Análisis de #Malware en #WordPress por ESET

A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero, a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.

Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tal motivo, el más atacado. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.

¿Cuál es el impacto de un sitio comprometido?

Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.

Un caso real

Hace unos días comenzamos a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tránsito; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o sigue estándolo).

Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con él.

wordpress comprometido

Luego de descargar la amenaza, observamos que se trataba de un JavaScript malicioso. Al finalizar el análisis descubrimos que el script tenía como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No podemos dejar de destacar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.

Como te habrás dado cuenta, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.

2-code

Al obtener los dos archivos que el JavaScript intenta descargar, corroboramos que se trataba de un ejecutable y un comprimido. Analizando el primero observamos que era 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.

Tal como se ve en la siguiente captura, obtuvimos un ejecutable, al cual los productos de ESET detectan como Win32/Spy.Banker. Como la firma describe, es un malware encargado de robar credenciales bancarias.

3-detection

Conclusión

Existen muchos y variados casos como el que acabamos de presentar porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio o para nuestro negocio. Por tales motivos, es crucial mantenerte actualizado e informado al respecto de las amenazas y vulnerabilidades que podrían afectarte, para luego tomar las precauciones necesarias e instalar los parches de seguridad.

Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress son:

  • Actualizar WordPress, complementos y temas
  • No tener más de un CMS en un mismo servidor
  • Instalar complementos conocidos y de confianza
  • Usar temas de WordPress seguros y de confianza
  • Utilizar contraseñas robustas

De esta forma, evitarás ser víctima de ciberataques.

Fuente: We Live Security

Salteando las protecciones que ofrecen los AV’s

Black Hills Information Society hace todos los años un webcast llamado Sacred Cash Cow Tipping, donde muestran como bypassear la gran mayoría de los productos de AV y explican exactamente como lo hicieron. Ésto lo hacen para que las compañías entiendan que esos puntos de defensa no siempre representan una barrera de seguridad total para un atacante. Les dejo el último video que realizaron (2017), explicando sus ataques paso a paso:

Si quieren conocer más de ellos, visiten BlackHill InfoSec.

El #FBI retira cargos contra un pedófilo para evitar revelar su descubrimiento en la #DeepWeb

El FBI se ha visto en medio de un debate controvertido con respecto a la incriminación de Jay Michaud, un profesor de Instituto del estado de Washington, que presuntamente estaba relacionado con Playpen. Para quienes no sepan a qué nos referimos, se trata de una web de la Darknet dirigida a pedófilos.

Los agentes federales consiguieron pruebas de que Michaud era un usuario activo del foro de pederastas (si encuentras uno denúncialo siguiendo estos pasos) y que había comprado material ilegal, pero retiraron los cargos el pasado mes de diciembre para sorpresa de todo el mundo. La razón principal para ello es no divulgar la tecnología usada para identificar a pedófilos al gran público, según han publicado en DeepDotWeb.

Además del uso de medios de vigilancia electrónicos, también se registró el domicilio de este profesor, donde encontraron una colección de pornografía infantil y pruebas suficientes como para llevar el caso ante los tribunales. Pero hubo algo con lo que no contaban.

Read More

“123456”, la peor contraseña del 2016 (por tercer año consecutivo)

Lo hemos vuelto a hacer. De acuerdo con el listado de las peores contraseñas de 2016 publicado recientemente por la desarrolladora de software de seguridad SplashData, hemos vuelto a colocar “123456” en el número 1 de las contraseñas más usadas, en una lista recopilada de entre más de dos millones de contraseñas.

A primera vista dan ganas de tomarse el listado a risa, porque realmente cuesta creer que a estas alturas todavía haya gente que usa “123456” o “password” como contraseña para proteger cosas tan importantes como su correo electrónico o el acceso online al banco. Pero si repasamos los informes de SplashData de otros años y analizamos un poco la tendencia, vemos el asunto es bastante serio.

