionan los especialistas de un curso para hackear celulares.

Apenas unas horas después, el desarrollador del equipo checkra1n, Dany Lisiansky, publicó en Twitter una captura de pantalla del jailbreak checkra1n en la primera versión beta de iOS 14: “Como en los buenos y viejos días, es bueno estar de vuelta. Aún falta trabajo por hacer así que por favor sean pacientes”, menciona el tweet del desarrollador.

En la captura de pantalla puede verse la nueva interfaz de la biblioteca de aplicaciones de iOS 14, con uno de los organizadores etiquetado como “Otro” fungiendo como host de la aplicación del cargador checkra1n y el administrador de paquetes Cydia, mencionan los especialistas en un curso para hackear celulares.

Aunque es increíble que el equipo de checkra1n haya conseguido el jailbreak tan rápido, cabe señalar que checkra1n se creó con un exploit de bootrom basado en hardware llamado checkm8, lo que significa que el jailbreak no puede ser corregido vía el lanzamiento de actualizaciones de software, a diferencia de los métodos de jailbreak convencionales basados en exploits tfp0 (unc0ver, por ejemplo).

Los desarrolladores mencionaron que el jailbreak sí requiere de algunos ajustes para operar en la versión beta de iOS 14, pues la compañía implementó múltiples mecanismos de ofuscación en los sistemas iOS e iPadOS para dificultar la ejecución del hack. No obstante, después de comenzar a colaborar con el desarrollador Sam Bingner, los creadores del jailbreak concretaron el lanzamiento.

Acorde a especialistas del curso para hackear celulares, este jailbreak depende de ciertos dispositivos con los chips de hardware A9-A11 admitidos en dispositivos tan antiguos como el iPhone 5s y tan nuevos como el iPhone X. Por desgracia, el iPhone 5s y el iPhone 6/6 Plus no compatible con iOS 14, por lo que solo se admitirán teléfonos más nuevos hasta el iPhone X.

Aún está por verse hasta cuándo se actualizará el jailbreak, aunque los expertos mencionan que esta actualización podría llegar cuando se lance el sistema iOS14 al público en general. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

17 FALLAS EN LOS ENRUTADORES DE CISCO SMALL BUSINESS PERMITEN CREAR BACKDOORS PERMANENTES

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/17-fallas-en-los-enrutadores-de-cisco-small-business-permiten-crear-backdoors-permanentes/

Especialistas en cómputo forense reportan el hallazgo de múltiples vulnerabilidades en múltiples enrutadores Series RV, de Cisco. La explotación exitosa de estas fallas permitiría el despliegue de múltiples escenarios maliciosos como la inyección de comandos y desbordamientos de búfer.

Según el reporte, las fallas residen en la mayoría de las versiones de los siguientes modelos de enrutadores:

  • Cisco RV016 Multi-WAN VPN
  • Cisco RV042 Dual WAN VPN
  • Cisco RV042G Dual Gigabit WAN VPN
  • Cisco RV082 Dual WAN VPN
  • Small Business RV320 Dual Gigabit WAN VPN
  • Small Business RV325 Dual Gigabit WAN VPN

A continuación se presentan breves descripciones de las vulnerabilidades reportadas, con sus respectivas claves y puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2020-3274: Una validación de entrada incorrecta en la interfaz de administración basada en la web permitiría a un actor de amenazas ejecutar comandos arbitrarios en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3275: Una validación de entrada incorrecta en la interfaz de administración basada en la web permitiría la inyección de comandos arbitrarios en el sistema objetivo. La falla recibió un puntaje de 6.3/10 en el CVSS.

CVE-2020-3276: Una validación de entrada incorrecta en la interfaz web de los dispositivos vulnerables permitiría a los hackers remotos ejecutar comandos arbitrarios en el sistema. Esta vulnerabilidad recibió un puntaje de 6.3/10.

CVE-2020-3277: La insuficiente validación de entrada incorrecta en la interfaz de administración web permitiría a usuarios remotos ejecutar comandos remotos en el sistema enviando una solicitud especialmente diseñada. La falla recibió un puntaje de 6.3/10.

CVE-2020-3278: Una validación de entrada incorrecta en la interfaz web permite a actores de amenazas remotos enviar solicitudes especialmente diseñadas para ejecutar comandos remotos en el sistema. La falla recibió un puntaje de 6.3/10, mencionan los expertos en cómputo forense.

CVE-2020-3279: Una validación de entrada incorrecta en la interfaz web permite a actores de amenazas remotos enviar solicitudes especialmente diseñadas para ejecutar comandos remotos en el sistema. La falla recibió un puntaje de 6.3/10.

CVE-2020-3296: Un error de límite en la interfaz de administración web permitiría a los actores de amenazas desencadenar daños en la memoria y ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.310 en la escala CVSS.

CVE-2020-3295: Un error de límite en la interfaz de administración web del sistema podría permitir a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3294: Un error de límite en la interfaz de administración web de los enrutadores afectados permitiría a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad recibió un puntaje de 6.3/10.

CVE-2020-3293: Un error de límite en la interfaz web permite a los usuarios remotos ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3292: Un error de límite en la interfaz web permitiría a los actores de amenazas ejecutar código arbitrario en los enrutadores vulnerables. Esta falla también recibió un puntaje de 6.3/10.

CVE-2020-3291: Esta falla existe debido a un error de límite en la interfaz web del usuario, mencionan los expertos en cómputo forense. Un hacker remoto podría enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3290: Un error de límite en la interfaz de administración web permitiría a los hackers remotos desencadenar daños en la memoria y ejecutar código arbitrario. La falla recibió un puntaje de 6.3/10.

CVE-2020-3289: Una falla de límite en la interfaz web de los dispositivos afectados permitiría a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La falla tiene una puntuación CVSS de 6.3/10.

CVE-2020-3288: Un error de límite en la interfaz de administración web permite a los usuarios enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo.

CVE-2020-3287: Esta falla permitiría la ejecución de código arbitrario en el sistema objetivo debido a una falla de límite en la interfaz web del sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3286: Un error de límite en la interfaz de administración web permite a los hackers enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad recibió un puntaje de 6.3/10.

Si bien las vulnerabilidades reportadas podrían ser explotadas de forma remota por hackers no autenticados, no se han detectado intentos de explotación en escenarios reales o algún exploit asociado a estos ataques, mencionan los expertos en cómputo forense.

Cisco reconoció los reportes y comenzó a trabajar en la corrección de estas fallas de inmediato. Los usuarios de enrutadores afectados sólo deben verificar la correcta instalación de las actualizaciones. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

BRASIL PROHÍBE PAGOS VÍA WHATSAPP POR PRIVACIDAD Y SEGURIDAD APENAS SIETE DÍAS DESPUÉS DE SU LANZAMIENTO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/brasil-prohibe-pagos-via-whatsapp-por-privacidad-y-seguridad-apenas-siete-dias-despues-de-su-lanzamiento/

Acorde a especialistas en cómputo forense, el banco central de Brasil ha ordenado la suspensión de un nuevo sistema de pagos recientemente implementado por el que los usuarios de los sistemas Visa y Mastercard podían hacer transferencias vía WhatsApp. En un comunicado, la institución bancaria mencionó que la implementación de este servicio sin estudios previos podría impactar de forma negativa el sistema financiero brasileño.

