Archive for Seguridad Informática

septiembre 21st 2016

Tordow, un troyano bancario que puede robar de todo

Número de lecturas: 500
{lang: 'es-419'}

Anteriormente vimos cómo las aplicaciones publicitarias, Leech, Guerrilla y Ztorg utilizaban derechos de root. Por el contrario, los ataques con el uso de privilegios de root no son típicos del malware bancario, porque pueden robar dinero de muchas formas que no necesitan derechos elevados. Pero a principios de febrero de 2016 Kaspersky Lab detectó el troyano bancario Trojan-B anker.AndroidOS.Tordow.a, cuyos creadores decidieron que los privilegios de root serían de utilidad. Hemos hecho un seguimiento del código de este malware y encontrado que las posibilidades de Tordow superan con creces las del malware bancario detectado anteriormente, lo que les permitió a los atacantes utilizar nuevos tipos de ataques.

Penetración

Tordow da inicio a la infección instalando una aplicación popular, por ejemplo VKontakte, Pokemo Go, Telegramm, Odnoklassniki o Subway Surf. Pero en este caso no se trata de las aplicaciones originales, sino de copias difundidas fuera de la tienda oficial Google Play. Los escritores de virus descargan nuevas aplicaciones, las desmontan y les agregan nuevos códigos y archivos.

Tordow, un troyano bancario que puede robar de todo

Código agregado a la aplicación legítima

Cualquier persona que tenga conocimientos básicos de desarrollo de aplicaciones para Android puede realizar estas operaciones. El resultado es una nueva aplicación que es muy similar a la original y ejecuta las mismas funciones que la aplicación legítima, pero tiene las funciones nocivas que los delincuentes necesitan.

Principio de funcionamiento

En el caso que analizamos, el código incrustado a la aplicación legítima descifra un archivo que los delincuentes añadieron a los recursos de la aplicación y lo ejecuta.

El archivo ejecutado se conecta al servidor de los delincuentes y descarga la parte principal de Tordow, que contiene enlaces para descargar varios otros archivos: un exploit para obtener privilegios de root, nuevas versiones del malware, etc. El número de enlaces puede cambiar en función de los planes de los delincuentes. Es más, cada archivo descargado puede a su vez descargar desde el servidor nuevos componentes, descifrarlos y ejecutarlos. Como resultado, en el dispositivo infectado se descargan varios módulos del malware y su número y funciones también dependen de los deseos de los dueños de Tordow. De una forma u otra, los delincuentes obtienen la posibilidad de administrar a distancia el dispositivo mediante el envío de comandos desde el servidor de administración.

Como resultado, los ciberdelincuentes reciben un conjunto completo de funciones para robar dinero al usuario, que ya se han convertido en tradicionales para los troyanos bancarios móviles y los troyanos extorsionistas. Entre las funciones de la aplicación nociva están las siguientes:

  • envío, robo y eliminación de mensajes de texto
  • grabación, redirección y bloqueo de llamadas
  • comprobación del balance
  • robo de los contactos
  • realización de llamadas
  • modificación del servidor de administración
  • descarga y ejecución de archivos
  • instalación y eliminación de aplicaciones
  • bloqueo del dispositivo y visualización de una página web determinada por los delincuentes
  • preparación y envío a los delincuentes de la lista de archivos contenidos en el dispositivo; envío y cambio de nombre de cualquier archivo
  • reinicio del teléfono

Derechos de root

Además de descargar los módulos del troyano bancario, Tordow (dentro de la secuencia de carga de módulos) descarga también un popular paquete de exploits para obtener derechos de root, lo que proporciona al malware un nuevo vector de ataque y posibilidades únicas.

En primer lugar, el troyano instala uno de los módulos descargados en la carpeta de sistema, lo que hace que sea difícil eliminarlo.

En segundo lugar, utilizando los derechos de root, los delincuentes roban las bases de datos del navegador preconfigurado de Android y del navegador Google Chrome, si está instalado.

