Noticias de seguridad informatica

Ultimas noticias destacadas de seguridad informática

Segu-Info - Noticias de Seguridad Informática Segu-Info - Noticias de Seguridad Informática

  • 🧛Darcula software de SMiShing chino
    por SeguInfo el marzo 28, 2024 a las 3:03 pm

    El phishing como servicio (PaaS) ha alcanzado la mayoría de edad con lo que se considera la operación de estafa de paquetes más generalizada a nivel mundial hasta la fecha. La plataforma de phishing como servicio en idioma chino "Darcula" ha creado 19.000 dominios de phishing en ataques cibernéticos contra más de 100 países, dicen los investigadores. La plataforma ofrece a los ciberdelincuentes fácil acceso a campañas de phishing de marca por precios de suscripción de alrededor de 250 dólares al mes, según investigadores del proveedor de seguridad de infraestructura de Internet Netcraft. Las plataformas de phishing como servicio no son nuevas, pero Darcula eleva el listón con mayor sofisticación técnica. Ejecuta muchas de las mismas herramientas empleadas por los desarrolladores de aplicaciones, incluidas JavaScript, React, Docker y Harbor. Darcula utiliza iMessage y RCS (Rich Communication Services) en lugar de SMS para enviar mensajes de texto, una característica que permite que los mensajes fraudulentos enviados a través de la plataforma eviten los cortafuegos de SMS, que normalmente bloquean la entrega de mensajes sospechosos. SMiShing de entrega de paquetesLos ataques de phishing mediante mensajes de texto, también conocidos como SMiShing, han sido un peligro durante años. Los ciberdelincuentes intentan utilizar mensajes de "paquete perdido" o similares para engañar a posibles marcas para que visiten sitios falsos (disfrazados de empresas postales o bancos) y entreguen los detalles de sus tarjetas de pago o su información personal. Google ha tomado medidas para bloquear los mensajes RCS de los teléfonos rooteados, pero el esfuerzo sólo ha tenido un éxito parcial. La plataforma Darcula ofrece una fácil implementación de sitios de phishing con cientos de plantillas dirigidas a marcas de todo el mundo, incluidas Kuwait Post, la empresa de telecomunicaciones Etisalat con sede en los Emiratos Árabes Unidos, Jordan Post, Saudi Post, Australia Post, Singapore Post y servicios postales en Sudáfrica, Nigeria, Marruecos. y más. Este ataque presenta diferencias a otros servicios recientes como Fluffy Wolf o FakeSMS o Tycoon 2FA. Las estafas de Darcula generalmente se dirigen a consumidores y no a empresas.Por ejemplo, para obtener acceso inicial a las infraestructuras objetivo, Fluffy Wolf, activo desde 2022, se hace pasar por una empresa de construcción para enviar correos electrónicos de phishing con archivos adjuntos disfrazados de informes de conciliación o informes destinados a garantizar que los diferentes conjuntos de cifras contables sean correctos. Los archivos protegidos con contraseña ocultan una variedad de cargas útiles maliciosas; el principal es Meta Stealer, clon del popular ladrón RedLine.Tycoon, por su parte, es una una popular plataforma de phishing como servicio (PhaaS) responsable de miles de ataques a cuentas de Microsoft 365 y Gmail, se ha vuelto aún más difícil de detectar. El investigador de seguridad israelí Oshri Kalfon comenzó a investigar a Darcula el año pasado (parte I y II) después de recibir un mensaje fraudulento en hebreo. Kalfron descubrió innumerables pistas sobre el funcionamiento de la plataforma después de rastrear las raíces de la estafa hasta un sitio de control cuyo panel de administración era fácil de hackear porque los estafadores habían olvidado cambiar las credenciales de inicio de sesión predeterminadas. La plataforma Darcula cuenta con soporte para alrededor de 200 plantillas de phishing, que abarcan una variedad de marcas. Los servicios postales de todo el mundo son el objetivo principal, pero también se encuentran en la lista otras organizaciones orientadas al consumidor, incluidas empresas de servicios públicos, instituciones financieras, organismos gubernamentales (departamentos de impuestos, etc.), aerolíneas y proveedores de telecomunicaciones. Una característica de las estafas basadas en Darcula son dominios creados expresamente, en lugar de dominios legítimos pirateados. Los dominios de nivel superior (TLD) más comunes utilizados para darcula son .top y .com, seguidos de numerosos TLD genéricos de bajo costo. Alrededor de un tercio (32%) de las páginas de Darcula abusan de Cloudflare, una opción preferida en la documentación de Darcula. También se abusa de Tencent, Quadranet y Multacom como anfitriones. Redes de phishing Desde principios de 2024, Netcraft ha detectado un promedio de 120 nuevos dominios que alojan páginas de phishing de Darcula por día. "Darcula es la operación de estafa de paquetes más generalizada a nivel mundial". A diferencia de los kits de phishing típicos (de última generación), los sitios web de phishing generados con Darcula se pueden actualizar sobre la marcha para agregar nuevas funciones y funciones antidetección. Por ejemplo, una actualización reciente de Darcula cambió el kit para que el contenido malicioso esté disponible a través de una ruta específica (es decir, ejemplo.com/track), en lugar de la página principal (ejemplo.com), dice Netcraft. La táctica disfraza la ubicación del atacante. En la página principal, los sitios de Darcula suelen mostrar un dominio falso para una página de venta/reserva. Las versiones anteriores redirigían a los rastreadores y robots a búsquedas en Google de varias razas de gatos. Debajo del capó, Darcula utiliza el registro de contenedores de código abierto Harbor para alojar imágenes Docker de sitios web de phishing escritos en React. Los ciberdelincuentes que alquilan la tecnología seleccionan una marca a la que apuntar antes de ejecutar un script de configuración que instala un sitio web de phishing específico de la marca y un panel de administración en Docker. La evidencia sugiere que la operación está diseñada en gran medida para ciberdelincuentes que hablan chino. "Basándonos en lo que hemos observado, creemos que Darcula utiliza principal o exclusivamente el chino, y quienes utilizan la plataforma crean plantillas externas en otros idiomas", afirma Duncan. Fuente: DarkReading

