PandaLabs Blog Todo lo que necesitas saber sobre amenazas en Internet

PowerLocker

Powerlocker, también llamado PrisonLocker, es una  nueva familia de ransomware que prometía junto con el cifrado de ficheros en la máquina infectada (común al resto decifradores) bloquear el uso del equipo por parte del usuario hasta el pago del rescate (como el virus de la policía).

Aunque la idea de unir las dos técnicas ha podido provocar pesadillas a más de uno, en este caso el malware se ha quedado en un prototipo. El autor del malware, durante su desarrollo, fue publicando varios post en foros y blogs comentando avances en su creación  y explicando las diferentes técnicas que estaba incluyendo en su código.

Según comenta el autor en este comentario, el powerlocker es un ransomware escrito en c/c++ que cifra ficheros en la máquina infectada y bloquea la pantalla, pidiendo un rescate.

El malware,  implementa el proceso de cifrado, que podríamos considerar estándar en este tipo de malware.  Utiliza blowfish como algoritmo de cifrado, con una clave única por cada fichero a cifrar. Y almacena cada clave única generada con  un algoritmo de clave publica-privada 2048.  Con lo que únicamente el poseedor de la clave privada puedes descifrar todos los ficheros.

Además, según el autor del ransom,  Powerlocker implementa características antidebug, antiemulación, antisandbox y también deshabilita herramientas como el administrador de tareas, el editor de registro o la ventana de línea de comandos.

Sin embargo, toda esta publicidad que el autor del malware ha hecho en foros y blogs del Powerlocker antes de liberarlo, ha derivado en la detención del mismo en Florida, motivo por el cual a día de hoy, no se dispone de ninguna versión definitiva de este malware y no hay constancia de que pueda estar in-the-wild.

A pesar esto,  hemos considerado interesante realizar un análisis de la versión actual del Powerlocker , debido a que no se puede descartar que alguien más pudiera poseer una copia de los fuentes o incluso una versión posterior del Powerlocker.

 

Análisis del Powerlocker

Lo primero que hace el Powerlocker es comprobar si ya están creados dos ficheros con las claves RSA, si no están creados, genera la clave pubilca y privada para volcarlas en dos ficheros  de disco (pubkey.bin y privkey.bin)

A diferencia de otros ransomware, que utilizan el servicio de crytoapi que incorpora Windows. Powerlocker utiliza la librería openssl , para la generación de claves y el cifrado de ficheros.

Tras la obtención de las claves, el Powerlocker realiza un recorrido recursivo de directorios en busca de ficheros a cifrar, excluyendo -de manera no muy eficaz- los ficheros con alguno de los nombres que utiliza: privkey.bin, pubkey.bin, countdown.txt, cryptedcount.txt. También evita ficheros $recycle.bin,.rans, .exe, .dll, .ini, .vxd o .drv para evitar causar daños irreparables en el equipo. Sin embargo el autor ha olvidado excluir extensiones bastantes delicadas para el correcto funcionamiento del equipo, como por ejemplo la .sys.  Es decir, un equipo infectado con Powelocker sería incapaz de reiniciar.

Además, en esta versión de debug,  es posible mediante un parámetro controlar si el ransom va a cifrar ficheros o a descifrarlos utilizando las claves pubkey.bin y privkey.bin que ha generado previamente al inicio de la ejecución.

Esta versión de debug no incorpora el bloqueo de pantalla anunciado por el creador del malware, sino que muestra una consola por la que escribe mensajes de depuración, nombres de ficheros que se van a cifrar/descifrar, etc… así como solicita que se pulse una tecla antes de realizar cada cifrado / descifrado.

 

Conclusiones

Solamente se dispone de una versión a medio hacer del Powerlocker, totalmente inacabada que incluso casi podríamos calificar de inofensiva, en la que no existe ni rastro de muchas de las características más importantes que comentaba el autor en los diferentes foros y blogs que frecuentaba: técnicas antidebug, bloqueo de pantalla, etc.

A pesar de que no es totalmente funcional recomendamos tener un sistema de backup de nuestros ficheros críticos, lo que nos garantizará, no sólo cubrirnos ante problemas de hardware, sino que en caso de infección por malware de este tipo podamos mitigar el daño causado.

Además recordamos que, si no tenemos de backup y nos hemos infectado, no recomendamos el pago del rescate ya que es una forma de incentivar que se sigan perpetrando este tipo de delitos.

Análisis del PowerLocker realizado por Javier Vicente

Post to Twitter

  • (0) Comments

Almacenes de contraseñas… caramelos para ciberdelincuentes

Seguro que más de una vez has utilizado la misma contraseña para registrarte en páginas webs diferentes. Pues imagina que alguna de esas páginas webs almacena tus claves en sus servidores, desgraciadamente no tienes que exprimir tu imaginación porque es demasiado habitual, e imagina también que esos servidores son atacados y consiguen tus contraseñas. Ahora estos ciberdelincuentes solo tienen que probar tus credenciales para acceder a tu cuenta de correo electrónico o a otras webs en las que estés registrado y, en la mayoría de los casos, lo conseguirán.

Pues esto es lo que le pasó a Yahoo hace poco. En este caso Yahoo no fue atacada, ni le robaron datos directamente. La empresa californiana detectó que unos ciberdelincuentes habían conseguido información de sus usuarios para acceder a sus cuentas de correo. Al parecer la información de los usuarios habría llegado a manos de los ciberdelincuentes tras hackear una base de datos de una tercera empresa sin relación con Yahoo.

