Hydra, el malware que afecta tanto a entidades bancarias como a exchange de criptomonedas

Como es sabido, los dispositivos móviles Android no están a salvo de ser afectados por cualquier tipo de malware, ya que cada año se actualizan o diseñan nuevas familias con el fin de comprometer este tipo de dispositivos. Estas son distribuidas a través de la Play Store, a través de markets no oficiales e incluso redes sociales.

Hydra es una de estas familias, siendo un troyano bancario para Android que está basado en la superposición, algo similar a las famosas familias Anubis o Cerberus. En sus inicios, estaba dirigido exclusivamente al sector bancario turco, sin embargo, en las últimas muestras estudiadas, se ha detectado la incorporación de nuevas entidades de Europa y Latinoamérica.

Lo realmente novedoso es que también se han incluido un gran número de ‘exchanges’ de criptomonedas en la lista de entidades a atacar, haciendo posible el robo de las cuentas de los usuarios e incluso ‘wallets’.

Esta familia no es nueva, se detectó por primera vez en 2018 pero no es hasta 2019 cuando el malware comenzó a incorporar funcionalidades de troyano bancario.

Como toda aplicación maliciosa, esta intentará obtener repetidamente todos los permisos del dispositivo de manera insistente, provocando que el usuario se vea obligado a otorgar los permisos, debido a que entra en bucle hasta que estos son aceptados. Los permisos son los siguientes:

Una vez obtenga estos permisos se ocultará el icono de la aplicación produciendo que sea muy complicado para el usuario desinstalar la muestra. Además, el malware se encontrará monitorizando el acceso del usuario a los ajustes del sistemas y cualquier intento de deshacer los permisos será bloqueado.

En cuanto a las comunicaciones de red en la segunda petición al servidor remoto recibe un APK con el payload real. La muestra inicial únicamente hace de dropper/loader.

En posteriores peticiones recibe la configuración del servidor:

Esta familia cuenta con una gran cantidad de características que hacen del malware algo especial. Estas son las siguientes:

  1. Anti-Emulación: Con el fin de evitar que se ejecute en entornos de análisis dispone de diferentes comprobaciones.
  2. Control remoto del dispositivo: Se descarga la aplicación TeamViewer para luego después ocultar el icono y utilizarla para tomar el control del dispositivo.
  3. Monitorización de los SMS: Permite ver todos los mensajes SMS del dispositivo de la víctima, tanto la aplicación por defecto como otras aplicaciones que se utilizan para el mismo fin.
  4. Monitorización de notificaciones: Observa y controla todas las notificaciones del dispositivo.
  5. Control de aplicaciones: Permite instalar y desinstalar cualquier aplicación.
  6. Componente PIN: Métodos para controlar y resetear el PIN del dispositivo.
  7. Control de códigos USSD.
  8. SOCKS5: Implementa un servidor proxy SOCKS5.
  9. Keylogger: Capaz de registrar las pulsaciones que se realizan en el teclado.
  10. Comandos: Gestor de comandos recibidos por el C2.
  11. Inyecciones: Permite hacer inyecciones de cookies/Webviews.

Los países de las nuevas entidades afectadas

  • Argentina (ar)
  • Canadá (ca)
  • Bélgica (be)
  • Portugal (pt)
  • Colombia (co)
  • República Checa (cz)
  • Alemania (de)
  • Reino Unido (uk)
  • España (es)
  • Estados Unidos (ue)
  • Francia (fr)
  • Italia (it)
  • Hungría (hr)
  • Israel (il)
  • Ucrania (io)
  • Indonesia (id)
  • Vietnam (my)
  • Perú (pe)
  • Polonia (pl)
  • Arabia Saudita (sa)

Fuente: Hispasec.com

PsExec: nueva implementación sobre el puerto 135

La compañía Israelí Pentera publicó un informe de seguridad en el que muestra el desarrollo de una nueva implementación para la utilidad PsExec, dicha implementación permite moverse lateralmente en una red utilizando el puerto 135/TCP en vez del tradicional puerto 445/TCP de Windows, un puerto menos vigilado.

PsExec está diseñado para ayudar a los administradores a ejecutar procesos de forma remota en las máquinas de la red sin necesidad de instalar software adicional.

Las diferentes implementaciones de PsExec como la que utiliza Impacket, son de sobra conocidas por los atacantes y las utilizan de forma frecuente en las etapas posteriores a la explotación de un ataque, para propagarse en la red, ejecutar comandos en múltiples sistemas o desplegar malware.

