McAfee Mobile Research ha descubierto 15 aplicaciones en la Play Store relacionadas con una campaña para esparcir un malware llamado Sonvpay.

Después de ser instalado, Sonvpay se encarga de gestionar las notificaciones necesarias para funcionar. Algunas veces, según lo que se esté instalando en el dispositivo Android, aparecen notificaciones emergentes y en otras ninguna, dependiendo de la configuración. Lo que hace el malware es escuchar las entrantes que contienen los datos que necesita para llevar a cabo un fraude en la facturación, añadiendo cargos adicionales al usuario para generar ingresos para los ciberdelincuentes.

Una vez hayan recibido los datos, los actores maliciosos llevan a cabo un fraude en la facturación del móvil mediante el despliegue de una falsa notificación de actualización al usuario, la cual solo despierta sospechas si se ve la frase “Haga clic en Omitir para aceptar” en uno de los pasos. En caso de cumplimentarlo correctamente, Sonvpay entra en acción, suscribiendo al usuario de forma fraudulenta a un servicio de facturación WAP o SMS.



Las 15 aplicaciones maliciosas utilizadas para la campaña de Sonvpay fueron descargas unas 50.000 veces y ya han sido eliminadas de la Play Store por Google tras ser notificada por McAfee, siendo la lista completa la siguiente:

Wifi-Hostpot
Cut Ringtones 2018
Reccoder-Call
Qrcode Scanner
QRCodeBar Scanner APK
Despacito Ringtone
Let me love you ringtone
Beauty camera-Photo editor
Flashlight-bright
Night light
Caculator-2018
Shape of you ringtone
Despacito for Ringtone
Iphone Ringtone
CaroGame2018
Para evitar este tipo de engaños es muy importante fijarse en los términos de uso y en los permisos que solicitan las aplicaciones. En caso de que los términos de uso contengan partes sospechosas o la aplicación pida un permiso que no tenga sentido para su propósito, lo recomendable es no instalarla.

En caso de tener ya instaladas una o varias de las aplicaciones encargadas de escarpir Sonvpay, lo más recomendable es restaurar los parámetros de fábrica del dispositivo Android para asegurarse de que el malware se elimine totalmente.

Saludos.

Sabemos que los medios de comunicación y la tecnología desempeñan un papel importante en los eventos políticos de un país, de ahí la importancia de reflexionar sobre la relevancia de estos actores en la sociedad, sobre todo en tiempos electorales.

Los medios condicionan nuestra percepción del mundo; por supuesto, esta influencia se extiende hacia nuestra capacidad de ejercer decisiones en lo político. Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética comentan que, en una elección, sólo el 40% de los votantes tienen decidido su voto por un candidato en particular, mientras que 35% siguen indecisos y el restante 25% puede ser condicionado con diferentes técnicas estadísticas y de mercadotecnia a lo largo de la campaña electoral.

Existen muchas formas diferentes en las que los medios y la tecnología tratan de convencernos o de influir en nuestras preferencias políticas, intervención en seguridad informática, vigilancia masiva, monitoreo de cuentas de Twitter y Facebook, y campañas de marketing son algunos de los recursos utilizados con la intención de ejercer dicha influencia. Expertos en seguridad informática señalan cuatro principales métodos empleados para influir en una elección con el uso de estos recursos electrónicos: cambiando el voto, manipulando información que pueda cambiar el voto, obstruyendo el voto, y atentando contra la confianza en el voto.

 

CÓMO INFLUENCIAR Y HACKEAR EL PROCESO ELECTORAL
La influencia en las decisiones políticas implica un largo proceso, comenzando alrededor de dos años antes de las elecciones. Este trabajo requiere el uso de:

1. Vigilancia masiva.
2. Acumulación de datos sobre palabras clave y metadatos.
3. Análisis geográfico y segmentación poblacional.
4. Identificación de actores de la oposición.
5. Geomarketing, utilizando medios tradicionales y digitales enfocados en grupos de gente identificados previamente.

Más información:
http://noticiasseguridad.com/importantes/como-influir-un-proceso-electoral-y-hackear-las-elecciones-gubernamentales/

Saludos.

Investigadores en seguridad de Kaspersky Lab han descubierto un nuevo adware escrito en Python llamado PythonBot dirigido contra los usuarios de Windows.

PythonBot, también conocido como PBot, no solo muestra publicidad no deseada a los usuarios de los ordenadores infectados, sino que también instala un minero malicioso y extensiones de publicidad en los navegadores web. Fue descubierto hace un año y con el paso del tiempo ha ido incorporando nuevas capacidad hasta alcanzar sus posibilidades actuales. Solo en abril, los expertos de Kasperksy Lab descubrieron 50.000 intentos de instalación de este malware en computadoras Windows, siendo los países más afectados Kazajistán, Letonia, Ucrania y Rusia.