Como medida preventiva, Yahoo cambió la contraseña de todos los usuarios afectados y utilizó el factor de doble autenticación para que los legítimos dueños de las cuentas de correo pudieran habilitar una nueva contraseña.

En este caso no hablamos de fallos de seguridad cometidos por las empresas a la hora de custodiar sus datos, sino de todo lo contrario, y tendríamos que felicitar a Yahoo por haber sido capaz de detectar el ataque y de actuar rápidamente para proteger a sus usuarios.

A diferencia de este caso de Yahoo, el ataque recientemente sufrido por Orange sí que sucedió en una de sus páginas web. Esta web de la multinacional francesa tenía una vulnerabilidad que permitió a los atacantes hacerse con datos de cientos de miles de clientes, entre los que figuraban nombres, apellidos, direcciones y números de teléfono.

Afortunadamente parece que Orange, a pesar del fallo que permitió el ataque, tenía sus sistemas lo suficientemente bien configurados como para que las contraseñas no hayan sido comprometidas, lo que limita el daño a los más de 800.000 usuarios afectados en este caso. Parece ser que las contraseñas estaban almacenadas en otro servidor más seguro, según la información publicada.

Por tanto, de cara a proteger las contraseñas ante la eventualidad de un robo, la mejor política a seguir es no almacenarlas. Si no almacenas contraseñas no te las pueden robar, algo bastante obvio que lamentablemente no se suele aplicar.

Pero, ¿cómo puede entonces un sitio web validar a los usuarios? Es sencillo, bastaría con “saltear” la contraseña original que elige un usuario cuando se da de alta en un servicio web, y aplicar un hash a esa contraseña “salteada”. Al “saltear” la contraseña original lo que hacemos es generar una nueva y diferente contraseña a partir de un patrón definido previamente (convertir letras en números, alterar su orden,…). Es a esta contraseña alternativa a la que se le aplicaría ahora un hash para, mediante un algoritmo de codificación, convertirla en una compleja cadena de símbolos. Y sería este hash el que se almacenaría como prueba de validación del usuario. A partir de este momento, cada vez que el usuario vuelva a validarse, se le aplicaría el mismo patrón a la contraseña que introduzca, se calcularía su hash y se compararía con el almacenado. Si coinciden, significará que se ha utilizado la contraseña correcta y se podrá dar acceso al usuario sin necesidad de almacenar datos críticos, como es el caso de las contraseñas.

Otra medida que debería empezar a aplicarse de forma masiva es el doble factor de autenticación. Aunque puede ser una molestia para el usuario, si se tiene la opción de utilizarlo es mucho más complicado que la cuenta de tus usuarios pueda verse comprometida. Esto es algo que las entidades financieras aprendieron hace tiempo pero que debería extenderse al resto de servicios web.

Post to Twitter

  • (0) Comments

Ataque a usuarios de Android mediante publicidad maliciosa en Facebook

Los ciberdelincuentes siempre tratan de llamar la atención de la gente de cara a perpetrar sus crímenes. Es por esto que no debería sorprendernos cómo utilizan Facebook (la mayor red social del mundo), WhatsApp (el principal programa de mensajería de móviles, recientemente adquirido por Facebook) y Android (el sistema operativo de móviles con mayor cuota de mercado) de forma conjunta para robar dinero a los usuarios.

El grupo detrás de este caso contrata publicidad en Facebook para atraer a víctimas y conseguir engañarlas para que instalen sus aplicaciones. Cuando estás navegando desde tu móvil Android por Facebook, te aparece en el muro de la red social una “Publicación sugerida” (manera sutil que tiene Facebook de llamar a la publicidad) anunciando utilidades para Whatsapp:

FB1

Como podemos ver, no sólo se utilizan plataformas populares, sino que se apela a la curiosidad del usuario al invitarle a descubrir cómo puede ver las conversaciones de sus contactos. Podemos ver que además tiene mucho éxito fijándonos en los “Me gusta” y en la cantidad de comentarios que viene. Sin embargo no es el único reclamo que han utilizado. A continuación podemos ver otro de los anuncios publicados donde prometen una aplicación para que la gente no pueda ver tu estado de conexión en WhatsApp:

FB2

Facebook permite realizar publicidad segmentada: es decir, si eres un anunciante puedes configurar a qué tipo de usuarios quieres que se les muestre la publicidad, dónde (en el lateral derecho, como “publicación sugerida”, etc. En este caso todo apunta a que se trata de publicidad que se muestra únicamente a visitantes de Facebook españoles que acceden a la red social a través del navegador de su móvil Android, ya que es el tipo de víctimas que los ciberdelincuentes envueltos en esta trama están buscando. De hecho en este caso hemos comprobado cómo efectivamente es así: las capturas están tomadas desde una cuenta de Facebook española a través de un móvil Android. Hemos probado con esa misma cuenta pero desde un PC, un iPad y un iPhone y en ninguno de estos casos se mostraba esta publicidad.