¿Cómo funciona PsExec?

PsExec normalmente utiliza el protocolo SMB para ejecutarse, y la mayoría de las veces se ejecuta en el puerto 445. Requiere SMB para enumerar los recursos compartidos en los cuales se tenga permisos de escritura, posteriormente puede utilizar uno de los recursos compartidos con permisos de escritura para cargar un ejecutable en él. La herramienta también utiliza SMB para mostrar al usuario la respuesta de los comandos.

PsExec requiere tres parámetros para ejecutarse: nombre del ordenador, credenciales de usuario y un comando. Como hemos comentado anteriormente PsExec no requiere ninguna instalación; todo lo que necesita para funcionar es que esté habilitado el uso compartido de archivos e impresoras de Windows en la máquina remota, así como un directorio/carpeta compartida disponible con permisos de escritura para las credenciales del usuario empleado.

Tanto la versión original como la variante de Impacket funcionan de forma similar. Utilizan una conexión SMB y se basan en el puerto 445, que debe estar abierto para comunicarse a través del protocolo de intercambio de archivos de red SMB.

Las llamadas a procedimientos remotos (RPC) es un protocolo que proporciona una comunicación de alto nivel con el sistema operativo. Se basan en la existencia de un protocolo de transporte, como TCP o SMB, para hacer llegar los mensajes entre las aplicaciones/servicios que se quieren comunicar. RPC implementa muchas funciones que pueden ayudar a un usuario a crear, gestionar y ejecutar servicios en el sistema operativo.

Nueva Implementación de PsExec

Pentera pudo construir una implementación de PsExec basada únicamente en el puerto 135, utilizando las librerías de Impacket.  Esta implementación también utiliza una conexión SMB y se basa en el puerto 445. Utiliza métodos DCE/RPC  como el SVCCTL, que se utiliza para gestionar los servicios de Windows a través del SCM (Service Control Manager)

Pentera descubrió que el protocolo SMB se utiliza para cargar el ejecutable, reenviar la entrada y la salida. Los comandos se ejecutan utilizando llamadas DCE/RPC, y los procesos se ejecutan independientemente de la salida.

Fuente: Pentera Labs

La nueva implementación del PsExec de Pentera hace uso de llamadas RPC para poder crear un servicio que ejecute un comando de su elección, e iniciar el servicio, sin el uso del puerto 445. Esta implementación no muestra una salida de ejecución.

Fuente: Pentera Labs

Conclusiones

Cuando tratamos de protegernos de este tipo de movimientos laterales, la mayoría de las veces solemos centrarnos en el puerto 445 como la «fuente de todos los males». Sin embargo, a veces olvidamos que el puerto 135 también puede ejecutar SMB.

Hay que tener en cuenta que SMB no es el único protocolo explotable. DCE/RPC, como se ha comentado anteriormente, es un protocolo mucho más valioso para los atacantes en comparación con SMB, y sin embargo muchas veces se pasa por alto y/o no se vigila adecuadamente.


Fuente: Hispasec.com

Google Chrome recibe actualización de emergencia debido a un 0-day

La gigante tecnológica Google lanzó el jueves un parche de emergencia con el propósito de aislar un fallo de seguridad de día cero trás las primeras incidencias debida a la explotación del mismo en su navegador web Chrome.

La vulnerabilidad, fue denominada con el siguiente codigo cve; CVE-2022-3723, descrita como una importante amenaza de seguridad tipográfica en el motor V8 de javaScript.

El parche que corresponde a los arreglos que solucionan esta vulnerabilidad corresponde a las versiones de Google Chrome 107.0.5304.87 para Mac y Linux y 107.0.5304.87/.88 para Windows.

Los investigadores de seguridad Jan Vojtěšek, Milánek y Przemek Gmerek, de Avast, han sido los encargados de informar sobre el fallo el 25 de octubre de 2022.

«En google somos conscientes de estos informes y de que existe un exploit para CVE-2022-3723».

Declaraciones de Google

Según la Enumeración de Debilidades Comunes de MITRE, los errores de confusión de tipo surgen cuando el programa asigna o inicializa un recurso como un puntero, objeto o variable utilizando un tipo, pero posteriormente accede a ese recurso utilizando un tipo que es incompatible con el tipo original. El error de “confusión” de tipos permite a un atacante realizar un acceso a la memoria fuera de los límites.

Entrando mas en detalles, CVE-2022-3723 es el tercero de este tipo de fallos explotado activamente en el motor V8 este año, tras CVE-2022-1096 y CVE-2022-1364.