Tordow, un troyano bancario que puede robar de todo

Código para enviar al servidor los datos de los navegadores

Estas bases de datos contienen todos los logins y contraseñas almacenadas por el usuario en el historial del navegador, los archivos cookies y a veces hasta los datos de tarjetas de banco almacenados.

Tordow, un troyano bancario que puede robar de todo

Nombre de usuario y contraseña de un sitio en particular en la base de datos del navegador

De esta manera los atacantes pueden obtener acceso a muchas cuentas en diferentes sitios.

Y en tercer lugar, los privilegios de root le permiten robar cualquier archivo del sistema, desde fotos y documentos, hasta los archivos con los datos de las cuentas de las aplicaciones móviles.

El resultado de este tipo de ataques puede ser una gran cantidad de robos de datos críticos del usuario. Le recomendamos que no instale aplicaciones desde fuentes no oficiales y que utilice soluciones antivirus para proteger su dispositivo Android.

Fuente:

securelist.lat

septiembre 14th 2016

5 Reglas básicas para cuidar la información de tu empresa

Número de lecturas: 525
{lang: 'es-419'}


Señalan que las empresas u organizaciones, al no cumplir uno de los puntos , se exponen principalmente a la pérdida de información SET Security Report 2016 se denomina el in­forme que analiza el estado de la seguridad informática en Latinoa­mérica. El mismo había destacado meses atrás que en Paraguay el 30,1% de las empresas encuestadas fue afectada por malware. Esto demuestra que el país posee una gran vulnerabilidad en cuanto a seguridad digital.
A modo de buscar cuales son las reglas básicas que toda empresa debe de rea­lizar para prevenir cual­quier delito informático y cuidar su información interna, conversamos con el ingeniero en informá­tica César Orué. El mismo destacó que la informa­ción es el activo intangible más valioso e importan­te con el que cuenta una empresa u organización. ‘‘Actualmente existen estándares, protocolos y herramientas que se im­plementan para minimi­zar un posible riesgo a la infraestructura informá­tica o a la información’’, señaló.
El ingeniero informático elaboro una lista de 5 reglas básicas que toda empresa debe de tener en cuenta a la hora de resguardar su información interna.

1- Contratar profesionales

La empresa debe contratar especialistas en el área de Redes y Networking, o en Seguridad de la Información, ya que estos profesionales están capacitados para satisfacer las necesidades de seguridad que la empresa requiera. Los mismos se encargarán de que el centro de datos o datacenter reúna y cumpla las condiciones mínimas de seguridad requeridas (por ejemplo: protección contra incendios, inundaciones, apagones y sobretensiones, vigilancia, control de accesos, mantenimiento de temperatura ambiente, etc.). Existen programas de Gestión de Calidad, como la ISO, que regula estos puntos.

2- Contraseñas

En cuanto al software, implementar contraseñas difíciles de acceder para el acceso a los datos, sistemas y archivos sensibles. Determinar distintos tipos de usuarios para el acceso restringido a la información y sistemas.

3- Sistemas de detección

La programación de los sistemas también debe cumplir estándares de seguridad al diseñar y desarrollar el software. Contar con antivirus de uso profesional, antiespías y otros sistemas de detección de intrusos.

4- Equipamiento adecuado

A nivel de red, es fundamental la utilización de equipos como routers y switches profesionales, firewall (cortafuegos), redes perimetrales de seguridad conocidos como DMZ, listas de control de acceso, entre otros.

5- Copias de seguridad

Lo más importante es la realización de copias de seguridad (backup) de la información. Se puede realizar en forma automática o manual, en otro servidor, y si es posible que esté fuera del datacenter principal.
RIESGOS

Orué señaló que las empresas u organizaciones, al no cumplir uno de los puntos citados anteriormente, se exponen principalmente a la pérdida de información. El otro riesgo es el robo o alteración de información por parte de personas inescrupulosas o hackers. Esto a su vez puede desencadenar en graves consecuencias para la entidad. “Imagínese que un banco sea atacado por hackers y los mismos puedan acceder a las cuentas bancarias de los clientes. Sería un problema catastrófico para la entidad bancaria” manifestó.

