Noticias Destacadas

Kaspersky descubre campaña de malware dirigida al sector hotelero para robar datos de tarjetas de crédito

Una campaña de malware denominada RevengeHotels ha infectado con éxito los sistemas de recepción de más de 20 hoteles en varios países, con el objetivo de robarle los datos de la tarjeta de crédito a los clientes y poder hacer compras con ellas posteriormente.

La investigación ha sido llevada a cabo por Kaspersky Labs quienes han confirmado que los ataque se han llevado a cabo mayormente en Brasil, aunque también se han producido infecciones en Chile, Francia, Italia, España, Portugal, Turquía, Costa Rica, México y Bolivia.

Victimas por ciudad.

Además de los datos de la tarjeta de crédito, los troyanos recopilan información financiera transmitida a través de sitios de terceros como Booking.com. Lo más preocupante quizás sea el tiempo que este malware llevaba latente en algunos equipos, según hemos podido saber, había muestras que llevaban latentes desde 2015, aunque el pico de actividad se ha producido en el último año.

Los ciberdelincuentes aprovechaban la vulnerabilidad de Microsoft Office de 2017 identificada bajo el identificador CVE-2017-0199. Esta vulnerabilidad permite entre otros la ejecución de los siguientes RATs: RevengeRAT, NanocoreRAT, ProCC, 888 RAT y NjRAT, entre otros.

Una vez infectado, se utiliza una puerta trasera para tomar capturas de pantalla y recopilar datos del portapapeles, mientras que otro módulo, llamado ScreenBooking, captura la información de la tarjeta de crédito. Los datos se envían al servidor de control (C&C) del atacante a través de un túnel cifrado creado por los atacantes.

Lo dirigido que se encuentran este tipo de ataques hacia sectores específicos confirma la alta especialización por parte de los atacantes. Este dato unido a que el malware ha permanecido cerca de 4 años sin ser detectado, confirma los escasos niveles de seguridad que algunos sectores ofrecen, facilitando el trabajo a los ciberdelincuentes.

Para mayor información:
https://securelist.com/revengehotels/95229/


Los cibercriminales también aprovecharán el Black Friday.

La campaña del Black Friday 2019 está en todo lo alto, mañana se celebrará el «Viernes Negro» y el próximo lunes llegará el fin de fiesta con el Cyber Monday. Como en cualquier evento masivo, los ciberdelincuentes intentan aprovecharlo con todo tipo de ataques y además de intentar encontrar buenas ofertas, el consumidor tiene que cuidar también los aspectos de seguridad.

Gigantes como Amazon crearon una jornada concreta como equivalente on-line al Black Friday, que con la denominación de “Cyber Monday” se celebraba exclusivamente el lunes posterior. Hoy en día, el Black Friday ha perdido totalmente su esencia inicial, no se limita a un sólo día y tampoco a la tienda física, ya que el gran impulso del comercio electrónico ha difuminado la línea entre lo virtual y lo físico. En España y en general Europa, la compra por Internet arrasa en esta campaña de compras.

Los investigadores de Proofpoint observaron un aumento del 144% interanual en ataques utilizando correos fraudulentos en la industria del retail en 2018. Por ahí puede llegar gran parte del malware que se registra en el Black Friday 2019, ya que el correo electrónico sigue siendo el vector más utilizado por los cibercriminales y estas grandes campañas son un objetivo clave.

La firma de seguridad asegura que el 85 por ciento de los 20 principales comercios on-line en España no están bloqueando activamente la posibilidad de que correos fraudulentos lleguen a sus usuarios. Las tiendas on-line pueden estar exponiéndose y exponiendo a sus clientes a cibercriminales que buscan datos personales y financieros, por no implementar las prácticas más sencillas y efectivas de autenticación de email.