Los usuarios podían autorizar operaciones bancarias por medio de un chat en la aplicación de mensajería y realizar pagos a otros individuos o a empresas locales, adjuntando evidencia como fotos o videos. Dicho sistema apenas había sido lanzado la semana pasada. Dado que Brasil es el segundo mercado más importante para WhatsApp, Facebook decidió comenzar aquí este proyecto, aunque no parece que le aguarde gran éxito.

Este es un nuevo contratiempo para Facebook y su apuesta por ingresar en el mundo de las finanzas; el año pasado la compañía anunció el lanzamiento de Libra, su propia criptomoneda que recibiría el impulso del gigante de las redes sociales, además de contar con una gran cantidad de socios avalando este proyecto. No obstante, entidades reguladoras de todo el mundo han mostrado su preocupación respecto al uso a gran escala de este activo virtual, mencionan especialistas en cómputo forense.

Si Visa y Mastercard no cumplen con esta medida, podrían enfrentar severas sanciones.

Al respecto, un representante de WhatsApp mencionó que seguirán colaborando con compañías y autoridades locales para dotar a este sistema de las medidas de seguridad pertinentes para que su uso pueda ser aprobado por las entidades reguladoras.

La principal razón podría ser que WhatsApp implementó este sistema sin autorización previa del banco central de Brasil, que ya ha anunciado su intención de colaborar en el mejoramiento de esta plataforma mediante la emisión de un reglamento. Los involucrados también requerirían de la aprobación de las compañías privadas.

Aunque algunas personas creen que esta decisión es algo exagerado, especialistas en cómputo forense consideran que la intervención de WhatsApp como intermediario de transacciones bancarias representa un riesgo de seguridad y privacidad considerable.

Otro factor que ha influido es el futuro lanzamiento de Pix, el sistema de pagos desarrollado por el banco central de Brasil, para el que cuentan con la participación de más de 900 socios. Mientras este sistema se alista, WhatsApp también anunció su intención de integrarse de la mejor forma posible a los planes del banco central.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

FACEBOOK DEMANDA A EMPRESAS POR VENDER SEGUIDORES, LIKES Y COMENTARIOS PARA FB E IG

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/facebook-demanda-a-empresas-por-vender-seguidores-likes-y-comentarios-para-fb-e-ig/

Para las grandes compañías tecnológicas, las demandas se han vuelto algo frecuente, y aunque la mayoría de las veces son los usuarios quienes presentan las demandas, en ocasiones estas compañías también pueden demandar a individuos u otras empresas. Acorde a expertos en auditorías de sistemasFacebook está tomando medidas legales contra algunas compañías que producen likes y comentarios falsos en las plataformas de Facebook e Instagram.

Se han presentado demandas por separado en los Estados Unidos y Europa, lo que marca una de las primeras veces que una compañía de redes sociales ha utilizado litigios coordinados en diversas jurisdicciones; según la demanda, Facebook busca que se implementen medidas para reforzar una prohibición permanente contra el uso de sus plataformas de redes sociales por parte de algunas empresas que prestan servicios específicos para el aumento artificial de interacciones en las publicaciones de los usuarios.

Los expertos en auditorías de sistemas mencionan que la demanda presentada en Estados Unidos es un caso en contra de una compañía de recolección de datos llamada Massroot8. Esta compañía obtuvo los datos de millones de usuarios empleando una botnet disfrazadas como dispositivos Android conectados a la aplicación de la red social.

Cabe señalar que Massroot8 actuó con consentimiento de los usuarios, pues pensaban que en realidad estaban empleando un servicio para administrar múltiples cuentas de Facebook a la vez.

La demanda fue presentada específicamente contra Mohammad Zaghar, fundador de la compañía, en un tribunal federal en San Francisco. Aparentemente, Zaghar operaba sitios que vendían likes y seguidores falsos antes de comenzar Massroot8.

Respecto al proceso legal en Europa, la demanda se presentó contra una compañía española llamada llamada MGP25 Cyberint Services, que opera un servicio de falsos likes y comentarios. Hay menos detalles disponibles sobre esta compañía, pero parece ser bastante pequeña en comparación con Massroot8.

Los especialistas en auditorías de sistemas mencionan que, en semanas recientes, Facebook ha estado presentando una cantidad excesiva de demandas como parte de un esfuerzo para demostrar a los usuarios que pueden confiar en que la compañía protegerá su información personal y hará cumplir sus propios Términos y Servicios.

En un comunicado de prensa sobre estas demandas Jessica Romero, directora de cumplimiento y litigio de plataformas de Facebook, declaró: “Al presentar estas demanda, estamos enviando un mensaje de que este tipo de actividad fraudulenta no se tolera en nuestros servicios”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

POBRE CHINOS: CADA UNO DE LOS 700 MILLONES VARONES CHINOS EN EL MUNDO TIENEN QUE ENTREGAR ADN A LA POLICÍA

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/pobre-chinos-cada-uno-de-los-700-millones-varones-chinos-en-el-mundo-tienen-que-entregar-adn-a-la-policia/

A pesar de que es un hecho conocido que el gobierno de China actúa de forma intrusiva respecto a la privacidad de los ciudadanos, el anuncio de una nueva medida ha sorprendido al mundo entero. Acorde a expertos en seguridad en la nube, todos los 700 millones de hombres chinos (ya sean niños o adultos) deberán entregar una muestra de ADN a las autoridades, lo que llevaría sus labores de vigilancia masiva a niveles insospechados.

Un reporte del Instituto Estratégico Australiano, retomado por diversos medios, revela que la policía china lleva casi tres años recolectando muestras de ADN con el propósito de integrar esta gigantesca base de datos.

FUENTE: Instituto Estratégico Australiano

Las autoridades del gigante asiático emplearían esta base de datos para rastrear a cualquier persona potencialmente relacionada con muestras de material genético (sangre, saliva, cabello) encontradas en escenas de crimen u obtenidas mediante investigación policial, mencionan los expertos en seguridad en la nube.

FUENTE: Instituto Estratégico Australiano

Thermo Fisher, una compañía americana, ha estado colaborando con el régimen chino, vendiendo kits para la recolección de las muestras de ADN. Al respecto, un representante de la compañía dijo que estos kits de ADN “son un estándar global para la recolección de pruebas forenses”, por lo que descartan su producción con otro fin. No obstante, Thermo Fisher reconoce la importancia de considerar la forma en la que sus clientes usan sus productos.

Sin importar los argumentos presentados por el gobierno, los expertos en seguridad en la nube consideran que esta política sólo representa un esfuerzo para aumentar el control sobre los habitantes de China, mejorando los sofisticados controles de vigilancia ya existentes en el país, que incluye el uso de tecnología de reconocimiento facial e inteligencia artificial.

FUENTE: Instituto Estratégico Australiano

A finales del 2019, una fuente anónima reveló que un grupo de científicos chinos se encontraba trabajando en un proyecto para la reconstrucción de rostros humanos a partir de muestras de ADN incautadas en procesos legales. El informante aseguró que el gobierno de China está muy cerca de habilitar sistemas de reconocimiento facial capaces de analizar a sus más de mil 300 millones de habitantes.

