Category Archives: Malware

Home / Archive by category "Malware"

Descubren un nuevo método de ataque a través de Microsoft Word

Descubren una nueva forma de ataque a través de Microsoft Word

El año pasado supimos de un ataque que los piratas cibernéticos estaban lanzando a través de Microsoft Word. Este ataque no requería el uso de macros, las mini porciones de código dentro de los documentos para automatizar tareas.

A partir del momento en que esto salió a la luz, los expertos y Microsoft han trabajado en una solución para combatir este tipo de ataque con malware. Y justo cuando parecía haber quedado en el pasado; aparece una nueva técnica que también permite atacar a través de Word sin macros.

El nuevo hack a través de Word

Esto fue revelado por Trustwave SpiderLabs en un informe de seguridad: los hackers ahora están usando una técnica de fases múltiples que no necesita macros; puede robar tus datos a través de tu propia computadora.

 

Todo esto gracias a una campaña del odiado spam. Así mandan a las personas documentos de Word. El ataque aprovecha la vulnerabilidad CVE-2017-11882. Se trata de un error dentro del editor de ecuaciones de Office que permite que se ejecute el malware.

Entonces, así funciona: te envían un correo spam con un documento .doc o .docx. Cuando lo abres, se abre un archivo RTF que explota la vulnerabilidad arriba mencionada. Luego, ejecuta los comandos que descargarán un script de VisualBasic. Ahora ejecutará el script; mismo que propagará el malware y robará tu información (como contraseñas). Por último, toda la información robada será enviada a un servidor que es controlado remotamente por piratas cibernéticos.

Pero no todo es malas noticias. Este nuevo método explota la misma vulnerabilidad que el conocido el año pasado. Es decir: mantén tu equipo actualizado y no deberías tener problemas.

 

The post Descubren un nuevo método de ataque a través de Microsoft Word appeared first on FayerWayer.

Reclamos.cl reconoce el minado de criptomonedas en su sitio: “No sabíamos del debate ético”

Luego de ser descubierto el script que mina criptomonedas en el portal chileno Reclamos.cl, nos contactamos con su administración para tener su versión de lo ocurrido. Unas horas más tarde, llegó la respuesta donde se explica la situación: se trató de “un experimento”.

“Desde la semana pasada comenzamos a probar la tecnología”, nos explicó alguien de Reclamos.cl que se identificó simplemente como R. “Considerando que nos propusimos hacer un experimento durante una semana, incurrimos en la audacia de no pedir permiso mientras evaluamos los resultados“.

“No sabíamos del debate ético”

Quizás lo más escandaloso de todo es que los administradores del sitio no sabían realmente en que se estaban metiendo, o al menos eso reconocen. “Personalmente confieso que no sabía que había un debate al respecto“.

Pedimos disculpas si nuestra curiosidad llevó a defraudar las confianzas que han depositado en nosotros. Por nuestra parte, nos sentimos en el deber de explorar y probar nuevas fórmulas, esperando ser tan transparentes como los usuarios lo estimen adecuado.

Al parecer, en Reclamos.cl tenían la esperanza de que el experimentó fuera algo más exitoso, pero se quedó por debajo de las expectativas. “Los resultados son precarios comparados con los que se pueden obtener mediante otros mecanismos, por lo que probablemente descartaremos su uso”. Nótese el uso de “probablemente”, lo que da pie a que el script pueda seguir insertado en el sitio en el futuro.

La imagen a continuación, enviada adjunta en la respuesta de correo electrónico, muestra los resultados conseguidos en estos pocos días:

No deja de ser llamativo lo desconectados que parecen estar los administradores de Reclamos.cl respecto de este tipo de prácticas. “Intuyo que es interesante la posibilidad de sustentar sitios informativos mediante mecanismos como este, en tanto más que consumir atención del usuario, consume la del procesador“.

Demás está decir que acciones como esta merecen ser repudiadas. No por nada, estos scripts son detectados como código malicioso por varios antivirus, amén de la discusión “ética” que existe al respecto.

Al momento de publicar esta nota, el código que mina criptomonedas sigue presente en Reclamos.cl.

The post Reclamos.cl reconoce el minado de criptomonedas en su sitio: “No sabíamos del debate ético” appeared first on FayerWayer.

Potente malware daña seriamente a dispositivos con Android

Con la batería completamente hinchada terminó un móvil infectado por el troyano Loapi, tras ser sometido a pruebas de seguridad por la firma Kaspersky. El poderoso malware posee una composición modular que le permite realizar las más variadas actividades maliciosas en los dispositivos que infecta.