Esta última corrección también designa la resolución del séptimo día cero en Google Chrome desde el comienzo de 2022.

Por motivos de seguridad, Google sólo revelará todos los detalles de la vulnerabilidad una vez que la mayoría de los usuarios hayan actualizado. Ya que a menudo este tipo de vulnerabilidades pueden utilizarse para ejecutar código arbitrario o escapar de la sandbox de seguridad del navegador, por lo que los investigadores interesados deben esperar a que Google comparta en un fúturo mas detalles.


Fuente: https://unaaldia.hispasec.com

El virus que utiliza YouTube como medio de propagación

La famosa plataforma de vídeos YouTube, esta siendo protagonista como método de propagación de malware a través de videos enfocados a un público más juvenil, utilizando vídeos sobre videojuegos para propagar esta amenaza.

Un nuevo paquete malicioso usa los canales de YouTube de las víctimas para subir tutoriales en vídeo, que promueven trampas y trucos falsos para videojuegos populares para propagar aún más el paquete malicioso.

El paquete malicioso de autopropagación se ha promocionado en videos de YouTube dirigidos a jugadores de videojuegos. Estos vídeos cargados contenían enlaces para descargar cracks y trucos falsos, pero en realidad instalaron el mismo paquete de software malicioso autopropagante que infectó al usuario que los subió.

En un nuevo informe de Kaspersky, los investigadores descubrieron un archivo RAR que contenía una colección de malware, sobre todo RedLine, uno de los ladrones de información más extendidos que existen.

RedLine puede robar información almacenada en el navegador web de una víctima, como cookies, contraseñas de cuentas y tarjetas de crédito, acceder a conversaciones de mensajería instantánea y comprometer carteras de criptomonedas.

Además, el archivo RAR contiene un malware minero que utilizaba la tarjeta gráfica de la víctima para extraer criptomonedas para los atacantes.

Gracias a NirCmd cuando se ejecuta, todos los binarios están ocultos y no generan ningún ícono en las ventanas o barras de tareas en la interfaz, por lo que la víctima no será consciente. Los ejecutables infectados y empaquetados no son particularmente interesantes por sí solos, los actores maliciosos a menudo los emplean en otras campañas de distribución de malware.

Este método agresivo de distribución dificulta la censura y la eliminación en YouTube porque los videos que apuntan a descargas maliciosas se cargan desde cuentas que pueden tener un largo historial de limpieza.

Se recomienda mucha precaución a la hora de descargar contenido desde canales de origen desconocido ya que este es el principal método de propagación del virus.


Fuente: Hispasec.com

Meta identifica más de 400 aplicaciones móviles maliciosas diseñadas para robar credenciales de Facebook

Meta ha identificado 355 aplicaciones maliciosas en la Play Store y 47 en App Store especialmente diseñadas para robar usuarios y passwords de los usuarios de Facebook. Estas aplicaciones suplantaron aplicaciones normalmente relacionadas con el ocio, escondiendo en su programación mecanismos para el robo de credenciales.

Estos mecanismos eran bien simples, ya que simulaban la web de Facebook para engañar al usuario y en vez de iniciar sesión en Facebook, lo que estaba haciendo es darle esas credenciales al atacante, lo que viene a ser un Phishing de toda la vida pero escondido dentro de una aplicación.

Estas aplicaciones tomaban la apariencia de aplicaciones inocuas, la mayor parte de ellas, un 46,2%, se hacían pasar por editores de fotos, las aplicaciones de juegos representaron el 11,7 % y las aplicaciones VPN un 11,7 %.

Entre las medidas de prevención llevadas a cabo por la compañía se encuentra el envío de alertas educativas a casi un millón de usuarios que se estima que han podido caer en las redes del phishing, además todas las aplicaciones fraudulentas han sido notificadas a Google y Apple a través de sus respectivos markets de aplicaciones.


Fuente: Hispasec.com

Se multiplican por ocho los ataques a través de una antigua vulnerabilidad de Microsoft Office

Los exploits contra MS Office suponen el 82% del total de incidentes en las distintas plataformas, según el último informe trimestral sobre malware de Kaspersky.

Las versiones antiguas de las aplicaciones siguen siendo el principal objetivo de los atacantes, con casi 547.000 usuarios afectados en total en el último trimestre. Además, el número de usuarios afectados por la vulnerabilidad de ejecución remota de código MSHTML de Microsoft, que ya se había detectado en ataques dirigidos, se multiplicó por ocho.  