Conforme fueron avanzando las iteraciones en las versiones se ha complicado la ofuscación de los scripts. Sobre la última versión, destaca por la presencia de un módulo que actualiza los scripts y descarga nuevas extensiones para los navegadores, que son usados para mostrar banners indeseados en las páginas visitadas por las víctimas con el fin de generar ingresos para los ciberdelincuentes. A todo eso hay que sumar el minero malicioso, que utiliza la potencia de CPU del ordenador para generar criptomonedas. Básicamente, lo que intenta hacer PythonBot es generar ingresos a toda costa y explotando buena parte de las vías posibles.

PBot está siendo distribuido a través de sitios web pertenecientes a socios de los ciberdelincuentes (también actores maliciosos) que redirigen a los visitantes a enlaces patrocinados, los cuales llevan a la página de descarga de PBot. Al hacer clic en el enlace aparece un fichero con extensión “.hta” que se encarga de instalar el malware en Windows. Con el fin de generar más ingresos, recurre a software que es instalado a escondidas.

Aunque el mercado de sistema operativos se ha diversificado, sobre todo a partir de la expansión de los smartphones, Windows sigue siendo el sistema operativo más afectado y acosado por el malware, quizá posiblemente porque la mayoría de sus usuarios utilizan por defecto una cuenta de administrador, algo que facilita mucho los procesos de infección.

Fuente: https://www.muyseguridad.net/2018/06/28/pythonbot-adware-contra-windows-minero-malicioso/

Saludos.

Aquí os dejo éste pdf de la mano de ElevenPaths y subido a ExploitDB.

Link:
https://www.exploit-db.com/docs/english/44947-discovering-and-plotting-hidden-networks-created-with-usb-devices.pdf

Saludos.

Add Text:
El nombre no lo puede dejar más claro, ¿verdad? Con Add Text podemos añadir textos a nuestras imágenes. La plataforma aporta diferentes tipos de letra, así como tamaños personalizados. Esta página web está pensada, sobre todo, para hacer los característicos memes de manera rápida y sencilla. De hecho, permite crear varias capas de texto para colocarlo donde más guste.
Es realmente básico este gestor de imágenes, aunque te puede sacar de más de un apuro si lo que necesitas es algo superficial

Link: https://addtext.com/

Be Funky:
Para nosotros, uno de los mejores: Be Funky. El anterior presentado era muy simple, pero con Be Funky vas a poder realizar muchos comandos ya conocidos si manejas Photoshop. Por ejemplo, puedes recortar fotografía, ajustar la exposición de la imagen (brillos, sombras, etc.), controlar la saturación y todos sus parámetros (colores, tonalidades, etc.) y ajustar el enfoque de la imagen.
Así mismo, también es compatible con teléfonos móviles, por lo que puedes editar la fotografía tanto desde tu PC como desde el smartphone.

Link: https://www.befunky.com/

Image Blur:
Quizás meter a Image Blur como editor de imágenes es bastante osado, aunque no deja de ser eso… pero de una manera especial. Con este portal lo que conseguimos es erradicar cualquier dato que tenga nuestra fotografía. Seguro que sabes a lo que estamos haciendo referencia: es esa parte borrosa que suelen tener muchas imágenes en cuanto aparece información personal.
Por lo general, esta herramienta se suele emplear en los medios de comunicación, donde es imprescindible difuminar algunas secciones de una imagen para que se vea borrosa.

Link: https://imageblur.io/

Pic Monkey:
Cuatro o cinco comandos claves, pero que te pueden salvar la vida. Eso es Pic Monkey, un editor de imágenes para las situaciones estándar de nuestro día a día. Esto es retocar, introducir rótulos, cambiar la iluminación y poco más. Para nuestro gusto se queda un peldaño por debajo del nivel medio, pero es bastante socorrido y, por supuesto, gratuito (que esto es muy importante).

Link: http://www.picmonkey.com/

Pixlr:
El más completo de todo este listado: Pixlr. Casi con total seguridad has escuchado hablar de él si te gusta el mundo de la fotografía, ya que posee todas las herramientas (o casi) de Adobe Photoshop. Piceles, tampones de clonar, exposición, saturación, lazos, filtros, trabajar por capas, controles de luz… Las posibilidades de Pixlr son tan grandes que es probable que se convierta en tu app favorita a poco que la uses.
La plataforma tiene una modalidad gratuita disponible para todo el público, aunque también existe una opción PRO que potencia las características.

