Ataque phising + web exploit usando falsos correos de whasapp.

Buenas noches lectores, pues la vedad el día de hoy no tenia pensado escribir nada, mas bien esta estudiando cuando de repente me dio por limpiar un poco la basura de mis cuentas de correo, cuando de repente…

BAAAAMMMM!!!!

threat

Ahí estaba un correo de certeros colores diciéndome que había recibido una nota de voz por Whatsapp…

La verdad es que se ve muy autentico y quzas hubiese funcionado con algún usuario promedio que no repara en riesgos y que solo hubiese atinado a decir:

“Ahora me mandan las notas de voz a mi correo, que eficiente se han puesto los de whatsapp”

Pero en mi caso no fue tan sencillo, ya que simplemente copie el enlace al que redirigía el famoso botón de “autoplay” y lo copie en un .txt con el fin de averiguar que tan elaborado iba este ataque, quizás algunos piensen pero cl0udswx, para que copiar el enlace si al visitarlo te vas a exponer y mi respuesta es que yo les quiero tanto que prefiero exponerme yo a que sean expuestos ustedes (esa es la versión políticamente correcta) la verdad es que tengo una maquina virtual para estas cosas, desde puedo probar enlaces, ejecutables y todo en un ambiente controlado (sandbox, firewall, IPS, y esas cosas).

Así que salte a mi maquina virtual y abrí el navegador mas odiado por todos Internet Explorer (a veces necesitamos cosas vulnerables para probar vulnerabilidades) pegue mi enlace y voila!!

Farmacia canadiense con dominios de Rumania?

Farmacia canadiense con dominios de Rumania?

Ummm… No es nada… Apaguen las alarmas…

En serio?

Noooo!!!

Es muy curioso que una pagina para vender medicinas por parte de una farmacia online canadiense tenga un dominio de Rumanía, no se a ustedes pero a mi me parece muy raro, asi que tome el CMD de Windows y lance un:

netsat -a

Para ver como iban las cosas con las peticiones y las conexiones TCP, y mi sorpresa fue aun mayor cuando encontré esto:

netstatY que son todas peticiones http desde mi maquina hacia ese extraño servidor? generalmente los puertos de origen son aleatorios en una petición http, pero si se realizan de forma sucesivamente rapida estos se suceden en cierto orden, como podemos ver están todos en el rango de los 1200 y de 65000 puertos TCP no es nada aleatorio que estén dentro de ese rango.

Y de repente me llego la imagen sublime de un ataque web exploit, en el que se nos hace visitar una pagina infectada para aprovecharse de algún exploit en nuestro navegador, algún plugin obsoleto también les vendría bien (desde cuando no actualizas el java?), quizas alguna vulnerabilidad en el flashplayer (desde cuando no actualizas tu flashplayer?).

Un ataque sencillo que por estadística sigue enganchando a los usuarios y que por tales motivos los sitios web en combinación con malos hábitos de navegación siguen siendo uno de los mayores vectores de infección, aquí les comparto algunas medidas que les ayudaran a protegerse.

  • Rápidos con la mente, lentos con el dedo. Significa pensar bien las cosas antes de aceptarlas y visitar sitios de dudosa procedencia.
  • Usa tu navegador como todo un experto en seguridad, algunos diran pero como “C#ñ$!!” hago eso, pues resulta que puedes desactivar JAVA y flashplayer para navegar y solo activarlo en caso de que alguna aplicación así lo requiera (y te preguntara asi que recuerda la regla numero 1).
  • Mantén tu software actualizado, sonara repetitivo pero es así.
  • Usa alguna suite de software que tenga antivirus, anti-malware, protección contra phishing y spam, actualizaciones en segundo plano, etc.. Yo suelo recomendar 360 Security.

Eso es todo por ahora amigos, y como les dije, la verdad no tenia pensado escribir pero me gusto tanto la notificación falsa de los chicos de whatsapp que al final no me resistí.

Saludos.

El veneno llega a las arterias de la virtualización, VENOM aterriza en los centros de datos.