En el segundo trimestre de 2022, el número de ataques que explotan las vulnerabilidades del paquete de Microsoft Office aumentó, representando ahora el 82% del número total de exploits para diferentes plataformas y software, como Adobe Flash, Android, Java, etc. 

Los expertos de Kaspersky descubrieron que los exploits de la vulnerabilidad, denominada CVE-2021-40444, se utilizaron para atacar a casi 5.000 personas durante el segundo trimestre de 2022, siendo de ellas 292 en España, lo que supone ocho veces más que durante los tres primeros meses del año. Esta vulnerabilidad zero-day en el motor MSHTML de Internet Explorer se notificó por primera vez en septiembre de 2021. El motor es un componente del sistema utilizado por las aplicaciones de Microsoft Office para gestionar el contenido web. Cuando se utiliza, permite la ejecución remota de código malicioso en los ordenadores de las víctimas. 

Según los datos de telemetría de Kaspersky, CVE-2021-40444 fue empleado anteriormente para ataques dirigidos  a organizaciones dedicadas a la investigación y desarrollo, energía e industria, tecnología financiera y médica, así como telecomunicaciones e informática.

«Dado que la vulnerabilidad es bastante fácil de usar, esperamos un aumento de su explotación. Los ciberdelincuentes elaboran documentos maliciosos y convencen a sus víctimas para que los abran mediante técnicas de ingeniería social. A continuación, la aplicación de Microsoft Office descarga y ejecuta un script malicioso. Para estar protegidos, es fundamental instalar el parche del proveedor, utilizar soluciones de seguridad capaces de detectar la explotación de la vulnerabilidad y mantener a los empleados al tanto de las ciberamenazas modernas», comenta Alexander Kolesnikov, analista de malware de Kaspersky.

Las versiones antiguas del paquete de Microsoft Office atraen a los ciberatacantes

CVE-2018-0802 y CVE-2017-11882 han liderado el número de ataques en cuanto al total de víctimas en el segundo trimestre de 2022, experimentando un ligero aumento respecto al primero. Se utilizaron para atacar a casi 487.000 usuarios a través de versiones antiguas de los programas de la suite Microsoft Office, que siguen siendo bastante populares y todavía siguen siendo un objetivo muy atractivo para los delincuentes. Aprovechando estas vulnerabilidades, los atacantes solían distribuir documentos maliciosos para dañar la memoria del componente Equation Editor y ejecutar código malicioso en el ordenador de la víctima. En España, el número de afectados por estas dos vulnerabilidades en el segundo trimestre fue respectivamente de 24.847 y 4.711. 

El número de usuarios afectados por la CVE-2017-0199 creció un 59% hasta superar los 60.000. Si se explota con éxito, esta vulnerabilidad permite a los atacantes controlar el ordenador de la víctima y ver, cambiar o eliminar datos sin su conocimiento. Los datos españoles en este caso muestran 1.596 afectados. 

Para prevenir los ataques a través de las vulnerabilidades de Microsoft Office, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

  • Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto único de acceso a la TI de la compañía, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos complicados, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso. Solicite el acceso online.
  • Recibir información relevante y actualizada sobre las amenazas a tener en cuenta y las TTPs utilizadas por los atacantes.
  • Se aconseja a las empresas que utilicen una solución de seguridad que ofrezca componentes de gestión de vulnerabilidades, como la Prevención Automática de Exploit de Kaspersky Endpoint Security for Business. Este componente supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.

Utilizar soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response que ayudan a detectar y prevenir los ataques en una etapa temprana, antes de que los atacantes puedan lograr sus objetivos.


Fuente: Diarioti.com

RatMilad, el nuevo spyware para Android que apunta a dispositivos empresariales

Zimperium Inc (Compañía de seguridad móvil) compartió recientemente su investigación sobre el nuevo software espía (RatMilad) para Android que enfoca principalmente como target a dispositivos empresariales.

Nombrado como ‘RatMilad’, donde la variante original fue detectada detrás de una app llamada Text Me, la cuál no es más que una aplicación virtual de red privada y suplantación de números de teléfono.

Tras la identificación de este software espía, el mismo equipo descubrió también una muestra en vivo de la familia de malware que se esconde y se distribuye a través de NumRent, una versión más actualizada de la propia Text Me.

Tras una larga indagación sobre este spyware, los investigadores descubrieron evidencias que vinculaba a RatMilad con el grupo de ciberdelincuentes AppMilad, con sede principal en Irán.