Se recomiendan una serie de consejos para compras on-line en el Black Friday 2019 que son extensivas a cualquier periodo de compra por Internet y como medidas de seguridad generales que deben tomar en cuenta para realizar compras en línea:

  1. Utiliza contraseñas robustas. No reutilices la misma contraseña en varios sitios. Se recomienda utilizar un gestor de contraseñas para mejorar tu experiencia online, a la vez que te mantienes seguro.
  2. Evita las Wi-Fis abiertas. Las redes Wi-Fi de acceso libre o gratuito no son seguras: los cibercriminales pueden hacerse con datos transferidos a través de redes WiFi desprotegidas, incluyendo números de tarjeta de crédito, contraseñas, información bancaria y más.
  3. Cuidado con las «Webs parecidas». Los atacantes crean páginas web parecidas que imitan las de marcas conocidas. Estas webs fraudulentas pueden vender productos falsificados, estar infectados con malware o robar dinero o credenciales.
  4. Evite los fraudes de phishing. Los ataques de phishing durante este periodo son muy comunes y de formas muy diferentes. Para evitar este tipo de fraude, examine cuidadosamente la dirección de correo electrónico del remitente. Asegúrese que el nombre del dominio coincide exactamente con el sitio web donde estés realizando la compra. Además, buscar errores ortográficos y gramaticales en un correo electrónico sospechoso también ayudará a detectar emails fraudulentos.
  5. No hagas clics en los enlaces. Se recomienda ir directamente a la página de la oferta anunciada escribiendo su dirección web directamente en tu navegador. Si se trata de códigos promocionales especiales, escríbelos y comprueba si son legítimos.
  6. Verifica antes de comprar. Los anuncios, webs y apps fraudulentas pueden ser difíciles de identificar. Cuando descargues una nueva app o visites una web no habitual, dedica algo de tiempo a leer reseñas sobre la misma, así como cualquier queja de los usuarios.
  7. Mantenga el software actualizado. Los dispositivos casi siempre requieren actualizaciones de software rutinarios. A menudo, estas actualizaciones incluyen parches de seguridad diseñados para protegerse de los delincuentes. Actualice sus dispositivos tan pronto como las actualizaciones estén disponibles.
  8. Utilice plataformas de pago seguras. Usar sistemas de pago fiables como Paypal o tarjetas prepago te ayudará a realizar transacciones online de forma más segura.

Se recuerda tomar estos consejos antes de realizar alguna compra en línea.

Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suite.

Onapsis ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.

El ataque, que ha sido bautizado como Oracle Payday, consiste en la explotación de dos vulnerabilidades de Oracle identificadas con los CVEs CVE-2019-2638 y CVE-2019 -2633, con una valoración CVSS de 9.9 sobre 10.

Estos fallos de seguridad disponen de parches desde el pasado mes de abril pero sin embargo más de la mitad de los clientes de Oracle EBS no han aplicado las soluciones en sus sistemas por lo que continuan siendo vulnerables, según revela el estudio de Onapsis.

Se detallan dos ejemplos de potenciales escenarios:

  • La manipulación del proceso de pago mediante una transferencia bancaria a través de un acceso no autenticado.
  • La creación e impresión de cheques bancarios aprobados, siendo posible además el borrado de los registros de actividad.
Además del informe, Onapsis ha publicado un vídeo en el cual se muestra el proceso.

Para mayor información:

Dato interesante: «En 2017, Oracle realizó una simulación: seleccionó una estructura financiera realista derivada de una gran empresa típica basada en la experiencia de más de 25 años. Esta simulación descubrió que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 líneas de factura importadas. Por lo tanto, las explotaciones exitosas de PayDay pueden pasar desapercibidas entre tantas transacciones.»

Fallo en WhatsApp permitía bloquear o ejecutar código en la aplicación

La vulnerabilidad de tipo buffer overflow era provocado al leer los metadatos de un vídeo MP4 enviado a través del programa.

Facebook, la empresa responsable de la popular aplicación de mensajería instantánea, ha lanzado una nueva versión de WhatsApp que resuelve una vulnerabilidad crítica que permitía tanto bloquear el programa (DoS) impidiendo su uso, como la ejecución remota de código (RCE) en el mismo.