  • ¿SQLi en tus aplicaciones? ¡No te da vergüenza!
    por SeguInfo el marzo 28, 2024 a las 12:33 pm

    Dos organismos gubernamentales de EE.UU. han instado a los proveedores de tecnología a eliminar la clase "imperdonable" de vulnerabilidades conocida como inyección SQL (SQLi). La alerta de "seguridad por diseño" fue emitida el 25 de marzo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI. Afirma que la industria del software ha sabido cómo eliminar los defectos de SQLi a escala durante décadas. Sin embargo, los actores de amenazas pudieron explotar precisamente una vulnerabilidad de este tipo en el software de transferencia de archivos MOVEit del desarrollador Progress el año pasado, con un efecto devastador. Se cree que la banda de ransomware Clop ganó hasta 100 millones de dólares con la campaña, que resultó en la filtración de datos de miles de clientes corporativos de MOVEit, lo que afectó los datos personales de decenas de millones de clientes intermedios. "A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes", señala la alerta. "CISA y el FBI instan a los altos ejecutivos de las empresas de fabricación de tecnología a realizar una revisión formal de su código para determinar su susceptibilidad a compromisos SQLi. Si se encuentran vulnerables, los altos ejecutivos deben asegurarse de que los desarrolladores de software de sus organizaciones comiencen a implementar de inmediato mitigaciones para eliminar toda esta clase de defecto de todos los productos de software actuales y futuros". Los ataques SQLi tienen éxito porque los desarrolladores no tratan el contenido proporcionado por el usuario como potencialmente malicioso, según CISA. Puede resultar no solo en el robo de datos confidenciales, sino también permitir que los delincuentes alteren, eliminen o hagan que la información no esté disponible en una base de datos. La alerta instaba a los fabricantes de tecnología a seguir tres principios rectores: Asumir la responsabilidad de los resultados de seguridad del cliente mediante la realización de revisiones formales del código y el uso de "declaraciones preparadas con consultas parametrizadas" como práctica estándar. Adoptar la transparencia y la responsabilidad "radical" garantizando que los registros CVE sean correctos y completos, documentando las causas fundamentales de las vulnerabilidades y trabajando para eliminar clases enteras de vulnerabilidad. Realinear los objetivos comerciales hacia el desarrollo de software seguro desde el diseño, incluida la realización de las inversiones adecuadas y la creación de estructuras de incentivos. En última instancia, esto podría ayudar a reducir los costos financieros y de productividad, así como la complejidad. Para obtener más información sobre los principios recomendados y las mejores prácticas para lograr este objetivo, visite la página Secure by Design de CISA. Para ponerse al día con las publicaciones de esta serie, visite Secure by Design Alerts. Fuente: Infosecurity-Magazine.