El troyano en cuestión es una conjunción de técnicas altamente sofisticadas para controlar los móviles con sistemas Android. El código fue programado por módulos para gestionar caprichosamente la publicidad que aparece en los equipos, el envío de mensaje de textos, hacer rastreo web, gestión de proxy y minar criptomonedas. El programa puede hacer prácticamente lo que se le plazca en los equipos.

El malware se oculta a través de ciertas publicidades que aparentan ser antivirus o de contenido para adultos. Así lo mencionaron en un artículo publicado desde Kaspersky:

Lo encontramos en más de 20 recursos, cuyos dominios se relacionan con populares antivirus y sitios pornográficos. Luego de adquirir privilegios de administrador, la aplicación maliciosa oculta su ícono en el menú y simula actividades según la aplicación en la que se enmascara.

El malware en cuestión puede hacer que los usuarios se suscriban a servicios que no han solicitado, enviar SMS y eliminar registros de la bandeja de entrada, visualizar forzosamente publicidad y generar tráfico a su antojo.

Sin embargo, lo más preocupante tiene relación con el módulo proxy que puede ser usado para organizar ataques de denegación de servicio (DDoS). Paralelamente, se pueden usar los dispositivos para minar criptomonedas, involucrando funciones con Monero para conectarse a la pool “stratum+tcp://xmr.pool.minergate.com:45560”.

Tras varias pruebas, los investigadores comentaron que las técnicas utilizadas son una interesante representación del espectro de los ciberataques, que recomiendan usar aplicaciones oficiales y mantener los dispositivos actualizados. Así mismo, los resultados fueron poco alentadores para uno de los dispositivos en prueba, ya que terminó con la batería completamente hinchada por la sobrecarga originada por Loapi. Así fue como quedó:

The post Potente malware daña seriamente a dispositivos con Android appeared first on FayerWayer.

Después de años de funcionamiento, finalmente el FBI desconectó la popular botnet Andromeda

Hace poco se anunció que una operación internacional desmanteló la infraestructura detrás de la popular botnet Andromeda, y que además se habría dado con el presunto responsable de su extensión en Bielorrusia. Ahora, todo aquello se oficializa cuando investigadores dicen haber identificado al hombre detrás de la poderosa red.

Las botnet son redes de dispositivos que han sido controlados intencionalmente sin el permiso de los propietarios para algún propósito particular. Estos dispositivos pueden incluir cámaras IP, celulares, y en general aparatos inteligentes que se conectan a internet. En los últimos años hemos sido testigo cómo botnets como Mirai o Reaper IoT, han generado infraestrucuturas virtuales realmente alarmantes, aunque el asunto no es nuevo.

Andromeda fue descubierta en 2011 y para ese entonces sus infecciones afectaban en promedio un millón de máquinas por mes. La botnet tiene como blanco particularmente a sistemas con Windows y al momento de infectar un ordenador, es capaz de realizar descargas, instalar software adicional, robar credenciales de acceso y crear proxys. Aunque los propósitos de las botnets pueden ser variados, usualmente se construyen con la intención de propagar virus, hacer ataques DDoS, enviar spam o minar criptomonedas.

La empresa de ciberseguridad Recorded Future declaró que el hombre sospechoso se le conocía en linea como Ar3s y comprobaron que también había usado el número ICQ “5777677” para comunicarse. ICQ es un antiguo cliente de mensajería instantánea y Ar3s había utilizado esta identificación al menos desde el 2005. Así lo indican en su sitio web:

Creemos que la persona arrestada es conocido como Ar3s, uno de los miembros más antiguos y respetado del mundo criminal, por ser la mente maestra detrás del troyando Andromeda […] Llevamos a cabo un análisis adicional de las actividades recientes de Ar3s y observamos que su último acceso al foro DaMaGeLaB fue el 22 de noviembre, lo que podría indicar la fecha del arresto.

En base a un simple cruce de datos por buscadores y compañías telefónicas y dieron con que la dirección estaba asociada a Sergey Jaretz, un sujeto de 33 años residente de Rechitsa, Bielorrusia, comprobando la identidad del hombre, quien ya fue arrestado. Al parecer, Jeretz no anticipó los alcances de su huella digital.

The post Después de años de funcionamiento, finalmente el FBI desconectó la popular botnet Andromeda appeared first on FayerWayer.