Si pinchas sobre la imagen que hemos mostrado en cualquiera de las publicidades que os hemos enseñado, eres redirigido aquí:

FB3

Como cualquier usuario de Android puede ver, se trata de Google Play, concretamente de la página de una aplicación que nos da la opción de instalarla, con más de 1 millón de descargas y valorada por los usuarios con 3’5 estrellas sobre un total de 5. Si bajamos vemos que hay una gran cantidad de comentarios positivos sobre la aplicación, y nos muestra los votos de más de 35.000 usuarios que la han puntuado:

FB4
Si somos un poco suspicaces, podemos darnos cuenta de que hay algunas cosas que no cuadran del todo:

-          Nos aparece que la aplicación tiene una puntuación media de 4,5 estrellas, sin embargo si vemos el dibujo tiene 3,5 estrellas:

FB5

-          Vemos que han calculado la puntuación en base a los votos de 35.239 usuarios. Sin embargo si sumamos el nº de votos que nos aparece a la derecha, podemos comprobar que suman 44.060 votos:

FB6

¿Cómo es posible que esté sucediendo esto en Google Play? Como algunos os habréis imaginado, esto puede suceder porque no se trata de Google Play. Realmente estamos en una página web diseñada a la imagen y semejanza de la Play Store, de tal forma que el usuario piense que está en un sitio de confianza. La barra de direcciones del navegador, tal y como se puede apreciar en las capturas que hemos incluido, permanece oculta en todo momento. Si pinchamos sobre el botón de “Instalar” se nos descargará un fichero con nombre “whatsapp.apk”.

Al ejecutar esta aplicación, nos mostrará la siguiente pantalla:

FB7

Si nos fijamos un poco en la imagen, veremos que hay algún tipo de texto (completamente ilegible) debajo del botón “continuar”. Hagamos un poco de zoom para ver si podemos llegar a leer lo que dice:

FB8

De forma similar al caso que revelamos hace unos días muestra una serie de condiciones sobre la suscripción a un servicio de SMS Premium. Al pinchar a continuar lo único que hace (de forma visible) es abrir una página web que efectivamente contiene consejos sobre WhatsApp, aunque en ningún momento ofrecen nada parecido a lo que anunciaban (donde decían que podías averiguar cómo ver las conversaciones de tus amigos en WhatsApp).

El peligro está en lo que hace pero no vemos: en primer lugar recorre el listado de cuentas de usuario registradas en busca de la perteneciente a WhatsApp. Una vez localizada extrae el nº de teléfono de la misma. Si WhatsApp no se encuentra instalado o falla a la hora de obtener el número, usará una API de acceso a servicios del sistema para conseguir la información.

A continuación escoge de manera aleatoria uno de los siguientes números:

797024

795964

797025

Lo que está haciendo es seleccionar a cuál de estos 3 servicios SMS Premium nos va a suscribir. En función del servicio que salga seleccionado cambiará el texto de las condiciones del servicio (el texto ilegible que aparece cuando abrimos la aplicación y nos aparece el botón de continuar). En este texto aparecen (dependiendo del nº seleccionado) una de estas 2 empresas:

LINEAS DE RED INTELIGENTE S.L

MICAMOSA MON DE SERVEI, SLU

A continuación instala un receptor de SMS para gestionar los mensajes de texto recibidos. Es de destacar la técnica que utiliza para evitar que el usuario se dé cuenta de la recepción de mensajes de texto que tenga como remitente alguno de los 3 números que hemos mencionado. Si todo va bien el receptor de SMS desechará los mensajes sin que el usuario pueda verlos, pero si hay algún fallo recurre a una ingeniosa técnica para tratar de pasar desapercibido: silencia durante 2 segundos el volumen del teléfono, de tal forma que el usuario no pueda oír la notificación, y a continuación marcará el mensaje como leído.

Aunque el receptor de SMS tiene mayor prioridad que el controlador de mensajes del sistema operativo, por las pruebas que hemos realizado parece que en la versión más reciente de Android (4.4) no consigue el control y los mensajes no son filtrados, llegando al terminal, momento en el cual entra en juego este plan B ideado por los ciberdelincuentes. En versiones anteriores de Android no necesita llevar a cabo este truco ya que consigue interceptar los mensajes y eliminarlos antes de que sean mostrados en el terminal.

La aplicación lleva un contador de los SMS, de tal forma que cuando llega el primer mensaje del servicio SMS Premium, lo lee para obtener el PIN necesario, y lo registra en la página web correspondiente de confirmación para activar el servicio de mensajes de pago.

Otra curiosidad que nos hemos encontrado es que oculta los mensajes cuyo remitente sea el nº 22365. Hemos investigado y dicho número pertenece también a servicios de SMS Premium. Todo parece apuntar a que están tratando de sabotear a la competencia, de tal forma que si el usuario tratara de registrarse al servicio ofrecido por este número -o si un troyano tratara de hacer algo parecido a lo que hace esta aplicación que estamos analizando- impide que tenga acceso al mensaje, por lo que no podrá acceder al PIN y activar el servicio. Resulta que la operadora Orange envía un aviso a los usuarios que se suscriben a un servicio de pago, y lo que está haciendo el troyano es interceptar dichos mensajes (cuyo remitente es el nº 22365) para que el usuario no los pueda ver.