Se desconoce si el fallo llegó a explotarse antes de ser parcheado o si fue la propia Facebook la que descubrió el error y lo arregló. Tampoco ha dado más detalles sobre la misma en el breve comunicado en el que informaba de la vulnerabilidad, que ha sido registrada con el identificador CVE-2019-11931.

La vulnerabilidad afecta tanto a las versiones empresariales como a las de consumo, siendo estas:

  • Las versiones de Android anteriores a 2.19.274
  • Las versiones para iOS anteriores a 2.19.100
  • WhatsApp Enterprise en sus versiones anteriores a 2.25.3
  • En Windows Phone todas las versiones, incluso la 2.18.368
  • WhatsApp Business para Android en versiones anteriores a 2.19.104
  • Versiones de WhatsApp Business para iOS anteriores a 2.19.100

Lo más que se sabe del error es que se trata de una vulnerabilidad de tipo buffer overflow durante el análisis de los metadatos de los vídeos MP4, siendo similar al que ya ocurrió en mayo de este año (CVE-2019-3568) y que fue explotado para difundir el spyware Pegasus entre los usuarios de iOS y Android.

A pesar de no haber dado detalles, ya parecen existir Pruebas de Concepto (PoC) para explotar esta vulnerabilidad.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:

  • Se urge a todos los usuarios de WhatsApp a actualizar a la última versión disponible para evitar ser víctimas de esta vulnerabilidad.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Fallo en el chipset de Qualcomm permite robar información privada en dispositivos android

Miles de millones de dispositivos smartphones y tablets Android que utilizan internamente el chipset Qualcomm son potencialmente vulnerables a un conjunto de vulnerabilidades que deja al descubierto información sensible del terminal.

La firma CheckPoint ha publicado un reporte en el que explican que los fallos encontrados podrían permitir a un atacante robar información sensible almacenada en una zona que se presupone la más protegida del terminal.

La vulnerabilidad reside en Qualcomm’s Secure Execution Enviroment (QSEE), una implementación de Trusted Execution Enviroment (TEE) basada en la tecnología ARM TrustZone.

También conocido como Qualcomm’s Secure World, QSEE es un área aislada dentro del mismo procesador que protege información sensible y provee un ambiente seguro separado de los demás datos (REE). Está preparado para ejecutar Trusted Applications.

Junto con otros datos, en la QSEE se guardan contraseñas, claves de cifrado privadas o información de la tarjeta de crédito o débito almacenada en el terminal. Por lo que no resultaría extraño que explotar este fallo se vuelva un objetivo para algunos desarrolladores de malware.

Al estar basado en el principio del menor privilegio, Módulos normales del sistema como drivers o aplicaciones no tienen acceso a áreas protegidas a menos que sea necesario, incluso teniendo privilegio de root.

Tal y como comenta el equipo de CheckPoint, para descubrir los fallos necesitaron aplicar ingeniería inversa el sistema de Qualcomm’s Secure World y realizar técnicas de fuzzing. Crearon una herramienta de fuzzing a medida y la testearon con dispositivos Samsung, LG y Motorola. Esto les llevó a encontrar cuatro vulnerabilidades en el código implementado por Samsung, una en Motorola y una en LG.

  • dxhdcp2 (LVE-SMP-190005)
  • sec_store (SVE-2019-13952)
  • authnr (SVE-2019-13949)
  • esecomm (SVE-2019-13950)
  • kmota (CVE-2019-10574)
  • tzpr25 (reconocido por Samsung)
  • prov (Motorola está trabajando en el parche)

Estas vulnerabilidades reportadas permitirían a un atacante, entre otras, realizar las siguientes acciones:

  • Ejecutar trusted apps en un entorno normal (Android OS).
  • Cargar una trusted app parcheada en Secure World (QSEE).
  • Eludir las restricciones de Chain Of Trust de Qualcomm.
  • Adaptar la trusted app para que corra en un dispositivo de otro vendedor.