Servicios ocultos podrían estar minando criptomonedas desde tu navegador

La locura por minar criptomonedas sigue ganando terreno. Desde los modestos ordenadores personales hasta las gigantescas botnets, los usuarios se las ingenian para conseguir porcentajes de estas divisas digitales. Pero así como muchos lo hacen legítimamente, otros buscan los medios desesperadamente aumentar su capacidad de procesamiento.

Programadas para minería hay un montón, aunque las técnicas se van sofisticando cada vez más. Sin ir más lejos, recientemente investigadores de seguridad del anti malware, Malwarebytes, descubrieron que cientos de sitios utilizan métodos ocultos para realizar este proceso sin el consentimiento de los usuarios. Y lo que es aún más preocupante: los servicios se siguen ejecutando sin que los usuarios lo noten.

La forma de secuestrar los recursos de nuestro procesador es mediante un fragmento de código en JavaScript, que mantiene funcionando el proceso en un segundo plano de forma automática. El tema no es menor, porque a pesar de que muchos sitios web ya minaban a escondidas de los usuarios, los procesos se caían al cerrar las pestañas. Con esta técnica, se levanta una ventana pop-under que, a diferencia de los pop-up “normales”, se posiciona por debajo de las ventanas y programas que tenemos abiertos y continua ejecutando el proceso en un segundo plano.

Por si fuera poco, esta ventana está diseñada para evadir los clásicos bloqueadores de anuncios, aunque lo expertos se pudieron dar cuenta que está alojado en Amazon Web Servers y que funciona en la última versión del navegador Google Chrome para Windows 7, 8 y 10. Así lo consignaron en su sitio web:

El truco se sigue ejecutando, aunque cerramos la ventana visible del navegador, y fue particularmente identificado en sitios para adultos que ya usaban métodos publicitarios agresivos. Este tipo de ventanas pop-under, están diseñadas específicamente para eludir los adblockers y es mucho más difícil identificarlas. Cerrando las ventanas con la X ya no es suficiente.

Ante la impotencia que puede resultar notar al ordenador lento y poco funcional, las recomendaciones son sencillas. Lo primero es ir al Monitor de Recursos y ver si el navegador está ocupando demasiados recursos. Paralelamente, verifica las pestañas que tienes abiertas y cerciorarse que no haya más ventanas debajo de los programas que utilizas. En caso de que el problema persista, mata todos los procesos que te parezcan sospechosos en Chrome.

Si quieres protegerte de antemano, también puedes usar extensiones como No-Coin, que bloquea los procesos orientados a la minería en webs.

 

 

The post Servicios ocultos podrían estar minando criptomonedas desde tu navegador appeared first on FayerWayer.

Este malware finge ser una pantalla azul de la muerte para sacarte dinero

El malware es cosa de todos los días, sin embargo este ha llamado nuestra atención ya que se aprovecha de un bug habitual en los computadores para intentar sacar dinero a sus víctimas. Se trata del Troubleshooter, un malware que tira la fatídica pantalla azul de la muerte en Windows y te invita a instalar un programa “para solucionarlo”.

Reportado por Malwarebytes, el Troubleshooter manda una pantalla azul de la muerte e indica que el computador carece de varios archivos de registro y para solucionar el problema solo basta comprar una versión de Windows Defender Essentials que cuesta USD $25 y puede pagarse usando PayPal.

Este malware se adquiere por medio de instaladores de software crackeado. Al igual que mucho malware, el Troubleshooter envía un error al tratar de finalizar el proceso por medio de Ctrl+Alt+Supr y no permite regresar al escritorio.

Si han sido víctimas de esto, basta seguir los siguientes pasos que se explican en el foro de Malwarebytes para eliminar este molesto malware.

¿Cómo se elimina Troubleshooter.exe de Windows?

Para eliminarlo solo basta reiniciar el computador en modo a prueba de fallos y ejecutar el Administrador de Tareas ahí para acceder al folder de temporales y eliminar el archivo Troubleshoot.exe dentro de la carpeta csrvc.

Una vez eliminado deberemos acceder a los servicios para deshabilitar uno llamado csrvc y así evitar que inicie con nuestro computador. Luego de seguir esos tres pasos solo basta iniciar el computador, presionar Ctrl+Alt+Supr nuevamente y teclear “explorer” en “Nueva Tarea” para tener acceso a nuestro escritorio nuevamente.

De ahí el sitio Malwarebytes recomienda descargar la versión gratuita de su software para ejecutar las tareas restantes y eliminar por completo los rastros del malware.

The post Este malware finge ser una pantalla azul de la muerte para sacarte dinero appeared first on FayerWayer.