Volviendo a la parte “visible” de la aplicación, una vez pulsamos el botón de “Continuar” nos muestra los supuestos trucos para WhatsApp:

FB9

Como vemos en el listado completo de los mismos, no tienen absolutamente nada de particular y tampoco se pueden considerar trucos:

  • Cómo saber si nos han bloqueado
  • Cómo bloquear un contacto
  • Cambia tu estado
  • Envía mucho más que mensajes
  • Cambiar tu foto de perfil
  • Crear accesos directos a conversaciones
  • Usar Intro para enviar mensajes
  • Hacer una copia de seguridad de tus conversaciones
  • Guardar las fotos que te envían
  • Cambiar el fondo de la conversación
  • Enviar el historial de conversaciones a alguien

De hecho todos estos “trucos” son accesibles sin problemas desde la página donde están alojadas las aplicaciones, y sin necesidad de suscribirse a un servicio Premium.  Si vamos a la página web principal, descubrimos que no sólo utilizan WhatsApp como reclamo, sino que van a por cualquier temática que pueda resultar popular:

FB10

Y la forma de actuar es idéntica. Nos lleva a una tienda falsa que simula ser Google Play, para que descarguemos la aplicación correspondiente, que tiene la misma funcionalidad oculta que la descrita en este artículo:

FB11

Si nos fijamos, reutilizan parte de los datos que tenía la anterior (puntuación, descargas, y número de votos) aunque los comentarios sí que están personalizados:

Fb12

Para finalizar, recordar a los usuarios de Panda Mobile Security que a través de la funcionalidad “Auditor de privacidad” pueden comprobar que este tipo de aplicaciones están clasificadas dentro de la categoría “Cuesta dinero” y podrá ser eliminada desde allí. Recordamos también que esto no significa que todas las aplicaciones que estén dentro de esta categoría sean maliciosas: cualquier aplicación que tenga permisos suficientes como para comportarse de la forma aquí descrita estará en esta categoría; si ves una aplicación que has instalado y no debería tener dichos permisos elimínala directamente.

 

Post to Twitter

  • (4) Comments

Identificadas Aplicaciones de Google Play que suscriben a SMS premium sin permiso

Actualización 17/02/2014:

Las 4 apps han sido eliminadas de Google Play. Pongo aquí el SHA1 de cada una de las apps maliciosas en caso de que algún investigador los necesite:

b83a180a92fb706e6f120f36cca6ddc43670d55c

fce9824f02f6bfb57c685d85a43d4c5c051cc498

af9429cf93a2a569da72c30bf52e0305d95bb7e8

e8868f6b3e4dd76367840214d881873ec42705a6

************************************

Nuestro equipo de Panda Mobile Security ha encontrado una nueva amenaza que ha infectado al menos a 300.000 usuarios, aunque ese número podría ser 4 veces más alto, llegando a 1.200.000. Todas estas aplicaciones maliciosas se pueden descargar desde Google Play:

2431

 

 

 

 

 

 

 

¿Cómo es possible que se permitan aplicaciones maliciosas aquí? Bueno, a decir verdad no es la primera vez que todo tipo de malware es capaz de pasar todos los filtros y ser publicada en la tienda oficial. Sin embargo, creo que este caso podría ser algo diferente y podrían quedarse durante una larga temporada en Google Play… primero dejadme contaros cómo funciona y cómo roba tu dinero.

Vamos a coger uno de ellos, “Dietas para reducir el abdomen”. Una vez instalas la aplicación, la abres y aparece una pantalla de carga:

abdomen_presentacion

A continuación muestra esta pantalla:

abdomen_presentacion_2
Al pinchar en “Siguiente” te ofrece acceder a una de las dietas:

abdomen_presentacion_3

Es dificil ver la X que está en la esquina superior derecha… quieren asegurarse de que pulsemos sobre “Entrar”. Al hacer click un nuevo mensaje aparece encima de esta última pantalla:

abdomen_terminos_condiciones

Aquí nos pide aceptar los términos para poder ver la dieta. Pero si nos fijamos bien en la pantalla, podemos ver lo siguiente: debajo de este nuevo mensaje sigue por debajo la pantalla anterior, sin embargo hay una “pequeña” diferencia, si miramos justo debajo del botón de “Entrar” veremos unas líneas de color gris que antes no estaba ahí, se trata de un texto completamente ilegible. Vamos a hacer zoom para ver qué dice:

zoom

Se trata de los terminos de servicio con los que supuestamente estamos de acuerdo si pinchamos en “Aceptar”, donde nos dicen que nos van a suscribir a un servicio para obtener contenidos exclusivos para nuestro teléfono móvil. Por supuesto este mensaje es completamente ilegible en su tamaño y forma originales.

Una vez aceptas los terminos  y condiciones del servicio y pulsas sobre “Entrar” suceden dos cosas diferentes:

-          El usuario verá una serie de recomendaciones para reducir su abdomen.

-          Sin conocimiento del usuario la aplicación buscará el número de teléfono del dispositivo, irá a una página web donde lo registrará a un servicio de SMS Premium. El servicio requiere una confirmación para ser activado, lo que significa que manda un SMS a ese número con un código PIN, que tiene que ser introducido en la web para finalizar el proceso y comenzar a cobrarte dinero. Esta aplicación espera a ese mensaje en concreto, una vez llega lo intercepta, lo lee para obtener el código PIN y vuelve a la página web para introducirlo y confirmar tu suscripción al servicio. A continuación elimina el mensaje, sin que se muestre en ningún momento notificación alguna en el terminal, como si ese SMS nunca hubiese existido. Repito, todo esto es realizado sin conocimiento del usuario.

