"Nota: Encuesta de correo electrónico y contraseña como Re-Captcha, necesitamos saber que no eres un bot" Totalmente suena legítimo ... 😂 Además, no estoy seguro de qué pensar de que el sitio web es eslovaco, la GUI es inglés y los mensajes son en turco.
El troyano Hancitor, también conocido como Chanitor, es un programa de descarga que se observó por primera vez en 2014. En aquel entonces, distribuía su carga útil a través de un archivo adjunto de documentos electrónicos de Microsoft Word con macros maliciosos incrustados. Con los años, se han visto varios sabores en la naturaleza con una variedad de técnicas de infección. Algunos ejemplos:
Una macro en un documento adjunto contiene shellcode codificado y usa llamadas API nativas dentro de Visual Basic (VB) para pasar la ejecución, crear y descifrar el malware incrustado. Otro sabor que se ve en la naturaleza implica un archivo adjunto malicioso que descarga una carga adicional para descargar el malware sin archivos Pony / Evil Pony o los ejecutables Zeus / Vawtrak, que luego roba datos y se conecta a un servidor C2. El troyano Hancitor generalmente usa correos electrónicos de phishing como método de infección. Varias campañas de correo electrónico de phishing entregaron notificaciones falsas de tickets de estacionamiento. El mensaje solicita al destinatario que haga clic en el enlace para pagar su boleto y dirige a la víctima a un documento malicioso de Microsoft Word.
Otro spam de correo electrónico común que se ve se origina en Intuit o HalloFax, alienta al usuario a descargar un fax, que luego desencadena la infección.
Cada persona es un mundo diferente, yo lo tuve que dejar por problemas similares a los expuestos. Ahora estoy la mar de contento y sin dependencias de ningún tipo de drogas.
Cada cual que mire los efectos negativos y los positivos y que deduzca por si solo.
Un hacker ha obtenido acceso a la cuenta npm de un desarrollador e inyectado código malicioso en una popular biblioteca de javascript, código que fue diseñado para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos.
El paquete de javascript (npm) que se vio comprometido se llama eslint-scope, un submódulo del ESLint más famoso, un kit de herramientas de análisis de código javascript.
Hacker obtuvo acceso a la cuenta npm de un desarrollador El ataque se realizó la noche del 11 al 12 de julio, según los resultados de una investigación preliminar publicada en GitHub hace unas horas.
"Uno de nuestros mantenedores observó que se generó una nueva ficha npm durante la noche (dicho mantenedor estaba dormido)", dijo Kevin Partington, miembro del proyecto ESLint.
Partington cree que el pirata informático usó el token npm recién generado para autenticar e insertar una nueva versión de la biblioteca eslint-scope en el repositorio npm de paquetes javascript.
La versión maliciosa fue eslint-scope 3.7.2, que los responsables del repositorio npm han desconectado recientemente.
El código malicioso roba las credenciales npm "El código publicado parece robar credenciales npm, por lo que recomendamos que cualquiera que haya instalado esta versión cambie su contraseña npm y (si es posible) revoque sus tokens npm y genere nuevos," Partington recomienda a los desarrolladores que usaron esling-scope .
En un correo electrónico a Bleeping Computer, npm CTO C.J. Silverio puso el incidente en perspectiva.
"Determinamos que se podrían haber obtenido tokens de acceso para aproximadamente 4,500 cuentas antes de actuar para cerrar esta vulnerabilidad. Sin embargo, no hemos encontrado evidencia de que se hayan obtenido o usado tokens para acceder a ninguna cuenta de npmjs.com durante esta ventana", dijo Silverio. dijo.
"Como medida de precaución, npm ha revocado cada token de acceso que se había creado antes de las 2:30 p. M. UTC (7:30 a.m. hora de California) de hoy. Esta medida requiere que cada usuario registrado de npm se vuelva a autenticar en npmjs.com y genere nuevos tokens de acceso, pero aseguran que no hay forma de que la vulnerabilidad de esta mañana persista o se propague. Además, estamos llevando a cabo un análisis forense completo para confirmar que no se haya accedido ni utilizado ninguna otra cuenta para publicar código no autorizado.
"El incidente de esta mañana no ocurrió debido a una violación de npmjs.com, sino a causa de una violación en otro lugar que expuso las credenciales de npm de un editor. Para mitigar este riesgo, alentamos a cada usuario de npmjs.com a habilitar la autenticación de dos factores, con la cual el incidente de la mañana hubiera sido imposible ", agregó Silverio.
El desarrollador que tuvo el compromiso de su cuenta cambió su contraseña npm, habilitó la autenticación de dos factores y generó nuevos tokens para acceder a sus bibliotecas npm existentes.
El incidente es de gran importancia porque las credenciales de npm robadas se pueden usar de manera similar a lo que sucedió ahora. El hacker puede usar cualquiera de las credenciales de npm robadas para envenenar otras bibliotecas de javascript que están disponibles a través de npm - a.k.a. el Administrador de paquetes de nodo, el administrador de paquetes semioficial para el ecosistema de javascript.
Cisco también parchó tres fallas de seguridad media en sus ofertas de seguridad de red; y, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operadores móviles, StarOS.
Una gama de clientes empresariales podría verse afectada por una falla de seguridad de alta gravedad descubierta en los teléfonos VoIP de Cisco. El vendedor emitió un parche el miércoles.