Este no es solamente un problema de privacidad y seguridad de datos, sino que es una cuestión de derechos humanos. Maya Wang, analista en Human Rights Watch, considera que: “la capacidad de las autoridades para descubrir hasta los lazos sanguíneos más improbables es una amenaza seria para cualquier ciudadano, sin olvidar que China ha sido señalada en múltiples ocasiones por el trato que reciben los grupos étnicos minoritarios, como los musulmanes, que son percibidos como una amenaza para el Partido Comunista”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

GRUPO DE HACKERS LAZARUS ESTÁ PLANEANDO UN CIBERATAQUE MASIVO PARA EL 21 DE JUNIO; 5 MILLONES DE PERSONAS EN 6 PAÍSES ESTÁN EXPUESTAS

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/grupo-de-hackers-lazarus-esta-planeando-un-ciberataque-masivo-para-el-21-de-junio-5-millones-de-personas-en-6-paises-estan-expuestas/

La pandemia por coronavirus ha generado nuevos problemas de toda índole, y la ciberseguridad no es la excepción. Especialistas de un curso de ciberseguridad detallan la detección de una campaña masiva de phishing que podría llegar hasta a 5 millones de individuos y compañías, abarcando seis países en la mayoría de los continentes.

Los correos electrónicos usados por los operadores de estas campañas contienen información supuestamente enviada por las autoridades locales y en relación con la enfermedad COVID-19. Los emails incluyen enlaces adjuntos que redirigen a los usuarios a sitios web maliciosos diseñados para extraer sus datos personales y financieros. Estos emails han sido enviados a usuarios en Japón, Singapur, Corea del Sur, India, Reino Unido y Estados Unidos.

Hace algunos meses, expertos del curso de ciberseguridad de CYFIRMA aseguraron que Lazarus, el conocido grupo cibercriminal financiado por el gobierno de Corea del Norte, se encontraba preparando una campaña mundial de phishing, por lo que los investigadores creen que son estos hackers quienes está detrás de este ataque. Además, se han encontrado algunos detalles que indican similitudes entre los diversos emails relacionados con esta campaña, a pesar de que se han enviado a usuarios en diferentes países. La principal característica es que todos los países seleccionados han emitido estímulos económicos considerables para contrarrestar las consecuencias económicas de la pandemia:

  • Singapur: El gobierno de esta pequeña nación anunció estímulos por casi 100 mil millones de dólares locales para frenar la pérdida de empleos
  • Japón dispuso de fondos de emergencia por aproximadamente 234 billones de yenes
  • El gobierno de Corea ha destinado casi 200 mil millones de dólares para la contención de la emergencia, apoyando a la industria crítica del país
  • India anunció un programa de créditos por más de 300 mil millones de dólares para pequeñas, medianas y grandes empresas
  • Reino Unido implementó múltiples programas de apoyo para evitar la pérdida de empleos
  • E.U. invertirá una cifra no determinada para evitar la pérdida de empleos

Es altamente probable que los usuarios que reciben estos correos requieran apoyo financiero, por lo que este es un medio ideal de ataque. El objetivo principal de los operadores de esta campaña parece ser el fraude económico, aunque los expertos del curso de ciberseguridad creen que también podrían dedicarse al robo de información para su venta en dark web.

Acorde a la información recolectada por CYFIRMA, los hackers planearon un ataque masivo en los seis países elegidos durante dos días consecutivos. Lazarus creó siete plantillas diferentes para el correo con el fin de adaptar la campaña a cada país atacado, incluso tomando los nombres reales de algunas agencias de gobierno locales.

Los hackers han empelado diversas direcciones email de apariencia legítima, como las que se muestran a continuación:

  • covid19notice@usda.gov
  • ccff-applications@bankofengland.co.uk
  • covid-support@mom.gov.sg
  • covid-support@mof.go.jp
  • ncov2019@gov.in
  • fppr@korea.kr

Respecto al mensaje enviado a las víctimas potenciales, éste también difiere según el país:

  • Estados Unidos: Los hackers mencionan a los usuarios que su cuanta ha sido seleccionada por las autoridades para recibir un apoyo económico de mil dólares.
  • Reino Unido: Los atacantes tratan de extraer la información confidencial mediante un correo supuestamente enviado por el Banco de Inglaterra en el que se ofrecen estímulos financieros.
  • Japón: En un email supuestamente enviado por el Ministerio de Finanzas de Japón se ofrece un pago de 80 mil yenes adicionales para todos los ciudadanos y residentes que completen un formulario.
  • India: Los cibercriminales ofrecen supuestas pruebas gratuitas para la detección de COVID-19 en residentes de múltiples ciudades a cambio de completar algunos formularios en línea.
  • Singapur: Usurpando la identidad del Ministerio de Recursos Humanos, los hackers engañan a los usuarios ofreciendo un pago de 750 dólares de Singapur a los empleados de empresas privadas y organizaciones públicas.
  • Corea del Sur: Los hackers usan correos supuestamente enviados por el gobierno local para redirigir a los usuarios a sitios maliciosos y así poder extraer su información confidencial.

A continuación se presentan algunos ejemplos de las plantillas de email elaboradas por los hackers. Se recomienda a los usuarios ignorar cualquier email similar, pues lo más seguro es que se trate de una estafa; al igual que en cualquier campaña de phishing, la mejor forma de protegerse es identificando cualquier email potencialmente malicioso antes de abrirlo, además de no compartir información personal a través de este medio.

FUENTE: CYFIRMA

Los investigadores afirman que esta campaña será lanzada durante este fin de semana, específicamente entre el 20 y 21 de junio (aunque no se descarta que pueda extenderse durante los próximos días).

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

IP PHONE SERIES 7800 Y 8800 Y DATA CENTER NETWORK MANAGER DE CISCO TIENEN VULNERABILIDADES DE SEGURIDAD

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/ip-phone-series-7800-y-8800-y-data-center-network-manager-de-cisco-tienen-vulnerabilidades-de-seguridad/

Especialistas en servicios de seguridad en la nube reportan el hallazgo de múltiples vulnerabilidades en algunos productos de Cisco, como IP Phone y Data Center Network Manager. La explotación exitosa de estas fallas permitiría el despliegue de escenarios maliciosos como ataques de scripts entre sitios, robo de información confidencial, entre otros.

A continuación se presentan breves reseñas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

  • CVE-2020-3354: Una insuficiente desinfección de los datos proporcionados por el usuario en la interfaz de administración web de Data Center Network Manager permitiría a los hackers desplegar ataques de scripts entre sitios (XSS). Un atacante autenticado remoto puede inyectar y ejecutar HTML arbitrario y código de script en el navegador del usuario en el contexto de un sitio web vulnerable. La falla recibió un puntaje de 5.6/10.
  • CVE-2020-3355: Esta vulnerabilidad también existe debido a la desinfección insuficiente de los datos proporcionados por el usuario en la interfaz web de Data Center Network Manager y permitiría el despliegue de ataques XSS. Su ejecución exitosa permitirá el robo de información e incluso la modificación del sistema objetivo. Esta falla recibió un puntaje de 5.6/10.
  • CVE-2020-3356: Una inadecuada depuración de los datos proporcionados por el usuario a través de la interfaz de administración web de Data Center Network Manager permitiría la ejecución de código arbitrario en el contexto de un sitio web vulnerable mediante ataques XSS. Esta falla recibió un puntaje CVSS de 6.3/10, acorde a los especialistas en servicios de seguridad en la nube.
  • CVE-2020-3360: Los inadecuados controles de acceso en la interfaz de administración basada en web de Cisco IP Phone permitirían a los hackers remotos acceder a información confidencial en el sistema objetivo. Un atacante puede enviar solicitudes especialmente diseñadas, evadir las restricciones de seguridad y obtener acceso no autorizado a datos como los registros de llamadas, nombres de usuario, entre otros. La falla se encuentra en los dispositivos Series 7800 y 8800, y recibió un puntaje de 4.6/10.