INVERSIÓN

El Ingeniero explicó además que todas las entidades que manejen información sensible a nivel informático están hoy día prácticamente obligadas a invertir en seguridad informática y seguridad de la información, pues un solo elemento de los requeridos no es suficiente para salvaguardar la información.
Aconsejó que lo mejor es invertir en recursos humanos, equipos informáticos fiables, software de seguridad y todas las herramientas de protección. “Y lo más importante: la infraestructura física y lógica de todo el sistema informático debe reunir los estándares de seguridad para garantizar un 99,9% de protección a la información” finalizó.

Fuente:

elmundo.com.ve

septiembre 12th 2016

Ciberdelincuentes perfeccionan su técnica para robar desde los cajeros automáticos

Número de lecturas: 465
{lang: 'es-419'}

No solo usan cámaras y dispositivos que capturan la información de la banda magnética de la tarjeta, sino que instalan un código malicioso para que el dispensador expulse todo el dinero. También captan datos de los usuarios.

El fin de semana pasado, hubo más de 250 denuncias tras la clonación masiva de tarjetas que habría ocurrido en un cajero automático intervenido por delincuentes en Providencia.
La clonación de tarjetas -y posterior robo de dinero- ya es una práctica delictiva habitual. El primer semestre de este año, el Sernac recibió 1.417 reclamos relacionados con clonación de tarjetas, 27% más que el año anterior.
La modalidad más usada en el país -dice el subprefecto Rodrigo Figueroa, jefe de la Brigada Investigadora del Cibercrimen Metropolitana- es la clonación de los datos contenidos en las bandas magnéticas de las tarjetas. “Esto se realiza mediante el uso de un aparato llamado skimmer y una microcámara para conocer la clave o PIN de acceso”.
La mayoría de las clonaciones de tarjetas en Chile son realizadas por personas provenientes de Europa del Este: Bulgaria, Rumania, Ucrania y Rusia. “Traen equipamiento de punta para intervenir los cajeros, ocultos al interior de otros equipos electrónicos, como computadores, monitores o cargadores de dispositivos, a fin de evitar su fiscalización al ingresar al país”, dice Figueroa.
En tanto, brasileños y colombianos atacan en su mayoría al comercio, que utiliza los sistemas de pago POS (el dispositivo en que se desliza la tarjeta), “los que son adulterados o cambiados por dispositivos falsos, que capturan la clave y datos de la tarjeta bancaria”, explica.
En la Cumbre Latinoamérica de Analistas de Seguridad, realizada hace unos días en Cabo San Lucas, México, una de los temas que se analizaron fue la evolución de los ataques a cajeros automáticos.
“Mientras algunos ciberdelincuentes siguen atacando a las personas, otros más avezados se dieron cuenta de que obtenían más dinero con menos esfuerzo al dirigir sus ataques contra los bancos y específicamente contra los cajeros”, dice Fabio Assolini, analista senior del equipo global de Investigación y Análisis en Kaspersky Lab.
“Muchos de los bancos usan cajeros viejos, con softwares obsoletos, como Windows XP. Además, la red está mal instalada, muchos tienen los cables a la vista, como también los routers de comunicaciones”, dice Assolini.
Esas vulnerabilidades son aprovechadas por los ciberdelincuentes para instalar un código malicioso. Otros utilizan a funcionarios corruptos dentro de la organización para infectar la red de cajeros.
Uno de los ataques que se está masificando en el último tiempo se conoce como jackpotting , y consiste en que el atacante toma control del cajero a través de un malware ( software malicioso), pudiendo hacer que expulse todo el dinero que contiene.
“También se han detectado otros tipos de ataques, denominados ‘caja negra’ ( black box ). Los delincuentes desconectan el dispensador de dinero del núcleo de la máquina y conectan su propio computador. Desde él envían comandos fraudulentos que expenden efectivo”, dice Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Pero lo más preocupante es que estos ataques no solo afectan a los bancos, sino también al usuario. “En Europa ya se ha detectado un nuevo tipo de malware llamado skimmer, que no solo permite sacar dinero del cajero, sino que también que el ciberdelincuente acceda a los datos de las personas que lo han usado y clonar sus tarjetas”, dice Assolini.
Latinoamérica no está libre de este tipo de técnicas para robar. Ya se ha detectado un malware creado en Brasil, y también se lo ha utilizado en Colombia y México.
El subprefecto Figueroa confirma esa versión: “En Centroamérica utilizan un dispositivo que se conecta directamente al router del cajero, el cual captura ‘en vuelo’ la información de la tarjeta y la clave que es enviada al banco emisor. Esto, sin necesidad de instalar cámaras ni skimmers . Una vez capturados, los datos son enviados al delincuente vía wifi o bluetooth”.