Cisco también parchó hoy dos fallas de seguridad media en su plataforma de administración FireSIGHT para la seguridad de la red; y un problema de gravedad media en Web Security Appliance. Finalmente, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operador móvil, StarOS.
El más crítico de los defectos, CVE-2018-0341, permitiría la inyección de comandos y la ejecución remota de códigos en teléfonos IP, incluidos los modelos de gama más alta que tienen la funcionalidad de llamadas de video HD. El aviso dijo que gracias a la validación de entrada insuficiente, un usuario autenticado podría enviar comandos de shell especialmente diseñados a un campo de entrada de usuario específico utilizando la interfaz de usuario basada en web que se vincula a los teléfonos. Eso podría resultar en la capacidad de inyectar y ejecutar comandos de shell arbitrarios, abriendo la puerta para que los atacantes escuchen conversaciones, intercepten datos de medios sofisticados, realicen llamadas telefónicas y más.
La vulnerabilidad, encontrada internamente por el proveedor, afecta a los dispositivos de la serie IP Phone 6800, 7800 y 8800 que ejecutan una versión de firmware multiplataforma anterior a la versión 11.2 (1). Aún no se han visto exploits en la naturaleza, dijo Cisco, y el requisito de que un atacante inicie sesión en la interfaz de usuario para lanzar un ataque mitiga de alguna manera la gravedad del problema.
Cisco también envió soluciones para dos fallas de severidad media en el software del sistema Cisco FireSIGHT, que brinda administración centralizada para seguridad de red y funciones operativas para Cisco ASA con servicios FirePOWER y dispositivos de seguridad de red Cisco FirePOWER. Automáticamente agrega y correlaciona la información de amenazas cibernéticas para los usuarios comerciales.
El primer problema es una vulnerabilidad de omisión de políticas de archivos (CVE-2018-0383), que se encuentra en el motor de detección de FireSIGHT. Un atacante remoto no autenticado podría enviar una conexión FTP creada con fines malintencionados para transferir un archivo a un dispositivo afectado; ese archivo podría contener malware creado para desactivar los mecanismos de detección en el sistema o llevar a cabo otras acciones nefastas.
Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos
Las operaciones de seguridad de hoy en día se asemejan a un “¿Dónde está Wally?” a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la “mutabilidad de Wally”: el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a “nuestro Wally”.
Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.
Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.
En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).
Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).
Un EDR ofrece: Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc. Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial. Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.). Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular “Wally”.
Armar la vulnerabilidad de ejecución de código AppleKari WebKit (CVE-2018-4192) en el navegador web Safari desde un solo clic de una víctima desprevenida
¿Recuerdas Timehop, la aplicación de "nostalgia digital"?
No, ni nosotros, pero la compañía todavía tiene una base de datos de aproximadamente 21,000,000 de usuarios que le han dado permiso a la aplicación para revisar sus fotos digitales y publicaciones en las redes sociales, incluso si ya no usan activamente el servicio Timehop.
La idea es que la aplicación se convierta todos los días en un aniversario, recordándole lo que estaba haciendo en este día del año pasado, hace tres años, hace cinco años, y así sucesivamente.
La aplicación fue brevemente popular hace unos años, antes de que Facebook construyera una función similar, conocida como On This Day, en su propia red social.
La buena noticia es que una aplicación de terceros como Timehop no puede funcionar sin su permiso.
La aplicación Timehop debe ser autorizada por usted y provista con claves criptográficas (conocidas en la jerga como tokens de acceso) para acceder a los diversos servicios en línea desde donde desea que raspe fotos y publicaciones.
Los tokens de este tipo de acceso por usuario y por servicio son una gran idea (en particular, este sistema significa que nunca tendrá que compartir sus contraseñas reales con un tercero), siempre y cuando la compañía que tenga los tokens no permita que los ladrones se desvíen y robarlos.
La mala noticia es que Timehop acaba de anunciar una violación de datos.
El 4 de julio de 2018, Timehop experimentó una intrusión en la red que provocó la violación de algunos de sus datos. Nos enteramos de la infracción mientras todavía estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Mientras continúa nuestra investigación sobre este incidente (y la posibilidad de que ocurran otros anteriores), estamos escribiendo para proporcionar a nuestros usuarios y socios toda la información relevante lo más rápido posible.
Timehop dice que la siguiente información fue robada:
Acceda a tokens a sus redes sociales y servicios de fotos en línea. (Todos los 21,000,000 usuarios afectados) Cualquiera o todos sus nombres de registro, dirección de correo electrónico y número de teléfono. (No todos los usuarios completaron todos estos campos. Por ejemplo, solo 4.7 millones de usuarios, menos de una cuarta parte, entregaron sus números de teléfono). Timehop ya ha invalidado todos los tokens de acceso que tenía en el archivo, desconectando de manera efectiva cada cuenta de Timehop de cada servicio y evitando que se haga más daño.
Si usted es un usuario de Timehop y desea que la aplicación siga funcionando, deberá volver a conectarla a los diversos servicios que elija.
La compañía dice que no hay evidencia de que ninguno de los datos robados haya sido utilizado con fines delictivos, aunque, por supuesto, cualquier dirección de correo electrónico y número de teléfono robados podrían ser objeto de abuso en el futuro, arrojados en línea gratis o vendidos a otros ladrones a su debido tiempo. curso.