Resumiendo, una vulnerabilidad en el componente TEE deja al dispositivo vulnerable a una amplia gama de amenazas de seguridad, entre las que se incluye la fuga de información protegida, rooteo del dispositivo, el desbloqueo del bootloader y la ejecución de APT indetectables.

Los investigadores de CheckPoint ya reportaron el fallo a las marcas afectadas. Qualcomm, Samsung y LG ya disponen de un parche para las vulnerabilidades que afectan a QSEE.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Nuevo 0-day en Google Chrome está siendo utilizado para realizar ataques

Se ha detectado una reciente vulnerabilidad que afecta al navegador de Google que está siendo utilizada para atacar a usuarios y tomar el control de sus equipos.

Google ha lanzado la versión 78.0.3904.87 de su navegador, y está pidiendo a sus usuarios que actualicen su navegador lo antes posible. Esta nueva versión corrige dos vulnerabilidades graves.

La primera de las vulnerabilidades se encuentra en el componente de audio del navegador (CVE-2019-13720), mientras que la segunda afecta a la librería ‘PDFdium’ (CVE-2019-13721), utilizada por Chrome para la lectura de ficheros PDF.

Según Anton Ivanov y Alexey Kulaev, investigadores de Kaspersky, se han detectado ataques que utilizan la vulnerabilidad en el componente de audio como vector de entrada para la ejecución de código malicioso en el sistema de la víctima.

Google ha confirmado que tiene constancia de estos ataques en los que se aprovecha la vulnerabilidad en su navegador para atacar a sus usuarios. Además, ha asegurado que no proporcionará detalles sobre los fallos hasta que la mayoría de los usuarios hayan actualizado sus navegadores.

Ambas vulnerabilidades son de las conocidas como ‘use-after-free’. Este tipo de vulnerabilidades son las más habituales en el navegador de Google en los últimos meses. De hecho, hace un mes Google lanzó una actualización en la que corregía cuatro vulnerabilidades de este tipo, una de las cuales podía utilizarse para ejecutar código malicioso en el equipo.

Según los investigadores de Kaspersky, los ataques se han realizado a través de una web de noticias coreana comprometida por los atacantes. Estos colocaron los ‘exploits‘ en la web con el objetivo de comprometer a los visitantes que utilizasen una versión de Chrome vulnerable.

Script malicioso añadido a la web comprometida (Fuente: TheHackerNews)

El ‘exploit‘ es la primera etapa del ataque, que sirve para la instalación de un malware en el equipo comprometido. Según han afirmado los investigadores, dicho malware contiene en su código la información relativa al servidor de control, por lo que no se genera de forma dinámica.

Aún no se conocen los autores del ataque, sin embargo, Kaspersky ha afirmado que hay algunas similitudes con otros ataques del grupo ‘Lazarus’, aunque podría tratarse de simple coincidencia.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:

  • Actualizar a la última versión más reciente del navegador Google Chrome, disponible en la página oficial.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Ciberataques mediante BlueKeep con nuevo malware tipo Wannacry

Existen nuevos reportes sobre ciberataques a varias empresas internacionales, los atacantes explotaron la vulnerabilidad BlueKeep, que permite ejecución de código remoto mediante RDP (Remote Desktop Protocol) en equipos con sistemas operativos Windows 7, Windows Server 2008, and Windows Server 2008 R2.

Similar a Wannacry  en estos ataques se infectaron ordenadores con ransomware dejando la información cifrada e inaccesible. En los ordenadores afectados se muestran mensajes de los atacantes solicitando rescate de la información a cambio de pago con criptomonedas (no especifica monto).

Se debe considerar que este malware puede propagarse rápidamente en una red vulnerable a BlueKeep.

Cabe mencionar que en mayo del presente año, Microsoft lanzó un parche de seguridad con la remediación de la vulnerabilidad BlueKeep, sin embargo muchos ordenadores no han sido actualizados y podrían ser comprometidos.