Si bien estas vulnerabilidades pueden ser explotadas por hackers remotos no autenticados, aún no se ha detectado la presencia de una variante de malware para explotar alguna de estas fallas. Los expertos en servicios de seguridad en la nube señalan que tampoco se han detectado intentos de explotación en escenarios reales.

Cisco comenzó a trabajar en las actualizaciones correspondientes apenas se envió el reporte. Los parches de seguridad están listos, por lo que los usuarios de implementaciones expuestas sólo deben verificar su correcta instalación.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

¿CÓMO FUNCIONA LA “ESTAFA DEL SUGAR DADDY” EN INSTAGRAM?

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/como-funciona-la-estafa-del-sugar-daddy-en-instagram/

Aunque puede que siempre hayan existido las relaciones entre hombres maduros y mujeres jóvenes, fue la popularización del término “sugar daddy” lo que contribuyó a que este se convirtiera en un tema cotidiano. Este no es sólo un tema polémico por cuestiones morales y legales, puesto que también puede convertirse en un problema de seguridad informática relevante, afirman expertos de un curso de hacking.

Recientemente se detectó una nueva estafa de Instagram en la que los defraudadores se hacen pasar por adultos maduros para ganarse la confianza de jóvenes usuarios en la red social (principalmente jovencitas) con fines malintencionados.

Todo comienza cuando la usuaria objetivo recibe un Mensaje Directo (DM) aparentemente inofensivo en Instagram. Si el mensaje, supuestamente proveniente de un hombre maduro, es aceptado, los estafadores pueden comenzar a interactuar con las víctimas hasta ganarse su confianza, mencionan los expertos de un curso de hacking. A lo largo de las conversaciones, los estafadores dan a entender a la víctima que son ricos o incluso millonarios, lo que podría resultar atractivo para cualquiera.

De forma discreta, el estafador comienza a obtener información de las víctimas, especialmente sobre su estatus financiero. Cuando las víctimas hablan sobre sus deudas, los estafadores se ofrecen a pagar sus tarjetas de crédito, solicitando los datos bancarios de la víctima para después realizar una transferencia empleando una cuenta fraudulenta.

Es aquí donde todo se pone raro, pues los estafadores piden a las víctimas que compren tarjetas de regalo en diversas plataformas (Google Play Store, iTunes, entre otras). Las víctimas, que creen que sus deudas han sido saldadas, acceden a las peticiones de los estafadores y les envían las tarjetas de regalo.

Después de vaciar las tarjetas de regalo, los estafadores desaparecen sin dejar rastro. Para empeorar las cosas, los bancos no demoran demasiado en detectar que las deudas fueron pagadas empleando una cuenta fraudulenta, por lo que la operación es cancelada. Al final, las víctimas se quedan con su deuda original y sin el dinero invertido en las tarjetas de regalo enviadas a los estafadores, mencionan los expertos del curso de hacking.

La historia del sugar daddy es sólo una variante de una estafa muy popular; en ejemplos menos elaborados, los estafadores simplemente elijen usuarios al azar y les solicitan sus datos bancarios para ofrecer supuestas transacciones bancarias a cambio de recargas telefónicas, tarjetas de regalo o incluso otras transacciones por montos menores.

Estos fraudes son muy comunes y por desgracia no hay forma de evitar que los criminales habiliten cuentas en redes sociales con fines maliciosos, por lo que solo queda que los usuarios tengan en cuenta algunos consejos de seguridad:

  • Ignorar los DM de usuarios desconocidos, sin fotos de perfil o sin publicaciones recientes
  • Si un usuario desconocido trata de contactarle y le pide interactuar por otras vías, rechace la invitación
  • Habilite la protección de su cuenta de Instagram en el menú Configuraciones
  • Lo más importante, nunca comparta sus datos bancarios con desconocidos

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

COGNIZANT, FIRMA DE TI CON 300 MIL EMPLEADOS, CONFIRMA FUGA DE DATOS (NOMBRES, SEGURO SOCIAL, TARJETAS DE CRÉDITO Y PASAPORTES)

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/cognizant-firma-de-ti-con-300-mil-empleados-confirma-fuga-de-datos-nombres-seguro-social-tarjetas-de-credito-y-pasaportes/

Hace un par de meses, el gigante de los servicios de TI Cognizant dio a conocer que fue víctima de un severo incidente de ransomware. Ahora, expertos de un curso de ciberseguridad mencionan que la compañía también sufrió una importante brecha de datos sin cifrar como resultado del ataque de malware de cifrado.

Cognizant es una de las firmas de ciberseguridad más importantes del mundo y cuenta con cerca de 300 mil empleados, generando casi 15 mil millones de dólares en ingresos.

A mediados de abril, Cognizant comenzó a notificar a sus clientes sobre la infección de Maze, una peligrosa variante de ransomware. Por seguridad, la compañía recomendó a los usuarios desconectarse del servicio e implementar algunas medidas adicionales.

Según mencionan los expertos del curso de ciberseguridad, en el email recibido por los clientes de la compañía también se incluían algunos indicadores de compromiso, como direcciones IP vinculadas a los operadores de Maze, además de hashes para los archivos kepstl32.dll, memes.tmp y maze.dll. Estos datos fueron recolectados en anteriores ataques de Maze.

Los incidentes fueron notificados a la Oficina del Fiscal General de California. En los reportes, Cognizant afirma que los operadores del ataque estuvieron activos en la red comprometida entre el 9 y el 11 de abril, periodo durante el que habrían extraído una cantidad de datos limitada de los sistemas de la compañía.

Los especialistas del curso de ciberseguridad señalan que los operadores de Maze se caracterizan por el robo de información confidencial antes de comenzar a cifrar los datos de las compañías atacadas. Posteriormente, los atacantes publican esta información en foros de hacking como una forma de presionar a las víctimas y forzar el pago del rescate.

La compañía advierte que múltiples detalles confidenciales (como números de seguridad social, ID de impuestos, detalles financieros e incluso pasaportes) de los usuarios fueron comprometidos durante el incidente: “Hemos determinado que la información personal involucrada en este incidente incluía su nombre y uno o más de: su número de Seguro Social y/o algún otro número de identificación fiscal, información de cuenta financiera, información de licencia de conducir e incluso información de pasaporte”.

Como parte de su proceso de respuesta a incidentes, la compañía está ofreciendo a los usuarios afectados un año de servicios de protección contra fraude electrónico y robo de identidad sin costo por un año, además de que el incidente sigue siendo investigado. Respecto a los empleados de la compañía que pudieran haber sido afectados, Cognizant emitirá nuevos lineamientos internos en breve.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

THANOS: ESTA HERRAMIENTA DE RANSOMWARE COMO SERVICIO PUEDE HACER MILLONARIO A CUALQUIERA

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/thanos-esta-herramienta-de-ransomware-como-servicio-puede-hacer-millonario-a-cualquiera/

Una de las tendencias que más ha crecido en el mundo del cibercrimen durante los últimos dos años es el ransomware como servicio (ransomware-as-a-service). En este modelo de operación, los desarrolladores de ransomware ponen a la venta sus creaciones maliciosas para que otros puedan desplegar ataques de malware de cifrado contra otros usuarios, mencionan expertos en borrado seguro de archivos. Los creadores del malware no se encargan directamente de los ataques, sino que sólo se dedican a la venta y actualización del código empleado para cifrar los archivos de las víctimas.