Merece la pena mencionar cómo se hace con el número de teléfono del móvil para suscribirnos a este servicio. El modo “normal” de que una app haga esto es coger este número de la tarjeta SIM -hay una función del Sistema Operativo que permite hacer esto- sin embargo cada vez hay más proveedores que no lo almacenan allí como una medida preventiva de seguridad. Para evitarse problemas esta app lo que hace es “robar” el número de una de las aplicaciones de móvil más populares del mundo: WhatsApp. Como seguramente recordarás, una vez que abres WhatsApp por primera vez te solicita el nº de teléfono. La popular aplicación de mensajería lo guarda como parte de los datos para la sincronización de la cuenta:

whatsapp

 

Por los datos que facilita Google Play esta aplicación tiene entre 50.000 y 100.000 descargas. Las otras que he mencionado anteriormente hacer exactamente lo mismo. Si añadimos las descargas de las cuatro aplicaciones, hay entre 300.000 y 1.200.000 descargas de todas ellas. Dos fueron publicadas en diciembre de 2013 y las otras dos en enero de 201, así que el número de descargas que han conseguido es realmente impresionante. Echando un vistazo a los comentarios realizados por algunos usuarios, parece que muchos de ellos las están instalando porque te dan créditos / fichas en algunos juegos por instalar estas aplicaciones fraudulentas.

Cobran mucho dinero por este tipo de servicios premium, si hacemos una estimación conservadora de 20€ pagados por cada terminal, estamos hablando de una estafa enorme que podría estar entre los 6 y los 24 millones de euros.

PandaPanda Mobile Security detecta esta amenaza, pero aunque esté bien nada impide que mañana encontremos cientos de aplicaciones que exhiban el mismo comportamiento y que no sean detectadas por ningún producto antivirus. ¿Qué podemos hacer entonces para protegernos? Si ya eres usuario de Panda Mobile Security, conocerás la funcionalidad “Auditor de privacidad”. Si accedes a esta funcionalidad de nuestro producto, cualquier aplicación con permisos para comportarse de esta forma maliciosa y peligrosa será clasificada dentro de la categoría “Cuesta dinero” y podrá ser eliminada desde allí. Importante, esto no significa que todas las aplicaciones que estén dentro de esta categoría sean maliciosas, podéis ver como las apps de Facebook o WhatApp están ahí y yo no las calificaría de maliciosas. Cualquier aplicación que tengo permisos suficientes como para comportarse de la forma aquí descrita estará en esta categoría: si ves una aplicación que has instalado y no debería tener dichos permisos elimínala directamente.

privacy_auditor_cost_money_es

Y sea cual sea la solución de seguridad que utilices –si es que usas alguna- por favor lee siempre los permisos necesarios que se muestran antes de instalar cada aplicación y si entre ellos se encuentran los de conectarse a internet y permitir a la app que lea tus SMS y no es realmente necesario, no la instales.

Como dije al principio, estas aplicaciones podrían permanecer en Google Play durante tiempo ya que de hecho el usuario tiene que aceptar los términos de servicio, así que podrían tener una defensa legal hasta cierto punto. En cualquier caso no suficiente defensa para evitar que Panda Mobile Security las detecte y elimine, eso es seguro.

Post to Twitter

  • (11) Comments

Cómo Robar Tarjetas de Crédito a la Mitad de la Población de un País

Korea Credit Bureau (KCB), una compañía financiera coreana ha sido víctima de un ataque en el que le han robado 105,8 millones de cuentas de usuarios que incluyen los detalles de tarjetas de crédito, nombre y apellidos, teléfonos, direcciones e incluso números de pasaporte. Cada coreano tiene una media de cinco tarjetas de crédito (¡la más alta del mundo!) lo que significaría que al menos 21 millones de ciudadanos coreanos han visto cómo todos sus datos personales han sido robados. Para un país con menos de 50 millones de habitantes esto quiere decir que mínimo un 42% de la población ha sido una víctima de este ataque, aunque el dato real tiene que ser mucho más alto ya que no a todos los afectados les habrán comprometido todas sus tarjetas de crédito. Llegados a este punto sería más sencillo preguntar en Corea del Sur quién no ha sido víctima de este incidente de robo de datos.

Al contrario que en el caso Target que contamos en este artículo, en el caso ocurrido en Corea del Sur no se ha utilizado malware para acceder a la información. El ladrón trabajaba para KBC –irónicamente en el departamento anti-fraude de la compañía- y durante 11 meses simplemente copió toda la información y la vendió al mejor postor. Si la información hubiera estado debidamente cifrada el daño causado habría estado limitado, sin embargo parece que no era el caso. Ser capaz de robar información durante 11 meses también indica una falta de supervisión y de control al acceso de datos.