Telconet, con el fin de precautelar la disponibilidad e integridad de la información de nuestros clientes, recomienda lo siguiente:

  • Es importante mantener los equipos actualizados, caso contrario aplicar las actualizaciones pendientes con Windows Update.
  • Si tiene el protocolo de escritorio remoto (RDP) abierto a Internet, se recomienda restringir mediante firewall el acceso RDP sólo a IPs de confianza.
  • En caso de no acceder remotamente a sus equipos mediante RDP, se recomienda bloquear el acceso al puerto 3389 en sus equipos de seguridad perimetrales.

Mayor información se puede encontrar en los siguientes artículos:

Fallo en ‘sudo’ permite ejecución irrestricta de código con privilegios de root

linux-sudo-hacking

Se ha hecho pública una nueva vulnerabilidad (CVE-2019-14287) que afecta al comando central sudo que viene instalado en casi todos los sistemas operativos basados en UNIX y Linux. Este fallo podría permitir que un usuario malintencionado o un programa ejecute comandos arbitrarios como usuario root en un sistema Linux objetivo.

Las distribuciones afectadas son las siguientes versiones de Ubuntu y sus derivados:

  • Ubuntu 19.04
  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 ESM
  • Ubuntu 12.04 ESM

El fallo de seguridad puede ser corregido actualizando el paquete afectado, sudo, a la versión más reciente.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda actualizar el paquete afectado mediante la ejecución de los siguientes comandos:

$ sudo apt-get update
$ sudo apt-get --only-upgrade install sudo


Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Gracias de antemano por su atención.

TeamViewer Hackeado

FireEye, una de las comañías con mayor credibilidad entre la comunidad de la ciberseguridad, afirma que la aplicación TeamViewer fue hackeada por APT41, los atacantes tendrían acceso y podrían controlar cualquier computadora que haya iniciado sesión en la aplicación.

A pesar de no existir un comunicado oficial por parte de TeamViewer respecto a parches de seguridad, Telconet con el fin de precautelar la disponibilidad e integridad de su información, recomienda lo siguiente:

  • Desinstalar y evitar el uso de la aplicación TeamViewer.
  • En caso de ser indispensable su uso, realizar cambio inmediato de credenciales de acceso.

Para mayor información sobre la vulnerabilidad descrita consultar el siguiente enlace:

Nueva botnet aprovecha el 0day en vBulletin para infiltrar sus bots

El día 25 de septiembre de 2019 hablábamos de una vulnerabilidad zero-day que afectaba a instalaciones de vBulletin en su versión 5, en la publicación https://csirt.telconet.net/comunicacion/noticias-seguridad/zero-day-en-vbulletin/.

El mismo día que informábamos de la noticia, el experto en ciberseguridad Troy Mursch, detectó la actividad de una nueva botnet que aprovecha este fallo en el popular sistema de foros para comprometer las máquinas donde se encuentra.

Como dato curioso, el malware no solo compromete el sistema y lo convierte en un esclavo más del administrador de la botnet, sino que también bloquea a otros atacantes que intenten explotar la vulnerabilidad.

Para llevar a cabo sus acciones, los atacantes han utilizado un exploit que modifica el código del archivo «includes/vb5/frontend/controller/bbcode.php» permitiendo la ejecución de código de forma remota y bloqueando además a otros atacantes a través del parámetro $_REQUEST[«epass»], que requerirá una contraseña al atacante antes de ejecutar el eval($code) utilizado para ejecutar comandos en la máquina vulnerable.

En la captura de pantalla ofrecida por el equipo de Bad Packets puede verse la clave utilizada por el atacante: «2dmfrb28nu3c6s9j«.

Según Chaouki Bekrar, CEO y fundador de Zerodium, la empresa dedicada a la compra-venta de exploits, pudieron estar vendiendo este zero-day y su correspondiente exploit desde hace al menos tres años.

Según Mursch, la mayor actividad se concentra en los países de Vietnam, India o Brasil.

Les recordamos a todos los usuarios de vBulletin que podrían estar en riesgo y deberían aplicar cuanto antes el parche para la vulnerabilidad CVE-2019-16759.


Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

1 11 12