  • GoFetch: vulnerabilidad crítica de los chips Apple M
    por SeguInfo el marzo 27, 2024 a las 1:00 pm

    Apareció una nueva vulnerabilidad para los chips Apple M (inserte el número aquí). Esta es una vulnerabilidad que no se puede reparar llamada GoFetch, que está integrada en la forma física/arquitectura del chip. La revelación de la vulnerabilidad GoFetch dentro de los chips de la serie M de Apple ha conmocionado a la comunidad tecnológica, destacando una vía sofisticada para que los atacantes extraigan claves de cifrado secretas. La vulnerabilidad GoFetch recientemente expuesta que afecta a los chips M1, M2 y M3 de Apple permite a un atacante filtrar claves secretas de aplicaciones criptográficas en un sistema objetivo. El exploit funciona ejecutando un proceso fraudulento en el mismo clúster de CPU que el proceso objetivo en la máquina objetivo. Actualmente no existe una mitigación sencilla para esta vulnerabilidad, ya que reside en el hardware. GoFetch es una vulnerabilidad de canal lateral de caché. Este tipo de vulnerabilidad se dirige a un caché particular del sistema mediante el análisis de datos secundarios. Los chips de silicio de Apple M1, M2 y M3 poseen un Prefetcher dependiente de la memoria de datos, que es una parte de hardware del chip responsable de predecir las direcciones de memoria de los datos a los que es probable que acceda el código ejecutado en la computadora en un futuro cercano y almacenarlos en un cache. Las pruebas realizadas por los investigadores demostraron que era posible extraer claves de productos de cifrado populares (OpenSSL Diffie-Hellman Key Exchange, descifrado Go RSA), pero también de criptografía poscuántica como CRYSTALS-Kyber y CRYSTALS-Dilithium. Sin embargo, los investigadores escribieron que "si bien demostramos ataques de extremo a extremo en cuatro implementaciones criptográficas diferentes, es probable que más programas estén en riesgo dadas estrategias de ataque similares". ¿Qué es una vulnerabilidad de canal lateral de caché? Imagina que tienes una caja fuerte cerrada cuyo código no conoces, pero sabes que el sonido que hace el dial cuando lo giras cambia según el número en el que estés. Entonces, escuchas atentamente el sonido que hace el dial cuando lo giras y puedes descubrir la combinación de esa manera, aunque no sepas los números reales. Un ataque de canal lateral funciona de manera similar. En lugar de intentar romper el cifrado directamente, un atacante busca otras pistas que puedan revelar la información secreta. Por ejemplo, podrían usar un dispositivo para medir la cantidad de energía que utiliza una computadora mientras realiza operaciones de cifrado. Al analizar los patrones en el uso de energía, pueden descubrir la clave que se utilizó para cifrar los datos, aunque no conozcan el algoritmo. Esta puede ser una forma muy eficaz de eludir las medidas de seguridad y obtener acceso a información confidencial. Fuente: Medium | TechRepublic

  • Ransomware: cómo defender el reino (I)
    por SeguInfo el marzo 26, 2024 a las 4:15 pm