También existen medidas preventivas que podrían tomarse: es cierto que la persona involucrada en este incidente era parte del departamento anti-fraude, y como tal es probable que hubiera tenido acceso a los datos que fueron robados. ¿Qué se podría haber hecho? Bien, como hemos comentado antes el cifrado de datos puede ayudar aquí, aunque es cierto que esta persona podría tener acceso a la información necesaria para descifrar los datos. Limitando la cantidad de información a la que se puede accede cada vez podría mitigar el daño producido en este tipo de robo de datos: si solo se puede accede a un número limitado de entradas de la base de datos cada vez –digamos 10 registros- esta persona habría necesitado repetir la misma operación más de 10 millones de veces. No solo eso, también se puede limitar la cantidad de información a la que se accede en un periodo de tiempo dado, o incluso mejor, tener una serie de alarmas ligadas a reglas complejas que envíen un aviso cuando tiene lugar algún hecho inusual. Esto es algo que la mayoría de las entidades financieras ya tienen en marcha y que les permite detectar casos de fraude y de robo de identidad.

En un caso completamente separado, en Alemania, la Oficina Federal para la Seguridad de la Información (BSI) ha lanzado una alerta indicando que el correo electrónico de 16 millones de personas ha sido comprometido.  Parece que en este caso una red de bots (botnet) se encontraba tras el ataque, lo que significa que seguramente los ordenadores pertenecientes a los usuarios cuyas cuentas de correo han sido comprometidas podrían formar parte de una red de bots controlada por ciberdelincuentes.

BSI ha creado una página web para averiguar si tu cuenta de correo está entre las afectadas. Si estás entre las víctimas hay altas probabilidades de que tu ordenador esté infectado con malware, en este caso aconsejamos utilizar Panda Cloud Cleaner nuestra herramienta gratuita que analiza y elimina cualquier malware que puedas tener.

Post to Twitter

  • (0) Comments

Neymar usado como reclamo para instalar malware

Durante las últimas horas hemos detectado en PandaLabs el envío de mensajes de correo electrónico no deseado utilizando como gancho a Neymar da Silva Santos, jugador de fútbol brasileño cuyo actual equipo es el F.C. Barcelona. Se da la circunstancia de que Neymar lleva protagonizando titulares en la prensa durante los últimos días: por un lado por cierta polémica con su fichaje por parte del F.C. Barcelona, que ha llevado a la dimisión del presidente del club, y por otro lado a la supuesta ruptura de Neymar con su pareja, la modelo brasileña Bruna Marquezine, que ambos han desmentido.

Es éste último asunto el utilizado como gancho, ya que el mensaje de correo fraudulento que está circulando por Internet lleva como asunto “Mostra tudo Video intimo de Neymar e Bruna Marquezine!!” y contiene un enlace para descargar el supuesto video. El fichero descargado es un comprimido con nombre Video_Intimo.zip, que una vez abierto muestra un fichero llamado Video_Intimo.cpl.

Al ser ejecutado, este fichero intenta abrir una página web que indica que el sitio se encuentra en mantenimiento y no se puede mostrar el vídeo. Mientras tanto en segundo plano lo que hace es conectarse a diferentes direcciones para descargar y ejecutar malware. Las direcciones a las que se conectan varían, por lo que el malware que se descarga puede variar, aunque por lo estudiado hasta ahora se trata de un troyano bancario diseñado para robar credenciales de clientes de bancos brasileños.

Durante el estudio hemos visto cómo se descarga 2 ejecutables y crea una entrada de registro para asegurarse la ejecución al inicio del sistema del primer fichero descargado. Para pasar desapercibido esta entrada tiene como nombre “GForce Update Monitor” y se copia a sí mismo con nombre aleatorio dentro de una carpeta que crea llamada GForceCmp. GForce hace referencia a las conocidas tarjetas gráficas de Nvidia, por lo que a muchos usuarios les parecerá inofensivo.

Detectamos todo este malware como Trj/Banker.LDW

 

 

 

 

Post to Twitter

  • (2) Comments

Cómo evitar ataques como el de Target

Hay algo más de información sobre el incidente ocurrido en Target del que os hablamos el pasado mes. De acuerdo a los datos filtrados a Brian Krebs, un servidor web de la compañía habría sido comprometido, y desde allí un troyano habría sido distribuido a los terminales de punto de venta.

El malware está especificamente diseñado para trabajar in estos terminales y robar información de las tarjetas de crédito directamente de la memoria RAM, en cuanto se pasa la tarjeta el lector. Los ciberdelincuentes entraban regularmente a la red interna para recoger la información de los diferentes terminales comprometidos.

¿Cómo pueden protegerse las empresas ante este tipo de ataques? Los antivirus obviamente no son la solución, estamos hablando de ataques dirigidos donde para empezar el malware ha sido especialmente diseñado para evitar la detección del antivirus que se esté utilizando.

Como los terminales de punto de venta son normalmente plataformas cerradas, se podría pensar que una buena solución sería utilizar listas blancas o whitelisting. Este tipo de programas están diseñados para que sólo ciertas aplicaciones sean ejecutadas en un ordenador, y de hecho esta podría ser una buena estrategia ante cierto tipo de ataques: por ejemplo, un ataque desde dentro, donde un empleado intenta infectar un terminal instalando algún tipo de software malicioso en él. Sin embargo, esa solución no cubre todos los flancos. En multitud de ocasiones las aplicaciones maliciosas son instaladas a través de la explotación de vulnerabilidadades, y este tipo de instalaciones no son necesariamente detectadas por programas de whitelisting.

Los terminales de punto de venta son realmente un objetivo muy apetecible, y los ciberdelincuentes intentarán entrar. No es cuestión de suerte,  tarde o temprano lo intentarán, y para estar protegidos necesitamos una solución que cubra los diferentes aspectos de los terminales y sea capaz de:

-          Restringir la ejecución de software: sólo se podrán ejecutar procesos confiables.