En la seguridad informática existe siempre la constante carrera entre el anuncio de un fallo de seguridad y la salida del update que hace de parche al mismo, y es durante ese tiempo que las cosas se ponen un poco tensas en los departamentos de IT de las empresas privadas y publicas. El asunto es que generalmente los que sacan partidos de la tecnología de virtualizacion se sienten un tanto seguros de esta costosa y eficiente técnica que ha venido a simplificar la vida de muchos, pero para romper con esa tranquilidad nos llega “VENOM”.

Pues desde que conocimos Heart Bleed (bug que permitía conocer las claves de cifrado privadas haciendo un volcado de la memoria del Server) no habíamos tenido tanto movimiento hasta hace unos dias cuando se ha descubierto VENOM (Virtualized Environment Neglected Operations Manipulation), esta vulnerabilidad fue descubierta por Jason Geffner Senior Security Researcher de la compañia CrowdStrike.

¿Como funciona VENOM?

Antes que todo imaginemos un entorno virtualizado donde existen varios servidores ofreciendo y supliendo las necesidades de la empresa y de los clientes, ahora imaginemos que un atacante logre comprometer un solo de esos servidores y desde ahí sea capaz de extenderse a los demas servidores virtuales e incluso al mismo sistema huesped.

Suena terrorifico verdad?

Lo mas terrible es que es totalmente posible.

Pues todo comienza con un Bug en el código del controlador FDC (Floppy Disk Controller) en QEMU, que es por mucho la tecnología mas usada por las plataformas de virtualización alrededor del mundo y quizás muchos lleguen a la conclusión de:

Pero Floppy Drive es algo totalmente obsoleto…

Y aunque es muy cierto que los Floppy Drive son algo del pasado también es cierto que la mayoría de maquinas virtuales traen por defecto al menos una unidad Floppy activada y aunque el administrador deshabilite la misma igual sigue de forma nativa el controlador para hacer funcionar la misma.

VENOM afecta directamente a QEMU 2.3.0 y sus versiones anteriores, asi como a Xen y KVM, lo que podría traducirse en decir que afecta a:

* xen:4.5.0
* redhat:enterprise_linux:5
* redhat:enterprise_linux:6
* redhat:enterprise_linux:7.0
* redhat:enterprise_virtualization:3.0
* redhat:openstack:4.0
* redhat:openstack:5.0
* redhat:openstack:6.0
* redhat:openstack:7.0

Cabe resaltar que VMware, Microsoft Hyper-V, and Bochs hypervisors no son vulnerables a VENOM.

VENOM es una vulnerabilidad existente desde el 2004 fecha en que se agrego por primera vez el controlador de Floppy Disk a QEMU.

¿Que hacer frente a VENOM?

Pues como decía al inicio del articulo la seguridad informática es la carrera entre el tiempo en el que se publica una vulnerabilidad y el tiempo que tarda esta en ser parcheada así que la mayoría de las soluciones vienen a ser las mismas para la mayoría de ellas, entre las posibles soluciones recomendadas por los chicos de CrowdStrike están:

  • Buscar e instalar las ultimas actualizaciones a medida que son desarrolladas
  • Una medida buena seria limitar el acceso de los usuarios a los servicios virtualizados.
  • Si recibes el servicio de virtualización por parte de un proveedor ponte en contacto con ellos y asegúrate de que hayan tomado las medidas necesarias.

Esto es todo por hoy, saludos mis seguros inseguros lectores, hasta el próximo articulo y recuerda si te gusto compártelo y ayúdame a llegar a mas personas.

“Ransomware una amenaza real y creciente. Pero, ¿sabes de que trata?

¿Que es el Ransomware?

Pues con el paso de los años el malware ha ido evolucionando desde ataques sencillos como troyanos que buscaban infectar a la mayoría de equipos para usos posteriores (Proxys, DDoS, etc..) hasta procesos que secuestran nuestros ficheros a cambio de sumas de dinero para recuperarlos y precisamente esto es el Ransomware. Pero vamos a darle unos matices básicos sobre este tipo de malware, segun wikipedia:

Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Es decir, ya no estamos tratando el típico malware que nos llena el equipo de basura publicitaria (spamware, Adware, etc..) estamos tratando algo muy delicado que “secuestra” literalmente todos los datos almacenados en nuestros equipos a cambio de un pago único cuya cifra es variable dependiendo del sistema infectado, en resumidas cuentas estos cyber-delincuentes solo una cosa: Dinero a sus bolsillos.