Reaper IoT, la botnet que tiene secuestrados a miles de dispositivos y mantiene en alerta a investigadores

Durante el año pasado se hizo conocida la red Mirai, que controlaba aparatos para hacer ataques de denegación de servicio (DDoS). Ahora, una nueva botnet denominada Reaper IoT ha adquirido volumen, controlando principalmente cámaras de seguridad IP y routers domésticos. Aunque los ataques han disminuido esta semana, investigadores temen que infecte a los dispositivos listados en su infraestructura próximamente.

Una botnet consiste en una red de dispositivos informáticos que han sido controlados para operar de forma remota sin el permiso de los propietarios. La forma de obtener el control, es mediante un malware o código malicioso que encuentra vulnerabilidades en los equipos. Dentro de los aparatos vulnerables se encuentran gran parte de los dispositivos inteligentes que se conectan al internet de las cosas, como drones, cámaras IP, celulares, etc. Los propósitos de estas redes pueden variar, aunque usualmente de utilizan para hacer DDoS, propagar virus, enviar spam o minar criptomonedas.

De momento más 20 mil dispositivos se encuentran secuestrados en la red zombi, aunque cerca de dos millones están listados en su infraestructura de mando y control (usualmente abreviado como C2), los cuales podrían ser atacados en cualquier momento. Según los expertos, la red está compuesta principalmente por cámaras de seguridad basadas en IP, grabadoras de video en red (NVR), grabadoras de video digital (DVR) y routers caseros. El malware ha evolucionado de tal forma que afecta a proveedores como D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology, entre otros.

Más ofensivo que Mirai

Reaper IoT está basada en una metodología parecida a la del malware Mirai, red descubierta durante octubre del año pasado, utilizada principalmente para realizar ataques de denegación de servicio (DDoS) mediante dispositivos del IoT, aunque mantiene diferencias. Investigadores de la firma de seguridad china Qihoo 360 Netlab, han analizado la red zombi, consignando que parte del código pertenece a Mirai, aunque se le han añadido funciones nuevas, que vuelven a la red mucho más intimidante.

Dentro de las diferencias, se encuentran métodos de programación distintos. Por un parte, Mirai analiza los puertos de los dispositivos (Telnet) para intentar iniciar sesión mediante una lista preestablecida de credenciales. Reaper, en tanto, no se basa únicamente en un escáner, sino que explota vulnerabilidades directamente para hacerse del control de los artefactos sin parches de seguridad. Tras obtener acceso, los agrega a su infraestructura para aprovechar su hardware y funciones.

Los investigadores han señalado que la botnet se encuentra en una etapa naciente de desarrollo, lo que posibilita tomar medidas más oportunamente, aunque los exploits utilizados igualmente se van actualizando constantemente conforme aparecen nuevas vulnerabilidades.

The post Reaper IoT, la botnet que tiene secuestrados a miles de dispositivos y mantiene en alerta a investigadores appeared first on FayerWayer.

Vulnerabilidad en Microsoft Word es usada para ataques con malware

Se ha descubierto un método usado para explotar una vulnerabilidad dentro de Microsoft Word, el cual facilita los ataques con malware, pues a diferencia de los ataques comúnes, dicho método no requiere que las macros estén habilitadas.

El protocolo DDE (Intercambio Dinámico de Datos, por su significado en inglés) es explotado para ejecutar código malicioso en las computadoras de las víctimas. DDE es usado en cientos de aplicaciones, entre las cuales se encuentran Excel, Visual Basic, Quattro Pro, entre otras.

Para entrar en contexto, el protocolo DDE permite que las aplicaciones intercambien datos de manera continua. Al ser explotado, los atacantes pueden esparcir malware logrando incluso que pase desapercibido por los usuarios (vía The Hacker News).

Necurs Botnet, red con más de 6 millones de computadoras involucradas, está aprovechando esta vulnerabilidad para esparcir el ransomware Locky y el troyano bancario TrickBot. Hasta antes de esta explotación, la campaña dependía por completo de las macros.

Necurs Botnet. (c) The Hacker News

Además, el botnet ahora puede tomar capturas de pantalla de la computadora afectada, datos de telemetría e incluso obtener detalles de los errores encontrados al intentar sus actividades maliciosas, información que es retomada de manera remota por los atacantes.

También se descubrió que otra campaña esta aprovechando el fallo en el protocolo DDE para esparcir el malware Hancitor, también conocido como Chanitor y Tordal. Una vez en la computadora, instala troyanos bancarios, ransomware y malware cuya tarea es robar datos.