A principios de 2020, la firma Recorded Future detectó Thanos, una nueva variante de ransomware desarrollada por un usuario autonombrado “Nosophoros“. Este malware está a la venta en una plataforma de hacking malicioso conocida como Exploit Forum.

Acorde a los expertos en borrado seguro de archivos, Thanos es una herramienta generadora de ransomware (builder) escrita en lenguaje C# muy fácil de entender y emplaer, capaz de crear nuevos clientes basados en 43 opciones de configuración diferentes. A continuación se presentan los resultados del análisis que los investigadores de Recorded Future realizaron sobre este builder de ransomware.

¿CÓMO FUNCIONA ESTE BUILDER?

Thanos ofrece a los hackers maliciosos la posibilidad de crear nuevas variantes con múltiples opciones diferentes (como el tipo de criptomoneda en el que el rescate deberá pagarse) partiendo de algunas configuraciones establecidas por defecto.

FUENTE: Recorded Future

Después de que los hackers configuraron la herramienta según sus intereses, Thanos genera un ejecutable .NET en un directorio predeterminado. Los binarios generados resultan del reemplazo de cadenas en un binario base según las opciones establecidas por los hackers.

FUENTE: Recorded Future

Este builder también se encarga de la ofuscación de los binarios finales con dos métodos distintos. El método principal se basa en una versión descifrada de SmartAssembly, una herramienta comercial. El método secundario es una opción de configuración que crea un archivo de instalación Inno Setup con el cliente como un archivo de recursos incrustado.

RANSOMWARE THANOS

El cliente Thanos está escrito en C # y todos los clientes generados tienen cadenas aleatorias para los nombres de métodos, nombres de variables y nombres de clase, señalan los expertos en borrado seguro de archivos. El cliente Thanos contendrá de 12 a 17 clases dependiendo de las opciones y configuraciones seleccionadas al crear el malware. Algunas de las clases, como Program y Crypto, se incluyen en cada compilación, mientras que otras, como NetworkSpreading y Wake on LAN, solo se incluyen en el binario final, si se selecciona la opción respectiva.

A continuación se muestra una tabla con las principales clases resultantes de este proceso:

FUENTE: Recorded Future

FLUJO DE EJECUCIÓN DEL CLIENTE DE THANOS

La ruta de ejecución general de Thanos contiene tres actividades principales que son descritas a continuación:

  • Opciones avanzadas: Para realizar acciones relacionadas con la configuración
  • Prevención y recuperación: Detiene los servicios y procesos que pudieran impiden la ejecución del malware y busca copias de seguridad para su eliminación
  • Cifrado y carga: Se cifran los archivos y se cargan a FTP si está configurado para hacerlo durante la compilación y se muestra la nota de rescate a la víctima
FUENTE: Recorded Future

Los hackers también podrían extraer algunos archivos de las víctimas y publicarlos en algún sitio web como evidencia del ataque.

Los investigadores aseguran que Thanos ha recibido críticas muy positivas de la comunidad cibercriminal, pues funciona sin contratiempos y es actualizado constantemente. Los grupos de hacking que emplean esta herramienta podrían generar cuantiosas ganancias, lo que beneficia a los desarrolladores de Thanos y dificulta la creación de una herramienta de descifrado.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

EL NUEVO VIRUS ‘BLACK LIVES MATTER’ LE PIDE SU VOTO PARA ACABAR CON EL RACISMO, PERO INFECTA SU RED

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/el-nuevo-virus-black-lives-matter-le-pide-su-voto-para-acabar-con-el-racismo-pero-infecta-su-red/

Los operadores de campañas de phishing suelen aprovecharse de problemas o temas de interés actual, por lo que un correo electrónico malicioso tendrá más posibilidades de engañar a un usuario objetivo, mencionan especialistas en auditoría de seguridad de la información.

Recientemente se reportó la detección de una campaña de phishing en la que se invita a los usuarios a votar sobre el movimiento social Black Lives Matter; en realidad, los operadores de esta campaña tratan de infectar a los usuarios con TrickBot, una variante de malware para el robo de información.

Inicialmente desarrollado como un troyano bancario, TrickBot ha evolucionado para convertirse en un avanzado malware de propagación lateral mediante una red objetivo, robo de credenciales almacenadas en sitios web, robo de base de datos en Active Directory, robo de cookies y claves de OpenSSH, mencionan los expertos en auditoría de seguridad de la información. Los operadores de TrickBot también han colaborado con desarrolladores de otras variantes de ransomware, como Ryuk, para obtener acceso a redes comprometidas y cifrar archivos.

Respecto a esta campaña, la organización para la ciberseguridad Abuse.ch detectó múltiples correos enviados supuestamente enviados por Country Administration, en los que se solicitaba a los usuarios emitir su voto anónimo respecto a Black Lives Matter.

“Deje una opinión confidencial sobre Black Lives Matter”, menciona el email enviado por los hackers. El mensaje contiene un archivo llamado ‘e-vote_form_3438’, un formulario que los usuarios deberán completar y reenviar al remitente.

FUENTE: BleepingComputer

Si el usuario abre el documento, se le solicitará habilitar la edición y habilitar el contenido del archivo.

FUENTE: BleepingComputer

Al hacer clic en estos botones, el documento de Word ejecutará macros para descargar y ejecutar una DLL maliciosa en el equipo de la víctima. Esta DLL es el troyano TrickBot, que descargará algunos módulos adicionales para extraer archivos, contraseñas, claves de seguridad, extenderse lateralmente por la red y permitir que otros grupos de hacking infecten el dispositivo con ransomware, señalan los expertos en auditoría de seguridad de la información.

Los operadores de esta clase de campañas se muestran especialmente activos durante estos momentos coyunturales; ejemplo de ello son las múltiples campañas de phishing que han sido detectadas durante el periodo de emergencia sanitaria por el coronavirus. Los más recientes meses, los hackers han recurrido a emails de phishing, apps maliciosas y sitios web cargados de malware ofreciendo supuesta información sobre el virus, falsas curas y anuncios invasivos.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

ALERTA: NUEVAS FALLAS CRÍTICAS EN VMWARE WORKSTATION, FUSION Y VMWARE HORIZON PONEN EN RIESGO LA SEGURIDAD DE SU CENTRO DE DATOS

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/alerta-nuevas-fallas-criticas-en-vmware-workstation-fusion-y-vmware-horizon-ponen-en-riesgo-la-seguridad-de-su-centro-de-datos/

El equipo de seguridad de VMware anunció el lanzamiento de un parche de seguridad para abordar una vulnerabilidad crítica en sus productos de virtualización WorkstationFusion y vSphere. La falla fue revelada por Cfir Cohen, especialista de una empresa de ciberseguridad.

Identificada como CVE-202-3960, esta es una vulnerabilidad de lectura fuera de los límites que podría ser explotada por actores de amenazas remotos con acceso a una máquina virtual para acceder a información privilegiada en la memoria del sistema afectado.

Según los expertos de una empresa de ciberseguridad, la vulnerabilidad reside en la funcionalidad NVMe (memoria no volátil express), el protocolo de acceso al almacenamiento y transporte para unidades flash y de estado sólido de última generación que ofrece el mayor rendimiento y los tiempos de respuesta más rápidos para todos los tipos de cargas de trabajo empresariales. La vulnerabilidad afecta a ESXi 6.5 y 6.7, Workstation 15.xy Fusion 11.x.