Link: https://pixlr.com/editor/

editor.pho.to:
Otro editor de fotos muy completo. Efectos, retoque facial, corrector, caricaturas , etc.

Link: http://editor.pho.to/es/edit/

Espero os sean de utilidad.

Saludos.

El 6 de junio se hizo pública la vulnerabilidad CVE-2018-0296 que afecta a la interfaz web de los Cisco ASA (Adaptive Security Appliance) y aunque el fabricante lo describe como una vulnerabilidad que "podría permitir a un atacante remoto no autenticado provocar que el dispositivo se reinicie (DoS) y, en ciertas versiones de software, ver información sensible del sistema sin autenticación mediante el uso de técnicas de path traversal", lo realmente importante es ésto último, la falta de de validación de entrada y control de acceso a algunas URLs:
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=%2bCSCOE%2b"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/"
"/+CSCOE+/logon.html"
...
Sin embargo los polacos de Sekurak lo explican perfectamente en su artículo: "Error description CVE-2018-0296 - bypassing authentication in the Cisco ASA web interface":

ASA organiza sus recursos en dos directorios: /+CSCOU+/ y /+CSCOE+/ . Las subpáginas dentro de /+CSCOE+/ pueden requerir autenticación, mientras que las ubicadas en el medio /+CSCOU+/ autenticación nunca la requieren.

Como se muestra a continuación, si se intenta acceder a cualquier recurso /+CSCOE+/files/file_list.json de manera estándar se nos redireccionará a la página de logon:



Pero si se reemplaza en la petición /+CSCOE+/ por /+CSCOU+/ el resultado es sorprendente:



Así de sencillo. Esa a la manera de eludir la autenticación.

Como veis también, con file_list.json se pueden listar los archivos visibles desde la interfaz web. El catálogo de sesiones parece interesante, y después de entrar a una de esas sesiones, se puede averiguar cuál es el ID de usuario que está asociado, por lo que se puede averiguar fácilmente cual es la contraseña que hay que intentar romper.

Más información:
https://blog.segu-info.com.ar/2018/06/vulnerabilidad-de-path-traversal-en.html

Saludos.

Los investigadores de ESET descubrieron una nueva familia de RAT de Android (Herramientas de administración remota), que ha estado abusando del protocolo de Telegram para comando y control, y exfiltración de datos.

Investigando lo que al principio parecía ser una actividad incrementada por parte de IRRAT y TeleRAT informados anteriormente, identificamos una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram. pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando en la naturaleza.

Una de estas variantes es diferente del resto: a pesar del código fuente disponible libremente, se ofrece a la venta en un canal dedicado de Telegram, comercializado bajo el nombre HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el "original" cuyo código fuente se filtró.

Los atacantes atraen a las víctimas para que descarguen la RAT al difundirla bajo varias apariencias atractivas, a través de tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería. Hemos visto el malware distribuido principalmente en Irán, como aplicaciones que prometen bitcoins gratis, conexiones a internet gratuitas y seguidores adicionales en las redes sociales. El malware no se ha visto en Google Play.



Más información y fuente:

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/

Saludos.

Hoy me trajeron un portátil con Mac OS, tenía una cuenta de administrador la cual no sabíamos la contraseña.

Lo solucioné de la siguiente manera:
Reiniciar el equipo y seguidamente pulsar las teclas cmd y s

A continuación escribir el siguiente comando:
Mount -uw / y presionar enter

A continuación escribir :
Rm /var/db/.AppleSetUpDone y presionar enter

A continuación escribir:
Shutdown -h now

El portátil se apagará.
Lo volvemos a encender y ahora nos aparecerán los formularios a rellenar como si fuese la primera vez que encendemos el portátil.
Entre otros datos se nos pedirá rellenar de nuevo la contraseña de administrador.
Ahora si quieres puedes eliminar la cuenta de administrador en la cual no tenías la contraseña y listo.

Saludos.

Los atacantes están usando un tipo de archivo engañosamente simple para evitar AV y engañar a los usuarios para que descarguen y ejecuten scripts maliciosos a través de Excel.

Detalles clave:

¿Qué esta pasando?
Las nuevas campañas de spam utilizan archivos adjuntos .iqy para eludir AV e infectar a las víctimas con un troyano de acceso remoto.