Esta vinculación se descubrió a través de links en las redes sociales y herramientas de comunicación, incluyendo entre otras a Telegram, las cuales se utilizaban para distribuir e incitar a los usuarios a descargar el conjunto de tools falsas y habilitar en sus dispositivos los permisos para este grupo cibercriminal.

Además, estos desarrollaron y desplegaron un sitio web donde se anunciaba la aplicación “haciendo ingeniería social” a las víctimas para que creyeran que era legítima.

Cuando los usuarios permitían que estas dos aplicaciones anteriormente mencionadas (Text Me y NumRent) accedieran a múltiples servicios, este spyware se instalaba mediante transferencia, permitiendo a los cibercriminales recopilar y controlar aspectos del correspondiente dispositivo.

Entre otros permisos se le solicitaba casi el acceso completo al móvil, permitiendo ver contactos, registros de llamadas, ubicaciones y archivos entre otros contenidos.

Además de permitir enviar mensajes de texto SMS y realizar llamadas telefónicas, grabar vídeos, activar la cámara del móvil, hacer fotos, grabar audios, obtener ubicación y muchísimo más.

“Aunque este no es como otros ataques generalizados que hemos visto en las noticias, el software espía RatMilad y el grupo de piratas informáticos con sede en Irán AppMilad representan un entorno cambiante que afecta la seguridad de los dispositivos móviles. Desde Pegasus hasta PhoneSpy, existe un creciente mercado de spyware móvil disponible a través de fuentes legítimas e ilegítimas y RatMilad es solo uno de ellos”.

Richar Melick, director de inteligencia de amenazas móvil de Zimperium

También añadió que este grupo recopiló datos privados y muy críticos, poniendo en riesgo tanto a usuarios particulares como a empresas.


Fuente: Hispasec.com

Ataque de cifrado de datos en sistemas Windows con BitLocker

Microsoft ha publicado una investigación realizada al grupo iraní conocido como DEV-0270 en la que han realizado ataques de cifrado de datos a víctimas usando la herramienta de cifrado de discos BitLocker que incorpora el propio sistema operativo de Microsoft.

El equipo de inteligencia de amenazas de Microsoft asegura que el grupo DEV-0270 (también conocido como Nemesis Kitten) ha estado abusando de la función BitLocker de Windows en sus ataques y la ha usado para cifrar los datos de los discos de sus víctimas con la posterior petición de rescate a las mismas.

Los analistas de Microsoft comentan que los atacantes aprovechan las recientes vulnerabilidades de seguridad reveladas y LOLBINs (Living Off the Land Binaries, una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja) en sus ataques.

En este caso concreto se usa BitLocker, una función de protección de datos que proporciona cifrado de volumen completo en dispositivos que ejecutan Windows 10, Windows 11 o Windows Server 2016 y superior.

Cadena de ataque de DEV-0270 (Microsoft)

Según la investigación, el grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto para Windows que permite el cifrado completo del disco duro de un dispositivo.

Desde el acceso de los atacantes a los equipos hasta la aparición de la nota de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves de desbloqueo de la información.

Para el descubrimiento de controladores de dominio, los atacantes hacen uso de los siguientes comandos de PowerShell y WMI:

"powershell.exe" /c Get-WMIObject Win32_NTDomain | findstr DomainController
"findstr.exe" DomainController

Microsoft dice que este grupo de atacantes es una división del grupo «Phosphorus» respaldado por Irán (conocido también como Charmin Kitten y APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a gobiernos, ONGs y organizaciones de defensa de todo el mundo.

El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).

Estas organizaciones también están vinculadas a Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.

El grupo suele ser oportunista en su orientación: escanean Internet para encontrar servidores y dispositivos, lo que hace que las organizaciones con servidores y dispositivos vulnerables y detectables sean susceptibles a estos ataques.

Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda a las empresas parchear sus servidores y equipos para bloquear los intentos de explotación y los posteriores ataques de ransomware.

Para estos casos, herramientas como SANA (Servicio de Análisis, Notificaciones y Alertas de seguridad), creada por Hispasec, ayudan a las empresas a monitorizar y gestionar las potenciales vulnerabilidades de sus sistemas.


Fuente: Hispasec.com

Dirección

 Calle 67 # 8-16. Oficina 304

Bogotá, D.C. 110231

Colombia

Contacto

 Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 +57 (601) 794-5739 Ext 2001

  +57 315 860-7000