Además de corregir esta falla, la compañía también lanzó correcciones para una vulnerabilidad de escalada de privilegios identificada como CVE-2020-3961 presente en Horizon Client para sistemas Windows. Esta falla existe debido a la configuración de permisos en carpeta y la carga insegura de bibliotecas. La falla recibió un puntaje de 8.4 en la escala del Common Vulnerability Scoring System (CVSS).

Los usuarios de implementaciones afectadas sólo deben verificar que la instalación de las actualizaciones se lleve a cabo de forma correcta. No existen soluciones alternativas para corregir estas fallas de seguridad.

Hace un par de semanas, especialistas de una empresa de ciberseguridad también reportaron el hallazgo de una falla de seguridad en VMware Cloud Director; identificada como CVE-2020-3956, esta falla podría haber sido explotada para tomar control de servidores corporativas.

La vulnerabilidad podría permitir que un atacante autenticado obtenga acceso a la red corporativa, acceso a datos confidenciales y control de nubes privadas dentro de una infraestructura completa.

Respecto al servicio afectado, VMware Cloud Director es una plataforma de prestación de servicios en la nube que permite a las organizaciones operar y administrar negocios exitosos de servicios en la nube. Al usar VMware Cloud Director, las compañías proveedoras de servicios en la nube brindan recursos seguros, eficientes y elásticos a miles de empresas y equipos de seguridad informática de todo el mundo.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

3 FALLAS EN EL FIREWALL DE PALO ALTO PERMITEN HACKEAR LA SEGURIDAD DE RED

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/3-fallas-en-el-firewall-de-palo-alto-permiten-hackear-la-seguridad-de-red/

Especialistas en seguridad en redes inalámbricas han revelado el hallazgo de al menos tres vulnerabilidades en PAN-OS, el software que se ejecuta en todas las soluciones de firewall de última generación de la firma de seguridad Palo Alto Networks. Acorde al reporte, la explotación de estas fallas de seguridad podría conducir a escenarios maliciosos como la ejecución de comandos.

A continuación se presentan breves reseñas de las fallas de seguridad reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-2027: Esta vulnerabilidad existe debido a un límite dentro del componente authd del servidor de administración PAN-OS que permitiría a un administrador remoto escalar privilegios en el sistema objetivo.

Un actor de amenazas podría enviar una solicitud especialmente diseñada al servicio de autenticación, desencadenar un desbordamiento de búfer y ejecutar código arbitrario con altos privilegios.

La vulnerabilidad recibió un puntaje de 6.3/10 y, a pesar de que puede ser explotada de forma remota, los expertos en seguridad en redes inalámbricas reportan que no existe una variante de malware asociada a este riesgo de seguridad.

CVE-2020-2029: Esta falla existe debido a una validación de entrada incorrecta que permitiría a los actores de amenazas escalar privilegios en el sistema. Un usuario autenticado podría enviar una solicitud especialmente diseñada para generar nuevos certificados y ejecutar comandos arbitrarios en PAN-OS.

La falla recibió un puntaje CVSS de 6.3/10, por lo que se le considera problema de severidad baja. CVE-2020-2029 también podría ser explotada de forma remota, aunque no existe un exploit asociado a este ataque.

CVE-2020-2028: Esta vulnerabilidad existe debido a una validación de entrada incorrecta en el servidor de administración PAN-OS al cargar un nuevo certificado en modo FIPS-CC, lo que permitiría escalar privilegios en el sistema objetivo.

Un administrador autenticado remoto puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino con privilegios de root, afirman los expertos en seguridad en redes inalámbricas.

Esta falla también podría ser explotada de forma remota por atacantes autenticados, aunque hasta el momento no existen variantes de malware capaces de explotar la falla. La vulnerabilidad recibió un puntaje CVSS de 6.3/10 en la escala CVSS, por lo que se le considera una falla de severidad reducida.

Palo Alto reconoció el reporte y comenzó a desarrollar los parches de seguridad correspondientes para abordar estas fallas. Las actualizaciones ya están disponibles, por lo que los usuarios de implementaciones afectadas sólo deben verificar la instalación de las actualizaciones.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

MÚLTIPLES VULNERABILIDADES CROSS-SITE SCRIPTING (XSS) EN JOOMLA

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/multiples-vulnerabilidades-cross-site-scripting-xss-en-joomla/

Un grupo de especialistas en pruebas de seguridad informática ha reportado el hallazgo de múltiples vulnerabilidades en Joomla, uno de los sistemas de gestión de contenido (CMS) más utilizados en el mundo. Acorde al reporte, la explotación exitosa de estas fallas podría conducir a escenarios como ataques de scripts entre sitios, falsificación de solicitudes, entre otros.

A continuación, se presenta una breve descripción de las vulnerabilidades reportadas, además de sus respectivos puntajes según el Common Vulnerability Scoring System (CVSS). Cabe señalar que estas fallas aún no cuentan con una clave CVSS asignada.

La primera de las fallas reportadas existe debido a una inadecuada desinfección de los datos proporcionados por el usuario en la opción de etiqueta de encabezado en algunos módulos del CMS y permitiría el despliegue de ataques de scripts entre sitios (XSS).

La explotación exitosa de esta vulnerabilidad permitiría que los actores de amenazas  remotos roben información confidencial, modifiquen la apariencia de un sitio web atacado o realicen ataques de phishing.

La falla recibió un puntaje de 4.7/10 en la escala CVSS, por lo que se le considera de severidad baja. Aunque podría ser explotada de forma remota, no se ha detectado la existencia de un exploit para desencadenar este ataque.

La segunda vulnerabilidad reportada, con un puntaje CVSS de 5.7/10, existe debido a que la configuración predeterminada de la función “textfilter” no bloquea las entradas HTML para usuarios ‘Guest’, lo que permitiría a los hackers maliciosos desplegar un ataque XSS.

Al igual que el caso anterior, esta vulnerabilidad podría ser explotada de forma remota, aunque no existe un exploit para desencadenar este ataque, señalan los expertos en pruebas de seguridad informática.

El tercer reporte se refiere a una falla que existe debido a la inadecuada depuración en los datos ingresados a com_modules; un hacker remoto podría engañar a un usuario objetivo para que abra un enlace especialmente diseñado con el fin de ejecutar HTML arbitrario en el contexto de un sitio web vulnerable. Esta falla también lleva a escenarios de ataques XSS.

Esta falla recibió un puntaje CVSS de 5.3/10, por lo que se le considera de bajo riesgo a pesar de que podría ser explotada de forma remota por hackers no autenticados. Los expertos en pruebas de seguridad informática mencionan que su bajo puntaje se debe a la complejidad de la explotación.

La última vulnerabilidad reportada existe debido a una validación insuficiente del origen de las solicitudes HTTP en el componente com_postinstall, lo que podría permitir ataques de falsificación de solicitudes entre sitios (XSRF).

La falla recibió un puntaje de 5/10, lo que la convierte en un error de seguridad media. Del mismo modo que los casos anteriores, la falla puede ser explotada por hackers remotos no autenticados, aunque aún no existe un exploit.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), Joomla reconoció el reporte y comenzó a trabajar en las correcciones de inmediato. Las actualizaciones ya están disponibles y los administradores de sitios web sólo deben verificar que la instalación se complete de forma correcta.