¿Qué son los archivos .iqy?
Los archivos de Excel Web Query (.iqy) se utilizan para descargar datos de Internet directamente a Excel. Son extremadamente simples (solo unas pocas líneas de texto), pero también de gran alcance. Los archivos .iqy utilizados en estas campañas descargan un script de PowerShell, que se inicia a través de Excel y pone en marcha una cadena de descargas maliciosas.

¿Cómo se ven los correos electrónicos no deseados?
Actualmente, están disfrazadas como alertas de "factura no pagada", que parecen haber sido enviadas por alguien dentro de la organización de la víctima. Ej .: random.name@victimsdomain.com.

¿Cuál es la carga útil?
Actualmente, un troyano de acceso remoto (RAT) llamado FlawedAmmyy. Basado en el código fuente filtrado para el software de escritorio remoto Ammyy Admin, efectivamente da a los atacantes acceso completo a las máquinas infectadas.

¿Qué hace que esto sea diferente de otros ataques?
Si bien los investigadores ya han escrito sobre el potencial del uso indebido de archivos .iqy, esta puede ser la primera vez que se ve en una importante campaña de spam en la naturaleza. Como resultado, y debido a que los archivos .iqy tienen casos de uso legítimos, están pasando por alto la mayoría de los filtros y AV. La capacidad de estos archivos para abrir Excel y (si los usuarios eligen ignorar las advertencias) descargar cualquier dato de Internet los hace extremadamente peligrosos.

¿Cómo me protege Barkly de estos ataques? A diferencia de las soluciones antivirus, Barkly no se limita a bloquear archivos maliciosos basados ​​en firmas o atributos. También bloquea la actividad sospechosa del sistema y los patrones de proceso. En este caso, se ve a Excel intentando ejecutar cmd.exe para iniciar powershell.exe, y bloquea ese comportamiento antes de que pueda dar lugar a cargas descargadas de Internet.

Se detectó una ola más pequeña posterior el 5 de junio de 2018.

El cuerpo del correo electrónico está en blanco, pero como se explicó anteriormente, el archivo adjunto .iqy es donde las cosas se ponen interesantes.

Como se mencionó, los escáneres AV claramente no están preparados para archivos .iqy. El archivo adjunto incluido en la campaña del 5 de junio tuvo cero detecciones de acuerdo con VirusTotal. Un día después, las detecciones totales aumentaron a solo cinco.

Cuando se abre, el archivo .iqy se inicia a través de Excel (su programa predeterminado) e intenta obtener datos de la URL incluida en el interior. Como señala Jon Wittwer en su explicación de los archivos de Excel Web Query, en su forma básica, un archivo .iqy es increíblemente simplista.

Abierto en el Bloc de notas, el archivo .iqy incluido en la segunda ola de correos electrónicos no deseados, por ejemplo, simplemente se ve así:



Eso es. Con esa instrucción simple, Excel intenta extraer datos de esa URL, que, en este caso, pasa a ser una secuencia de comandos de PowerShell.



El script de PowerShell descarga un segundo archivo de script (1.dat):



Ese script descarga un archivo .xls, que en realidad es un archivo .exe disfrazado. La carga final es FlawedAmmyy, una RAT que tiene una historia de fondo interesante por sí misma.



Creado a partir del código fuente filtrado del popular software de escritorio remoto Ammyy Admin, FlawedAmmyy ofrece a los atacantes muchas de las capacidades que ofrece la herramienta legítima. En otras palabras, esencialmente les otorga a los atacantes acceso completo a las máquinas de las víctimas, lo que les permite robar archivos y credenciales, secuestrar las computadoras para enviar más correos electrónicos no deseados, y más.



Fuente:

https://blog.barkly.com/iqy-file-attack-malware-flawedammyy
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5032

Saludos.

Una cuenta más bien anónima se comunicó conmigo en Twitter pidiendo ver una muestra "aterradora y realmente desagradable".
Resultó ser RedEye ransomware, una nueva variedad o variante del mismo creador de Annabelle ransomware, que descubrí en febrero a principios de este año.

Este ransomware se llama "RedEye" por el autor "iCoreX".

Lo primero que se nota sobre este archivo es el enorme tamaño del archivo: 35.0 MB (36657152 bytes). Esto se debe a varios archivos multimedia, específicamente imágenes y archivos de audio, integrados en el binario.

Contiene tres archivos ".wav":
child.wav
redeye.wav
suicide.wav
Los tres archivos de audio reproducen un sonido "escalofriante", destinado a asustar al usuario.



Fuente:
https://bartblaze.blogspot.com/2018/06/redeye-ransomware-theres-more-than.html
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5029

Muestra:
https://www115.zippyshare.com/v/pQucCsqX/file.html
Password: infected

Saludos.