Cómo se elabora el listado

SplashData, creadora del gestor de contraseñas SplashID, lleva cinco años elaborando este informe anual. Y no falla: cada año demuestra que la gente, a pesar de los peligros que ello conlleva, sigue usando contraseñas que comprometen su seguridad online.

Read More

Ejemplos para hacer #GoogleHacking

Para hacer Google Hacking, tienes que conocer los operadores avanzados de búsqueda de Google o comandos de búsqueda avanzada de Google, que se pueden incluír en el recuadro normal de búsquedas individualmente o combinados entre sí. Luego pondré ejemplos reales de esto, no te preocupes si no lo entiendes ahora. Además, tienes más información en la guía de Google sobre sus comandos de búsqueda avanzada de Google. Aquí van los principales comandos de búsqueda avanzada Google:

  • ” ” (comillas): buscar frase exacta
  • and or not: operadores lógicos “y” o “no”
  • + y -: incluír y excluír. Ej: jaguar -coches: busca la palabra “jaguar”, pero omite las webs con la palabra “coches”
  • * (asterisco): comodín, cualquier palabra, pero una sóla palabra
  • . (punto): comodín, cualquier palabra, una o muchas
  • intitle o allintitle: la expresión buscada está en el título
  • inurl o allinurl: la expresión buscada está en la url
  • site: sólo busca resultados dentro de la web que va detrás de “site:”
  • filetype: sólo busca archivos de un tipo (doc, xls, txt…)
  • link: sólo busca en páginas que tienen un link a una determinada web
  • inanchor: sólo busca en páginas que tienen en el texto de enlace la expresión buscada
  • cache: muestra el resultado en la cache de Google de una pagina web
  • related: busca webs relacionadas con una determinada

Read More

Buscando en los #metadatos en archivos #APK

En nuestro rol de investigadores de seguridad, recurrentemente debemos practicar ingeniería reversa de las muestras que están bajo nuestro escrutinio. Usualmente, los algoritmos que otorgan al malware su funcionamiento eclipsan el análisis; no obstante, un archivo ejecutable puede sutilmente ocultar entre sus metadatos otras pistas de utilidad.

Certificado de la aplicación

Parte de los datos que muchos analistas olvidan chequear al momento de estudiar una muestra se encuentran en el certificado con el que fue firmada la aplicación. Este certificado suele llevar el nombre de CERT.RSA y se encuentra en la carpeta META-INF dentro del APK.

Contiene un conjunto de datos que pueden llegar a ser muy útiles cuando intentamos seguir los pasos de un único desarrollador de malware en el marco de una campaña de códigos maliciosos. Para leer la información en él almacenada podemos utilizar la herramienta keytool de JRE con la siguiente línea de comando:

keytool -printcert -file META-INF\CERT.RSA

Read More

Webs y extensiones para mejorar tu seguridad online

En Internet nunca se está demasiado seguro. Cada día aparecen nuevas amenazas, ya sea atacando la seguridad de tus dispositivos conectados o intentando recolectar tus datos. Tiene sentido, por tanto, que como usuario hagas lo que esté en tu poder para seguir estando seguro.

Y lo que Internet te quita, Internet te lo da. Los desarrolladores han creado desde webs a extensiones pro-privacidad que impedirán que tus datos salten a quien no deben, a la par que monitorizarán el estado de tu seguridad. En este artículo te vamos a dar siete soluciones que puedes empezar a usar ya mismo.

Two Factor Auth

Two Factor Auth List

Read More

Los mensajes de #Whatsapp, podrían ser interceptados y leídos.

Un investigador ha descubierto un agujero de seguridad en WhatsApp que permite a terceros interceptar y leer los mensajes cifrados. Tobias Boelter, especialista en criptografía y seguridad de la Universidad de Berkeley, California, cree que la falla contradice la afirmación de WhatsApp de que nadie es capaz de descifrar los mensajes que se envían los usuarios. “Ni cibercriminales. Ni hackers. Ni regímenes opresivos. Ni siquiera nosotros”, había dicho la empresa al implementar el cifrado de punto a punto.