    Seguimos viendo cómo las organizaciones se ven afectadas, de alguna manera enfermiza, por el rasnowmare. Creo que algunos de mis amigos en la industria y yo estamos aburridos con las respuestas tan dramáticas de "sofisticado", "avanzado" e "imprevisible", porque la mayoría de las veces las cadenas de destrucción simplemente no son así. Ransomware 101 No se trata sólo de que sus datos se cifrarán, sino que probablemente serán exfiltrados y vendidos. Es probable que le vendan el acceso, le vendan los datos y le extorsionen. El modelo de negocio de Ransomware se está adaptando a las respuestas de los defensores. Incluso si puedes restaurar desde la copia de seguridad, es probable que intenten extorsionarte. Esto trae un punto clave en esta ecuación: la mejor posición es NO ser vulnerados (pwn3d) para empezar. Puede parecer una tontería decirlo, pero cuando miramos las cadenas de infección, es posible ver el mundo un poco desde la perspectiva de la prevención proactiva y no desde el post-incidente. Acceso inicial Las rutas de acceso inicial típicas del ransomware incluyen: Diccionarios: ataques a servicios de acceso remoto expuestos (a menudo RDP expuesto en TCP 3389 o puertos cercanos) que no están configurados de forma segura. A menudo tienen NLA deshabilitado y muchas veces no hay bloqueos de cuentas, MFA o monitoreo. El ransomware RDP, según Coveware, representa aproximadamente el 50% de todos los vectores de acceso inicial históricamente, aunque esta cantidad disminuyó en el cuarto trimestre de 2020 con preferencia al phishing: Las vulnerabilidades de ejecución remota de código (RCE) de los servicios expuestos son otro vector importante. Existe una variedad de CVE relacionados con esto, pero incluyen: Servidor de intercambio VPN de pulso Vmware Citrix Varios productos VPN y Firewall Estos vectores tiende a reducirse en gran medida a favor del phishing, porque el mismo puede conducir al acceso remoto por parte de los delincuentes de varias maneras. Las partes clave aquí pueden incluir: Recolección de credenciales que conduce al acceso remoto Ejecución de malware en el dispositivo de destino. Ingeniería social para brindar a los delincuentes acceso remoto asistido por el usuario (por ejemplo, utilizando software como TeamViewer o asistencia remota de Windows) Entonces, ¿qué podemos hacer aquí para identificar, prevenir y detectar? Bueno, mira la lista de verificación: Lista de verificación de prevención de acceso inicial. Auditar la superficie de ataque frente a Internet. Auditar la configuración de los servicios de acceso remoto. Garantizar que los servicios de seguridad perimetral estén actualizados y funcionando en una configuración reforzada y segura. Implementar controles de autenticación sólidos. Implementar buenas políticas y controles de contraseñas. Bloqueos y deshabilitación de cuentas estén habilitados. Realizar auditorías de contraseñas. Asegurar que los registros de eventos se envíen y supervisen. Implementar la autenticación multifactor. Agregue capas de protección, por ejemplo una VPN con MFA (esto no es una solución mágica) Habilitar servicios de seguridad de correo (por ejemplo, antiphishing).. Deshabilitar las macros en los dispositivos de punto final. Ejecutar servicios antimalware/EDR. Habilitar el registro de operaciones de usuarios normales y privilegiados. Implementar configuraciones reforzadas. Implementar listas de aplicaciones/binarios permitidas (por ejemplo, Applocker) Deshabilitar las extensiones de archivos no seguras (por ejemplo, MSHTA, VBS, WSH, JS, etc.) Deshabilitar Powershell, WMI, etc. Bloquear extensiones riesgosas (por ejemplo, ISO, VHD/VHDX, etc). Restringir el tráfico de salida riesgoso. Aprovechar servicios de DNS protector (por ejemplo, Cloudflare o similar). Filtrar el tráfico para permitir solo los tipos de archivos y sitios que se esperaría recibir. Bloquear sitios web que se sabe que son maliciosos. Inspeccionar activamente el contenido. Usar firmas para bloquear código malicioso conocido. Deshabilitar RDP si no es necesario. Habilitar MFA en todos los puntos de acceso remoto a la red y aplicar listas de permisos de IP mediante firewalls de hardware. Utilizar el modelo de privilegios mínimos para proporcionar acceso remoto: utilizar cuentas con privilegios bajos para autenticarse y proporcione un proceso auditado para permitir que un usuario escale sus privilegios dentro de la sesión remota cuando sea necesario. Parchear las vulnerabilidades conocidas en todos los dispositivos de acceso remoto y externos de inmediato (consultar la guía sobre cómo administrar las vulnerabilidades dentro de su organización) y seguir las instrucciones de solución del proveedor, incluida la instalación de nuevos parches tan pronto como estén disponibles. Administrar dispositivos de forma centralizada para permitir que solo las aplicaciones en las que la empresa confía se ejecuten en los dispositivos, utilizando tecnologías que incluyen AppLocker o desde tiendas de aplicaciones confiables (u otras ubicaciones confiables). Proporcionar educación sobre seguridad y capacitación en concientización a su personal, por ejemplo, los mejores consejos para el personal del NCSC. Deshabilitar o restringir entornos de secuencias de comandos y macros. Deshabilitar la ejecución automática para medios automontados (se debe evirar uso de medios extraíbles USB si no es necesario). Para obtener más orientación sobre rescates, se puede consultar el de NCSC de UK. Fuente: PwnDefend