Fuente:

economiaynegocios.cl

septiembre 6th 2016

ChromePass, una aplicación para ver las contraseñas de Google Chrome

Número de lecturas: 635
{lang: 'es-419'}

Hoy en día, la forma más utilizada para identificarnos en las diferentes páginas web es mediante un usuario y una contraseña. Aunque muchos usuarios tienen la (mala) costumbre de utilizar la misma contraseña en todas las webs, es posible que en alguna página utilicemos una contraseña no habitual que, si no la utilizamos a menudo, puede que se nos olvide. Por ello, los navegadores web cuentan con sencillos administradores de contraseñas que nos permiten guardar estas en una base de datos interna de manera que, cuando volvamos a iniciar sesión, nos recuerden la contraseña y nos dejen acceder sin tener que volver a escribirla o restablecerla.

Por seguridad, las contraseñas se guardan en nuestro ordenador de forma cifrada, sin embargo, el cifrado no es precisamente nada del otro mundo, por lo que gracias a herramientas como ChromePass es posible recuperar todos estos datos guardados e incluso exportarlos a otros formatos de texto plano.

ChromePass es una sencilla aplicación para Windows desarrollada por Nirsoft que nos va a permitir ver los nombres de usuario y las contraseñas que hemos guardado a lo largo de los años en nuestro navegador Google Chrome. Esta herramienta analiza la base de datos que genera el navegador y es capaz de mostrarnos la siguiente información:

  • Origin URL: Dirección URL asociada a los datos.
  • Action URL: Dirección URL a la que se envían los datos (por ejemplo, a un servidor intermedio de acceso).
  • User Name Field: Cuadro de texto asociado al usuario.
  • Password Field: Cuadro de texto asociado a la contraseña.
  • User Name: Nombre de usuario.
  • Password: Contraseña.
  • Created Time: Fecha en la que se guardaron los credenciales.

Una vez que ChromePass ha cargado los datos en su sencilla ventana nos va a permitir copiar su contenido al portapapeles (en caso de querer, por ejemplo, extraer una única clave) o exportar toda la base de datos a un fichero de texto, html o xml. Además, el programa es totalmente compatible tanto con una versión de Google Chrome instalada en el disco principal como con perfiles de usuario externos, por ejemplo, almacenados en una memoria USB.

chromepass

Esta aplicación es totalmente gratuita y portable. Podemos descargar su versión más reciente (que es totalmente compatible con Windows 10) desde su página web principal.

Otras herramientas similares a ChromePass para recuperar contraseñas guardadas en los navegadores

ChromePass no es la única aplicación que nos permite recuperar las contraseñas que guarda nuestro navegador en nuestro ordenador. Es más, ni siquiera es la única aplicación desarrollada por Nirsoft para este fin.

WebBrowserPassView es una aplicación similar que nos va a permitir ver todas las contraseñas guardadas por prácticamente cualquier navegador, como Internet Explorer, Mozilla Firefox, Google Chrome, Safari y  Opera.

Además, también podemos tener en cuenta Mail PassView, una aplicación para recuperar las contraseñas de los principales clientes de correo electrónicoBulletsPassView, una aplicación creada para revelarnos lo que se esconde detrás de los asteriscos que, por lo general, rellenan los cuadros de texto.

Si estamos interesados en estas u otras aplicaciones similares creadas por Nirsoft, podemos encontrar la lista completa de ellas en su página web principal.

Fuente:

redeszone.net