-          Identificar aplicaciones vulnerables: avisar ante cualquier software desactualizado.

-          Hacer cumplir el comportamiento en procesos permitidos: en caso de que se intente explotar una vulnerabilidad en un proceso confiable.

-          Trazabilidad: En caso de que ocurra un incidente, que nos facilite toda la información necesaria para contestar las 4 preguntas básicas: desde cuándo se produce la intrusión, qué usuarios se han visto afectados, a qué datos se han accedido y qué han hecho con ellos, cómo han entrado los atacantes y desde dónde.

Estas no son todas las medidas de seguridad que se pueden tomar, pero al menos estos cuatro puntos deberían ser de obligado cumplimiento.

Post to Twitter

  • (0) Comments

El robo de datos de tarjetas de crédito en tiendas es cada vez más frecuente

El pasado 18 de Diciembre el conocido retailer estadounidense Target Corp comunicó que piratas informáticos habían robado los datos de 40 millones de tarjetas de crédito y débito de compradores que visitaron sus tiendas durante el inicio de la temporada de compras navideñas, entre el 27 de Noviembre y el 15 de Diciembre del 2013. Estas tarjetas están ahora siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas o sacar dinero en cajeros de forma fraudulenta.

La compañía no ha especificado cómo los piratas informáticos han realizado este ataque y lo están investigando junto al Servicio Secreto estadounidense, aunque se cree que sus terminales de venta han sido comprometidos. Este tipo de ataque y robo está en alza en los últimos años y preocupa seriamente a las autoridades.

El robo de datos más grande conocido, un robo de 130 millones de números de tarjetas de crédito, fue el de la empresa de procesamiento de pagos Heartland en 2009. Le siguen el minorista de descuento TJ Maxx al que robaron los datos de 94 millones de clientes. Un caso similar reciente es el de Barnes & Noble, ocurrido en octubre del año pasado, donde también sus terminales fueron comprometidos. El robo de datos se está generalizando y grandes empresas están siendo afectadas, empresas de la entidad de Sony Online Entertainment (PSN), Ubisoft, Facebook, LinkedIn y eHarmony.

Una hipótesis que se baraja en el robo a Target Corp es que los ciber-criminales habrían comprometido el software instalado en terminales de puntos de venta de sus tiendas físicas. El ataque parece no haber afectado a su tienda online. Otra hipótesis que se ha barajado es la instalación de dispositivos de captura de información en los TPVs, aunque parece prácticamente imposible que se puedan robar los datos de tantos millones de tarjetas, en las casi 1800 tiendas de Target en Norteamérica, exclusivamente mediante un ataque de este tipo. Instalar dispositivos físicos simplemente en varias decenas de tiendas a la vez, en las mismas fechas, implicaría una capacidad logística sin precedentes por parte de los criminales.

Una hipótesis más plausible, al menos para nosotros, es que este ataque podría haberse realizado mediante la instalación de un programa malicioso que robara los datos de las tarjetas pasadas por los propios terminales en las tiendas. Este ataque es similar al caso de de Barnes & Noble donde uno de los Keypads de 63 tiendas fueron comprometidos para obtener la información de la tarjeta y el pin que era introducido por los clientes. La empresa se vio obligada a desmontar y analizar 7000 de estos Keypads de sus tiendas.

Se especula también que el ataque podría haberse realizado desde el interior ya que se necesita conocimiento interno de los terminales y redes de las tiendas Target. Se habría infectado un primer terminal o varios por alguien en el interior de la empresa o engañando con técnicas de ingeniería social a un trabajador. Una vez infectado este terminal de compra, el malware se habría ido propagando por la red de las tiendas.

Es también posible que el software malicioso una vez en la red interna de las tiendas, haya explotado alguna vulnerabilidad hasta ganar acceso a servidores de información donde se guardan los datos relacionados con las tarjetas o transacciones. Este caso sería similar al del ataque de la empresa de procesamiento de pagos Heartland donde 130 millones de datos fueron robados. El ataque se realizó instalando programas escucha en las redes corporativas de empresas del Fortune 500, los programas interceptaron las transacciones de tarjetas de crédito y transmitieron la información a servidores en diferentes países. Este ataque se realizó desde finales del 2006 a principios del 2008 sin ser detectado en todo ese tiempo.

Para evitar este tipo de ataques y robos de datos es necesario contar con una protección completa contra el malware, activa y actualizada en todo momento, instalada correctamente en todos los terminales.

Post to Twitter

  • (4) Comments

Predicciones 2014

Queda menos de un mes para que dé comienzo el año 2014, por lo que es hora de preguntarnos a qué vamos a tener que enfrentarnos durante los próximos 12 meses.

Creación de malware. No vamos a ser muy originales, pero es una apuesta segura si decimos que 2014 será el año de la historia en el que más malware se cree. Lo mismo lo ha sido 2013, lo fue 2012, etc. La mayoría de este nuevo malware son variantes de ejemplares conocidos que mediante diferentes técnicas cambian de forma para evitar que los productos de seguridad puedan detectar las nuevas creaciones.