  • BSAM: Metodología de evaluación de seguridad de dispositivos Bluetooth
    por SeguInfo el marzo 25, 2024 a las 11:59 am

    Ha sido en el congreso de seguridad RootedCon Madrid 2024 donde Tarlogic ha presentado BSAM y su investigación, demostrado cómo capturar audio sin que el usuario del dispositivo sea consciente y utilizarlo para espiar conversaciones privadas. BSAM es el acrónimo de Bluetooth Security Assesment Methodology (Metodología de evaluación de seguridad de dispositivos Bluetooth). BSAM es una metodología de abierta y colaborativa desarrollada para estandarizar la evaluación de seguridad de dispositivos que hacen uso de la tecnología bluetooth. Su aplicación ha ayudado a identificar problemas de seguridad en un gran número de auriculares Bluetooth, evidenciando que los fabricantes deben tomarse la seguridad de Bluetooth en serio para evitar, entre otros riesgos, conexiones no autorizadas a estos dispositivos para espiar conversaciones. Esta metodología abierta y colaborativa incorpora controles que evalúan la seguridad de múltiples aspectos de las comunicaciones Bluetooth y proporciona ejemplos de vulnerabilidades en esta tecnología, tan ampliamente utilizada en dispositivos móviles y de bajo consumo. Haciendo uso de un script en Python desde Linux es posible automatizar las tareas necesarias para explotar una vulnerabilidad común en dispositivos Bluetooth. Esta vulnerabilidad permite a cualquiera acceder al dispositivo Bluetooth sin que este avise o notifique al propietario, es decir, de manera totalmente silenciosa. BlueSpy es una prueba de concepto realizada por Tarlogic que permite explotar vulnerabilidades presentes en auriculares Bluetooth y espiar conversaciones privadas.  La demostración se ha centrado en unos auriculares particulares de gama alta, pero se ha evidenciado que existen auriculares de otros fabricantes que también se encuentran afectados por la misma vulnerabilidad, ya que únicamente es necesario que el dispositivo admita un emparejamiento de tipo "JustWorks". La herramienta BlueSpy, con el código y documentación, se encuentra publicada en el repositorio de GitHub de Tarlogic Security. El contenido completo y análisis técnico se puede ver en el sitio de Tarlogic y BSAM.

WeLiveSecurity WeLiveSecurity

  • ¿Cómo hacer backup de tu teléfono?
    el marzo 27, 2024 a las 5:44 pm

    Realizar copias de seguridad es una práctica clave para proteger nuestra información, hacerlo correctamente, considerando una política de resguardo planificada, es fundamental para protegerte de imprevistos.

  • ¿Me puedo infectar descargando una aplicación de Google Play?
    el marzo 26, 2024 a las 3:55 pm

    Más allá de la recomendación de descargar aplicaciones del repositorio oficial, nunca estamos exentos de infectarnos. En este artículo analizamos cuáles pueden ser las vías de infección y cómo reducir el riesgo.

  • 5 lecciones de ciberseguridad que aprendimos con Matrix
    el marzo 25, 2024 a las 6:28 pm

    En vísperas del 25° aniversario del estreno de Matrix, un filme bisagra para el cine y la cultura hacker, repasamos las enseñanzas que esta obra nos deja para aplicar en cuanto a la seguridad de nuestra información.

  • Alerta por deepfake de Lionel Messi para promover una aplicación fraudulenta
    el marzo 25, 2024 a las 1:20 pm

    Estafadores recurrieron al deepfake para superponer la voz de Lionel Messi en un video público, haciéndolo promover una aplicación que promete ganancias irrealmente altas ¿Cómo podemos reconocer y prevenir estos engaños?

  • A qué riesgos de privacidad pueden exponerte las aplicaciones de salud y fitness
    el marzo 21, 2024 a las 6:04 pm

    Algunas aplicaciones de Salud para smartphones, tienen hábitos poco saludables de recopilación de datos, por lo que es importante tener cuidado a la hora de elegir con quién compartes tu información más confidencial.