¿Como funciona el Ransomware?

El malware al igual que los organismos bacteriales tiene un ciclo de vida, un orden de como realizar las cosas, y en este caso no es la excepción, a continuación les detallo como va el asunto:

Desarrollo

Es la etapa donde se cocina el producto, es donde se diseña y se prepara el trozo de software que cumplirá con los fines maliciosos de sus creadores.

Infección / Propagación

La segunda etapa es propagar el malware, y teniendo en cuenta que el objetivo es lucrarse económicamente de las victimas es lógico pensar que: “mayor cantidad de victimas = mayores ganancias”.

Los vectores de infección generalmente siguen siendo los mismos:

a.- Spam / Phishing

b.- Web Kit Exploit

c.- Via otro malware residente.

d.- Servicios RDP usando contraseñas vulnerables a ataques por fuerza bruta.

Ejecución de Ransomware.

Aqui es donde ocurre realmente la magia y es donde el ransomware comenzará solicitando una clave al servidor de control, el cual devolverá una clave RSA única para dicho equipo. Luego de eso realizara un escaneo completo de todas nuestras unidades montadas en nuestro equipos (incluidos recursos de red mapeados) identificando las extensiones de los archivos: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Cada archivo identificado será cifrado con una clave única de 256 bits utilizando AES. Dicha clave se cifrará con la clave pública recibida desde el servidor de control. Mediante este sistema se garantiza que, para poder recuperar los ficheros, el usuario ha de obtener la clave privada RSA, la cual nunca sale del servidor de control.

Y es cuando al intentar acceder a algún recurso de nuestro equipo que ya este secuestrado obtenemos una linda ventana como esta:

Ejemplo de solicitud de pago.

A estas alturas ya estamos comprometidos hasta la garganta, tenemos una cuenta regresiva que promete doblar la cifra a menos que esta sea pagada, y es desde el punto donde poco podemos hacer.

El ambiente se complica un poco mas si lo proyectamos a nivel corporativo donde la información es uno de los bienes mas valiosos de una empresa, ya que el software malicioso busca puntos de restauración, unidades de respaldo y equipos conectados para infectarlos también.

Medidas de prevención.

A continuacion una serie de medidas para minimizar el impacto de esta amenaza.

  • Realizar copias de respaldo periódicas de todos los datos sensibles, dicha información no debe ser accesible desde el equipo al que se intenta proteger.
  • Utilizar VPN (Virtual Private Networking) como método de acceso remoto a determinados servicios. Cierta parte de las infecciones por ransomware se producen a través de servicios de escritorio remoto.
  • Establecer listas de accesos (ACL) para que únicamente los equipos autorizados puedan acceder a determinados recursos de red.
  • Sonara repetitivo pero es muy importante mantener todo el software actualizado. El navegador, versiones antiguas de Java, Flash o Adobe Acrobat suelen ser algunas de las principales vías de infección en ataques de este tipo.
  • Usar aplicaciones de listas blancas, que eviten la ejecución de aplicaciones sin firmar.
  • Nuevamente sonara repetitivo, pero se debe evitar dentro de lo posible no usar cuentas con permisos administrativos a no ser que sea estrictamente necesario. La ejecución de cierto malware bajo una cuenta de administrador permite llevar a cabo todo tipo de acciones dañinas en el sistema. Considérese el uso de cuentas limitadas para la gran mayoría de usuarios.

Tal y como dice el titulo esta es una amenaza reciente y en crecimiento debido a la fácil forma de lucrarse económicamente, tan solo en el mes de agosto del 2014 Symantech reporto mas de 68,000 equipos infectados de los cuales se estima fueron pagados cerca de 400,000 dolares.

Lectura recomendada para mas detalles.

Reporte de Ransomware de la CCN

La amenza del ransomware by Symantec

Ransomware Fake AntiVirus

Esto es todo por ahora queridos blogueros y si te ha gustado comparte.