Campaña de Hancitor. (c) The Hacker News

Debido a que se trata de una vulnerabilidad en una característica de Microsoft Word, los antivirus son incapaces de detectar cualquier actividad extraña. Sin embargo, se deben tomar en cuenta un par de recomendaciones para protogerse frente a estos ataques.

Primero, y siempre recomendable, es que los usuarios presten atención a las fuentes de correo elctrónico, los archivos que abren y los enlaces dentro de ellos si no confían plenamente. Segundo, evitar la actualización automática de enlaces en Microsoft Word.

El usuario puede desactivar dicha característica yendo al menú Opciones > Avanzado > Actualizar enlaces automáticos al abrir, al menos hasta que Microsoft decida lanzar un parche que mitigue la vulnerabilidad.

The post Vulnerabilidad en Microsoft Word es usada para ataques con malware appeared first on FayerWayer.

Bitdefender lanza herramienta para identificar ransomware

El malware de tipo ransomware está en constante evolución, no sólo en lo que respecta a sus métodos de distribución o contagio, sino también por la forma en que puedes rescatar tus archivos cifrados, por ejemplo, enviando nudes.

Aún estando protegidos, es posible que un ransomware logre ‘secuestrar’ tus archivos y pida un jugoso rescate por ellos. Sin embargo, para muchos ya existen programas gratuitos que ayudan a recuperar los archivos, aunque lo difícil puede ser identificar el ransomware.

Es por eso que Bitdefender lanzó una herramienta portable para Windows que te ayudará a identificar el ransomware que ha logrado cifrar tus archivos, siempre y cuando la infección no bloquee el uso de la computadora (vía gHacks).

(c) gHacks

Bitdefender Ransomware Recognition Tool ofrece dos maneras de identificar el ransomware, una mucho más efectiva que la otra. Ya sea indicando la ruta hacia la nota que dejó el ransomware o la ruta de los archivos cifrados por el mismo, respectivamente.

De acuerdo con Bitdefender, se requiere una conexión a internet para que la herramienta pueda identificar el ransomware, puesto que sube la nota a su nube y, si bien no los archivos, sólo sus nombres y extensiones.

Si la herramienta logra identificar el ransomware, mostrará el o los resultados ordenados por relevancia y con ellos un enlace hacia las herramientas que podrían descifrar los archivos.

Para los encargados del departamento de Tecnología de la Información, es posible usar el siguiente par de comandos desde la consola de Windows para realizar el escaneo en varias computadoras:

  • -note:RUTA_DE_NOTA;
  • -test:RUTA_ARCHIVOS_CIFRADOS;

The post Bitdefender lanza herramienta para identificar ransomware appeared first on FayerWayer.

El malware de CCleaner estaba dirigido a empresas de tecnología

Hace unos días se supo que una versión de CCleaner venía infectada con malware. Hoy Avast ha revelado algunos avances de la investigación y del posible objetivo de aquellos que perpetraron el ataque. De acuerdo con el blog oficial, más allá de los consumidores, fueron empresas de tecnología y telecomunicaciones las que estaban entre los objetivos.

Avast reporta que este ataque se trató de una Amenaza Persistente Avanzada (APT) que tenía como fin esparcir el malware a ciertos usuarios. Al analizar el servidor se encontraron registros de que fue distribuido en 20 computadoras de ocho empresas, aunque se presume que cientos de computadores recibieron esta carga maliciosa  ya que los registros del servidor solo datan de tres días.

La empresa reporta que firmas de tecnología y telecomunicaciones de Japón, Taiwan, Reino Unido, Alemania y Estados Unidos fueron el blanco de este ataque, aunque por cuestiones de privacidad decidieron omitir los nombres de los afectados y decidieron ponerse en contacto directamente con ellos.

Avast dijo que el ataque cuenta con un alto grado de sofisticación y ya trabajan con diversas agencias de inteligencia para rastrear a los culpables. Mientras eso ocurre se invitó a los usuarios a actualizar a la versión más reciente de CCleaner (5.35) con el fin de recibir el parche correspondiente.

The post El malware de CCleaner estaba dirigido a empresas de tecnología appeared first on FayerWayer.

About Guardian

All the Lorem Ipsum generators on the Internet tend to repeat predefined an chunks as necessary, making this the first true generator on the Internet. All the Lorem Ipsum generators on the Internet tend to repeat predefined Lorem Ipsum as their default model text, and a search for web sites.