Pero en una exclusiva con The Guardian, Boelter afirmó que en abril de 2016 le había notificado a Facebook, dueña de la app de mensajería, que existía este problema. En respuesta, la compañía dijo que sabía del tema y que no estaba trabajando activamente en él, ya que se trataba de un comportamiento esperado. Ahora bien, ¿qué es exactamente lo que se descubrió?

Read More

Verificando la seguridad TLS/SSL en dispositivos móviles y aplicaciones

Nogotofail es una herramienta de prueba de seguridad de red diseñada por Google para ayudar a los desarrolladores y los investigadores de seguridad a detectar y corregir conexiones TLS/SSL vulnerables y tráfico que se transporta texto sensible, en dispositivos y aplicaciones, de una manera: flexible, escalable y potente. Incluye pruebas para problemas comunes de: verificación de certificados SSL, bugs de bibliotecas HTTPS y TLS/SSL, SSL y STARTTLS.
Nogotofail se compone de una red  de rutas para realizar MiTM y clientes opcionales para los dispositivos que se están probando. Depende sólo de los paquetes Python 2.7 y pyOpenSSL 0.13 o superior. El proceso de MiTM está diseñado para trabajar en máquinas Linux y los modos transparentes de captura de tráfico son específicos de Linux y también requieren iptables. Nogotofail fue desarrollado para ser una herramienta automatizada, potente, flexible y escalable, para probar los problemas de seguridad de red en cualquier dispositivo en el que se pueda hacer pasar el trafico de la red. El propósito de esta herramienta es poder abarcar los siguientes aspectos:

  • Encontrar bugs y vulnerabilidades.
  • Verificación de correcciones y observación de regresiones de trafico.
  • Comprender qué aplicaciones y dispositivos generan qué tráfico.

Nogotofail es completamente agnóstico al puerto usado y en su lugar detecta el tráfico vulnerable utilizando DPI en lugar de basarse en número de puertos. Además, debido a que utiliza DPI, es capaz de probar tráfico TLS/SSL en protocolos que utilizan STARTTLS.

Nogotofail no ataca destructivamente todas las conexiones TLS/SSL que ve, porque tales ataques llevan a clientes no vulnerables a abortar las conexiones atacadas. Si se atacan todas las conexiones, es posible que nunca se lleguen a ver conexiones vulnerables, que tengan una dependencia en una conexión no vulnerable. Por ejemplo, digamos que hay que iniciar sesión en un servicio a través de HTTPS, antes de poder realizar alguna acción que arroje como resultado un tráfico vulnerable, si el inicio de sesión nunca tiene éxito, nunca se llegara al tráfico vulnerable. Además, la lógica de reintento típica enmascara errores de conexión transitorios. Por lo tanto, el uso de una baja probabilidad de ataque deja los dispositivos en un estado utilizable. Esto permite dejar los dispositivos en Nogotofail durante largos períodos de tiempo y seguir utilizándolos normalmente, lo que resulta un marco de prueba mucho mejor. Con un 10% de probabilidad, las tentativas de conexión ocultan los problemas causados por el ataque a las conexiones TLS/SSL y la mayoría de los dispositivos que hemos visto tienden a funcionar sin problema. Por supuesto, es posible probar una conexión específica agresivamente, poniendo la probabilidad hasta el 100%.

Al realizar pruebas en dispositivos reales, puede ser muy difícil determinar qué componente o aplicación ha creado una conexión vulnerable. Incluso ver el contenido y el destino no siempre es suficiente para ayudar a averiguar lo que hizo la conexión. Las conexiones realizadas por una aplicación en segundo plano, por ejemplo, pueden ser casi imposibles de atribuir si se está conectando a un punto final común. Es mucho mejor poder simplemente preguntar al dispositivo que hizo la conexión. Esto se logra al tener el cliente opcional Nogotofail ejecutado en el dispositivo comunicándose con el proceso de MiTM.