GOOGLE ENFRENTA DEMANDA DE $5 MIL MDD POR ESPIAR A SUS USUARIOS EN MODO INCÓGNITO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/google-enfrenta-demanda-de-5-mil-mdd-por-espiar-a-sus-usuarios-en-modo-incognito/

Después de años de prácticas cuestionables, las compañías tecnológicas comienzan a afrontar las consecuencias de su poco compromiso con la privacidad de los usuarios. Acorde a especialistas de una consulioría de protección de datos, esta semana se presentó una demanda colectiva contra Google, argumentando que la compañía ha invadido la privacidad de sus usuarios, rastreando su actividad en línea incluso cuando los usuarios habilitan el ‘Modo Incógnito’ del navegador web.

Los demandantes buscan al menos 5 mil millones de dólares, pues argumentan que la subsidiaria de Alphabet Inc ha recopilado información sobre todo lo que las personas buscan y los sitios que visitan sin importar que esta función, pensada para mejorar la experiencia de privacidad de los usuarios, esté habilitada.

La demanda fue presentada en un tribunal federal con sede en California, y los demandantes aseguran que Google recopila información mediante las herramientas Analytics y Ad Manager, entre otras aplicaciones y plugins presentes en sitios web y apps móviles, mencionan los expertos de la consultoría de protección de datos.

La información recolectada ayudaría a la compañía para conocer más sobre los usuarios (preferencias de comida, ropa, hobbies e incluso datos relacionados con sus búsquedas más personales). “Google no debe seguir participando en la recolección de datos de prácticamente cualquier persona con una computadora o smartphone sin autorización”, menciona la demanda.

Al respecto, un portavoz de Google declaró que la compañía se defenderá de las acusaciones: “Cada vez que los usuarios abren una pestaña en modo incógnito, se informa a los usuarios que los sitios web podrían recopilar información sobre sus hábitos de navegación”, declaró.

Millones de usuarios emplean la navegación en modo incógnito creyendo que las empresas no lograrán detectar su actividad en línea de este modo, aunque los expertos de la consultoría de protección de datos afirman que Google y cualquier otra compañía tecnológica es capaz de recolectar los datos de navegación de los usuarios incluso habilitando el modo incógnito.

Aunque no hay nada confirmado, se menciona que la demanda colectiva incluye a  “millones” de usuarios de Google que desde el 1 de junio de 2016 han empleado el modo incógnito para navegar. Los demandantes exigen 5 mil millones de dólares como reparación de daños por las constantes violaciones a la privacidad a las que se ven sujetos.

La firma legal Boies Schiller & Flexner representa a los demandantes Chasom Brown, Maria Nguyen y William Byatt. El caso ha sido registrado como ‘Brown et al v Google LLC et al’, en el Tribunal de Distrito de los Estados Unidos, Distrito Norte de California, No. 20-03664.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

HACKER QUE ROBÓ 15 MILLONES DE TARJETAS Y ATACÓ 3 MIL 600 EMPRESAS FINALMENTE ARRESTADO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/hacker-que-robo-15-millones-de-tarjetas-y-ataco-3-mil-600-empresas-finalmente-arrestado/

Especialistas en servicios de seguridad informática reportan que el Buró Federal de Investigación (FBI) arrestó a un presunto miembro de FIN7, un reconocido grupo de hackers especializado en el robo de información financiera que ha robado millones de tarjetas de pago y otros detalles similares desde que fue detectado en 2015.

Acorde a los documentos presentados en el Tribunal de Distrito de E.U. para el Oeste de Seattle, E.U., Denys Iarmak, ciudadano ucraniano, fue arrestado en Tailandia y extraditado por la justicia americana el pasado viernes. Iarmak es el cuarto individuo vinculado a este grupo de hacking que es arrestado durante los últimos dos años.

Un elemento fundamental durante el periodo de actividad de FIN7 ha sido la creación de una compañía fantasma llamada Combi Security, la cual ofrecía supuestos servicios de ciberseguridad. Esta compañía “contrataba” a diversos programadores para presuntos proyectos de pentesting, que en realidad eran campañas de ciberataque. Iamark fue reclutado de esta forma por FIN7.

Las agencias de la ley aseguran que Iamark logró extraer una gran cantidad de información robada a los líderes del grupo cibercriminal. Además, como evidencia, las autoridades presentaron múltiples comunicaciones entre el hacker y otros presuntos integrantes de FIN7 mediante el protocolo de mensajería Jabber.

Los especialistas en servicios de seguridad informática señalan que Iarmak enfrenta múltiples cargos, incluyendo fraude electrónico, conspiración para cometer fraude electrónico, conspiración para cometer fraude bancario, robo de identidad agravado, acceso no autorizado a equipo de cómputo protegido, daño intencional a equipo de cómputo protegido, entre otros.

Respecto a la organización criminal FIN7 (también conocida como Carbanak o Navigator), son hackers con motivaciones financieras que recurren mayoritariamente al envío de emails de phishing cargados de malware, oculto en documentos de Word o PDFs. El malware empleado por FIN7 cumplía con diversas funciones para extraer información de tarjetas de pago, mencionan los documentos de la corte. Uno de los principales vectores de ataque empleados por estos hackers es la obtención de datos de tarjetas a través de ataques a restaurantes, casinos y hoteles, entre otros negocios.

Según estimaciones de especialistas en servicios de seguridad informática, FIN7 ha robado la información de más de 15 millones de tarjetas de pago y atacado al menos 6 mil 500 terminales de puntos de venta en todo el mundo, resultando en pérdidas por millones de dólares para todos los afectados.

El Instituto Internacional de Seguridad Cibernética (IICS) señala que, los otros individuos arrestados vinculados a FIN7 son Dmytro Fedorov, Andrii Kolpakov y Fedir Hladyr.Fedorov fue arrestado en Polonia, mientras Hladyr y Kolpakov fueron detenidos en España a mediados de 2018. Por el momento su juicio se encuentra interrumpido, aunque es cuestión de tiempo para que los hackers conozcan sus sentencias.

VEA CÓMO ESTA NUEVA ESTAFA DE WHATSAPP ROBA SUS CÓDIGOS DE VERIFICACIÓN

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/vea-como-esta-nueva-estafa-de-whatsapp-roba-sus-codigos-de-verificacion/

Las herramientas de comunicación remota son especialmente útiles hoy en día y, aunque existen múltiples opciones atractivas, WhatsApp sigue siendo el servicio más popular a nivel mundial (con más de mil millones de usuarios activos). Esta enorme popularidad también representa una desventaja, mencionan los expertos de un curso para hackear celulares, pues los actores de amenazas siempre están tratando de aprovecharse de los millones de usuarios de esta plataforma con estafas y mensajes fraudulentos.

Recientemente fue detectada una nueva estafa en la que los hackers maliciosos tratan de falsificar los códigos de verificación que los usuarios de la plataforma reciben al crear una nueva cuenta o recuperar su información en un nuevo dispositivo, con el objetivo de ganar acceso a los teléfonos de las víctimas. Los usuarios deben permanecer alertas, pues la posibilidad de recibir un mensaje malicioso vía WhatsApp es considerablemente alta.

Como señalan especialistas del curso para hackear celulares, WhatsApp no envía mensajes a sus usuarios mediante la plataforma (salvo al enviar códigos de verificación vía SMS). En los casos en que la compañía desea compartir información con los usuarios, siempre se realiza mediante su cuenta oficial de Twitter o en su blog empresarial, que son muy fáciles de identificar. No obstante, muchos usuarios ignoran esto, por lo que a los hackers se les ocurrió usar un número telefónico para crear una cuenta de WhatsApp y enviar mensajes suplantando la identidad de algún empleado de la plataforma; los cibercriminales incluso emplean una imagen de WhatsApp como foto de perfil.