Vulnerabilidades. Java ha sido la causa de la mayoría de infecciones ocurridas a lo largo de 2013, y todo indica que lo seguirá siendo a lo largo del año 2014. El hecho de que se encuentre instalado en miles de millones de ordenadores y tenga un número aparentemente infinito de agujeros de seguridad hace que sea una de las elecciones predilectas por parte de los ciberdelincuentes. No existe en el mercado negro un Exploit Kit que se precie que no incluya al menos un puñado de vulnerabilidades de Java en su “menú”.

Ingeniería social. La ingeniería social es un apartado en el que los ciberdelincuentes han brillado por su creatividad. Tras el uso de vulnerabilidades, la segunda causa de las infecciones que sufren los usuarios son ellos mismos, tras resultar víctimas de algún engaño. Aunque muchos de ellos llegarán a través de mensajes de correo electrónico, la mayoría tendrán lugar en redes sociales, que es dónde los usuarios se reúnen para compartir información, convirtiéndose en el medio ideal para propagar rápidamente malware.

Móviles. Android seguirá siendo el principal objetivo de los ciberdelincuentes dentro de esta área, y se batirá un nuevo récord de amenazas para esta plataforma.

Ransomware. Junto con los troyanos bancarios y bots, los protagonistas de los ataques que amenazarán a los usuarios serán aquellos que utilizan técnicas de ransomware: pidiendo un rescate para volver a utilizar el equipo, recuperar información (CryptoLocker), eliminar una supuesta infección (Falso Antivirus) o incluso pagar una supuesta multa (virus de la policía). Es un método mediante el que los ciberdelincuentes pueden obtener una ganancia económica directa, motivo por el que estos ataques aumentarán e incluso se extenderán a otro tipo de dispositivos, como los smartphones.

Seguridad en empresas. Los ataques son cada vez más agresivos (como los llevados a cabo por Cryptolocker) y las empresas además sufren ataques dirigidos, lo que llevará a que demanden medidas extras de seguridad que vayan mucho más allá de la protección que les proporciona un antivirus “tradicional”. Las antiguas soluciones perimetrales siguen siendo necesarias, aunque en determinados escenarios a los que se enfrentan las empresas son completamente irrelevantes: usuarios que conectan sus dispositivos personales a sus ordenadores de trabajo, a la red de la empresa… Por no hablar de los propios gobiernos espiando a empresas (NSA, etc.). Es por todo esto que veremos surgir nuevas soluciones que respondan a esta demanda y ofrezcan un nivel de fortificación que garantice de forma mucho más efectiva la seguridad de la información.

Internet of Things. El número de todo tipo de aparatos conectados a Internet no deja de aumentar, y va a seguir por este camino. Cámaras IP, televisores, reproductores multimedia ya forman parte de Internet, y en muchos casos además cuentan con una característica que los diferencia de los ordenadores o móviles y tabletas: raramente son actualizados por parte de los usuarios. Esto significa que son extremadamente vulnerables a agujeros de seguridad, por lo que es muy probable que comencemos a presenciar ataques que tengan como objetivo este tipo de dispositivos.

Post to Twitter

  • (8) Comments

Falso Antivirus + Ransomware = Windows Expert Console

En los últimos meses hemos estado hablando principalmente de infecciones causadas por el virus de la policía, y más recientemente por CryptoLocker, la nueva familia de ransomware que está causando estragos. Sin embargo esto no significa que nuestros “viejos amigos” conocidos como falsos antivirus (FakeAV) no estén danzando por aquí. Los FakeAV han estado infectando usuarios durante años y no han desaparecido, aunque es cierto que su prevalencia no es tan alta como lo fue en el pasado. Sin embargo esta semana hemos visto un aumento de ataques protagonizados por FakeAV utilizando agresivas estrategias mediante técnicas tipo ransomware.

El fichero de malware utiliza el siguiente icono:

windows expert icono

Normalmente llega al ordenador con el nombre “cleaner.exe”, aunque lo hemos visto utilizando diferentes nombres. En cuanto se ejecuta, aparece un pantalla donde muestra el progreso de la instalación de un programa llamado “Windows Expert Console”:

windows expert 1

Dura unos pocos segundos, y antes de que el usuario sea capaz de reaccionar reinicia el ordenador. Una vez reiniciado aparece la siguiente pantalla y no permite al usuario hacer nada en su ordenador:

windows expert_eng

Si intentas volver al escritorio o ejecutar cualquier aplicación, no te será permitido. Lo único que puedes hacer es pulsar sobre el botón “Remove All”, que te llevará a una nueva pantalla para que compres una licencia de este FakeAV. Cuesta 99$.

Al mismo tiempo que encontramos este malware, detectamos otra variante, algo menos agresiva (no bloquea tu ordenador) aunque comparten la misma interfaz, la única diferencia es el nombre, esta nueva se llama VirusBuster, al igual que la histórica compañía antivirus que cerró el año pasado. En este caso te muestra alertas de este tipo para hacer que pages la licencia:

virusbuster3

Como os he comentado, ambos FakeAV comparten la misma interfaz, y además están en 4 idiomas diferentes (inglés, español, alemán y francés), en este GIF animado podéis ver cómo son:

virusbuster-windows expert

Se te has infectado con alguno de estos, puedes seguir las instrucciones de uso de nuestra herramienta gratuita Panda Cloud Cleaner.

Post to Twitter

  • (0) Comments
  • Hazte fan



    Panda Security on Facebook

  • Blogroll

  • Categorías