WABetaInfo@WABetaInfo

New WhatsApp for Android 2.20.173 web release is available now!https://wabetainfo.com/wa-android-web/ 

WhatsApp Messenger for Android | WABetaInfo

WhatsApp Messenger for Android (Web Release) page.

wabetainfo.com

Dario Navarro@Darionavarro_

Hey, help me. What is this? It is real?

Ver imagen en Twitter
Ver los otros Tweets de Dario Navarro

En el mensaje, redactado en español, los hackers mencionan a las víctimas que su cuenta requiere ser verificada: “Le informamos que alguien se registró recientemente en una cuenta de WhatsApp usando su número telefónico, no podemos determinar si el inicio de sesión es legítimo”; aunque a todas luces esta es una estafa, muchos usuarios podrían caer en la trampa.

Los expertos del curso para hackear celulares recomiendan a los usuarios de WhatsApp tratar de identificar cualquier indicio de actividad sospechosa, como la deficiente redacción del mensaje o el número no reconocido. WhatsApp es una plataforma cifrada, por lo que bajo ninguna circunstancia se solicitará a los usuarios compartir códigos de verificación o datos personales con supuestos empleados de soporte.

Para prevenir estos ataques, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda habilitar la verificación de dos factores (2FA) en la sección de Configuración de su cuenta de WhatsApp, lo que añadirá una capa de protección adicional en caso de robo de códigos de verificación. La autenticación multi factor es una medida esencial para prevenir ataques de phishing e inicios de sesión ilegítimos.

¿CÓMO FUNCIONA EL ATAQUE DE PHISHING PARA ROBAR CREDENCIALES DE AMAZON WEB SERVICES?

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/como-funciona-el-ataque-de-phishing-para-robar-credenciales-de-amazon-web-services/

Miles de organizaciones públicas y compañías privadas siguen recurriendo al trabajo remoto para cumplir con las medidas de aislamiento por el combate al coronavirus, por lo que la demanda de servicios en la nube sigue incrementando. Los especialistas en seguridad perimetral aseguran que, a pesar de que el distanciamiento social es necesario, esta conducta también ha favorecido a los cibercriminales, que ahora cuentan con mayores recursos para desplegar campañas maliciosas.

Un reporte de la firma de ciberseguridad Abnormal Security describe un ataque de phishing recientemente detectado en el que los actores de amenazas se hacen pasar por miembros del personal de Amazon con el objetivo de extraer credenciales de acceso a Amazon Web Services (AWS).

Este ataque comienza con un email, supuestamente enviado por el equipo de soporte de AWS, con un formato realmente idéntico al de las notificaciones legítimas de la compañía. No obstante, al analizar con detenimiento el contenido del mensaje puede verse que el enlace que se encuentra en el texto es diferente a la dirección de Amazon, aunque es probable que muchos usuarios no noten esto, mencionan los especialistas en seguridad perimetral.

El enlace contenido en el mensaje redirige a los usuarios a un sitio web idéntico al inicio de sesión de AWS (los actores de amenazas incluso se tomaron el tiempo de incrustar imágenes extraídas del sitio oficial de la compañía). Al igual que en cualquier otra campaña de phishing, este falso inicio de sesión sólo servirá para recolectar las credenciales de usuarios desprevenidos.

Los especialistas en seguridad perimetral de Abnormal Security aseguran haber detectado múltiples versiones de este ataque, empleando diferentes direcciones de envío y una gran variedad de cargas útiles, aunque todos los ataques tenían como meta el robo de credenciales de inicio de sesión de AWS. Cabe señalar que todos los emails relacionados con esta campaña provienen de la misma dirección IP, alojada en una VPN francesa.

Balaji Parimi, especialista en ciberseguridad, señala que esta información podría ser empleada por los actores de amenazas para acceder de forma fácil a los recursos más valiosos de las compañías, como propiedad intelectual, información de recursos humanos, detalles financieros, planes de crecimiento o expansión, entre otros: “Las compañías emplean el almacenamiento en la nube para la protección de recursos valiosos. La pérdida de credenciales de acceso representaría un severo problema”.

Las medidas de distanciamiento social siguen vigentes en cientos de ciudades, y seguirán vigentes durante los siguientes meses, por lo que el Instituto Internacional de Seguridad Cibernética (IICS) prevé que las campañas de phishing apuntando contra empleados a distancia seguirán siendo un problema serio a mediano plazo.

ESTA VULNERABILIDAD DE ARMV7 PERMITE HACKEAR AUTOS INTELIGENTES DE FORMA REMOTA COMO EN LAS PELÍCULAS

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/esta-vulnerabilidad-de-armv7-permite-hackear-autos-inteligentes-de-forma-remota-como-en-las-peliculas/

Los autos inteligentes se han convertido en uno de los principales objetivos de algunas pandillas cibercriminales. Los expertos en ingeniería inversa de software del Equipo de Evaluación y Penetración de Experiencia de Clientes de Cisco (CX APT) han revelado el hallazgo de una vulnerabilidad de corrupción de memoria en ARMv7 que, de ser explotada, haría muy fácil el compromiso de un auto inteligente.

Gracias a la inclusión de sistemas informáticos, muchos automóviles actuales son considerados máquinas complejas más allá de los aspectos mecánicos y de diseño, incluyendo sensores y otros dispositivos que ayudan a determinar su ubicación exacta, rendimiento del motor, protección anti robo y otras funciones.

En el informe, los expertos en ingeniería inversa de software señalan que estos sensores proporcionan a los propietarios de vehículos inteligentes diversos indicadores en tiempo real, fusionando componentes móviles e implementaciones en la nube para facilitar algunas funciones, como la apertura de las puertas o el arranque del auto. La implementación de estos sistemas también implica la introducción de múltiples vectores de ataque en vehículos que están conectados a través de redes móviles como WiFiBluetoothDAB o USB.

El investigador Andrew Tierney menciona que la presencia de esta falla no se limita a los autos inteligentes, sino que podría afectar a múltiples implementaciones de Internet de las Cosas (IoT): “Si bien es cierto que más del 90% de los vehículos con sistema satelital están basados en ARM/Linux, lo que los hace vulnerables a estas fallas, el problema se extiende más allá de esta implementación, incluso algunos controladores industriales podrían ser afectados”.

El experto en ingeniería inversa de software asegura que esta es una falla relevante que debe ser atendida a la brevedad; si bien los fabricantes de equipo original cuentan con la capacidad de corregir estas vulnerabilidades y lanzar actualizaciones en periodos cortos de tiempo, existen miles de entornos empresariales e industriales que no cuentan con la misma posibilidad de recibir parches de seguridad, por lo que los hackers podrían aprovechar estas fallas durante años antes de que el riesgo de explotación sea completamente mitigado.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el equipo de investigación de Cisco notificó la vulnerabilidad a algunas compañías, que se han comprometido a lanzar las actualizaciones correspondientes antes del mes de agosto. Aunque son buenas noticias, los expertos creen que los propietarios de vehículos inteligentes no cuentan con ninguna protección contra estos ataques hasta que las actualizaciones sean lanzadas. La buena noticia es que la explotación de estas fallas es un proceso complejo, por lo que las posibilidades de explotación en escenarios reales se ven realmente reducidas.