PIRATEMATRYOSHKA: EL MALWARE QUE INFECTA A USUARIOS DE THE PIRATE BAY

THE PIRATE BAY

The Pirate Bay es una de las principales plataformas de descarga de contenido protegido por derechos de autor. Al tratarse de un sitio para compartir archivos P2P, no se considera precisamente ilegal.

Gracias a la amplia disponibilidad de contenido gratuito disponible, millones de personas recurren al uso de torrents, aunque muchos de estos terminarán infectando sus equipos con alguna variante de malware. Recientemente, se ha reportado la aparición de una  nueva variante de troyanos propagándose a través de The Pirate Bay. Acorde al autor de ‘Cómo hackear desde cero’, este malware es disfrazado como un popular software para que los usuarios lo descarguen inadvertidamente.

El malware, conocido como PirateMatryoshka, contiene versiones más pequeñas de sí mismo o, en otras palabras, cuenta con todos los elementos necesarios para comprometer una computadora o incluso una red.

Según los reportes del autor de ‘Cómo hackear desde cero’, en cuanto los usuarios del sitio web terminan de descargar el torrent malicioso, el instalador principal de PirateMatryoshka mostrará una página de phishing encargada de registrar las credenciales de la cuenta de The Pirate Bay de la víctima; el malware incluso analiza los registros de Windows para verificar que esta sea la primera vez que infecta la máquina en cuestión. 

Acorde a las cifras recopiladas hasta el momento, los usuarios desprevenidos han hecho clic en el enlace de phishing alrededor de 10 mil veces. Además, el malware cuenta con características de auto-click, lo que impide que el usuario detenga el proceso de instalación.

Acorde a los investigadores y expertos en ciberseguridad, los operadores de la campaña PirateMatryoshka han conseguido instalar software y adware para llevar a cabo algunas variantes de fraude, además de poder comprometer los equipos infectados. “Los criminales cibernéticos siempre están buscando la manera de aprovecharse de plataformas como The Pirate Bay”, mencionaron los expertos.

Fuente:https://noticiasseguridad.com/malware-virus/piratematryoshka-el-malware-que-infecta-a-usuarios-de-the-pirate-bay/

Fuente:https://noticiasseguridad.com/malware-virus/piratematryoshka-el-malware-que-infecta-a-usuarios-de-the-pirate-bay/

RANSOMWARE PIEWDIEPIE: ARCHIVOS ENCRIPTADOS HASTA QUE EL YOUTUBER ALCANCE LOS 100 MILLONES DE SUSCRIPTORES

pewcrypt

Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de videos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética.

Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. 

Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre.

Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos.

El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Por su parte, PewCrypt aplica un cifrado correcto, aunque las víctimas no pueden comprar la clave de cifrado, pues ésta no está a la venta.

En lugar de negociar un rescate con los atacantes, las víctimas deben esperar hasta que el YouTuber alcance o supere los 100 millones de suscriptores; los atacantes aseguran que cuando esto suceda todos los archivos serán descifrados.

Ahora mismo PewDiePie cuenta con 90 millones de suscriptores, por lo que podría pasar largo tiempo para que se alcance la cifra deseada y los archivos puedan ser liberados. Por si fuera poco, los operadores del ransomware PewCrypt han amagado con eliminar las claves de cifrado si el canal T-series, competidor más cercano de PewDiePie, alcanza la cifra antes que el YouTuber sueco.

Aunque el desarrollo de este ransomware comenzó como una broma, sí existen casos de infección realescomentan los expertos en ciberseguridad. Para evitar acciones penales en su contra, los desarrolladores del ransomware PewCrypt publicaron recientemente el código del software en GitHub, además de publicar una herramienta para remover el cifrado.

Fuente:https://noticiasseguridad.com/malware-virus/%EF%BB%BFransomware-piewdiepie-archivos-encriptados-hasta-que-el-youtuber-alcance-los-100-millones-de-suscriptores/

CRECE MALWARE DE IOT MÁS DE 200% EN 2018

IOT

Diversas variantes de malware mostraron un importante crecimiento durante este año

Acorde a especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, la cantidad de software malicioso que afecta a dispositivos de Internet de las Cosas (IoT) creció un 72% en total este año. En cuanto al malware en general, su presencia aumentó un 200% con respecto a la cantidad registrada durante el año pasado.

Los expertos en ciberseguridad estiman que este comportamiento se debe, en buena medida, al incremento en de la práctica del cryptojacking. Una amplia gama de dispositivos IoT, como cámaras de vigilancia o enrutadores, no habían sido utilizados para este ataque por no contar con las características y la potencia de una computadora.

No obstante, múltiples actores maliciosos han optado por explotar la enorme cantidad de dispositivos IoT que carecen de las adecuadas medidas de seguridad y comenzaron a atacarlos para crear una gigantesca red de minado ilegal de criptomoneda. Algunas nuevas variedades de malware de minería reportaron un crecimiento de 55%, además, este tipo de ataque para minar activos virtuales creció un 4000% durante el 2018.

Expertos en ciberseguridad también reportan una transición en el tipo de negocios que realizan los cibercriminales, pues muchos han optado por crear sus propias herramientas y servicios maliciosos. Este cambio ha traído consigo un nuevo modelo de negocios para quienes comercian con esta clase de servicios al margen de la ley.

“Los cibercriminales siempre están buscando nuevas áreas de oportunidad”, considera John Fokker, experto en ciberseguridad. “Las grandes amenazas cibernéticas que hoy conocemos comenzaron como proyectos pequeños en algunos foros ocultos de Internet”, menciona el experto.

Entre otros datos que nos deja el año que está por concluir, se encuentra el aumento de ataques con malware que no requiere de archivos, que presenta un 45% más respecto al año anterior. Además, el número total de incidentes de seguridad divulgados públicamente disminuyó un 12%, mientras que el número de ciberataques cometidos contra instituciones financieras incrementó un 20%. En cuanto a las regiones del mundo que sufrieron más ciberataques, este año el número de incidentes registrados en Europa creció un 38%, mientras que la cifra para el continente americano bajó 18%, en tanto que en la región Asia-Pacífico bajaron un 22%.

Fuente:https://noticiasseguridad.com/malware-virus/crece-malware-de-iot-mas-de-200-en-2018/

USAN MEMES EN TWITTER PARA ENVIAR COMANDOS A SERVIDOR DE HACKERS

Un equipo de investigadores ha descubierto una nueva forma para ocultar software malicioso

Los investigadores de una firma de ciberseguridad reportan el descubrimiento de una nueva muestra de malware capaz de recuperar los comandos de memes publicados en una cuenta de Twitter controlada por un actor malicioso. Gracias a este procedimiento, los atacantes dificultan la detección del tráfico asociado con el malware, haciendo que este sea detectado como tráfico legítimo de Twitter, mencionan expertos del Instituto Internacional de Seguridad Cibernética.

La idea de explotar servicios web legítimos para controlar malware no es algo reciente, en oportunidades pasadas algunos hackers han controlado códigos maliciosos a través de plataformas como Gmail, Dropbox, PasteBin, e incluso Twitter.

Sin embargo, en esta ocasión es un poco diferente. El malware descubierto por los expertos en ciberseguridad usa la esteganografía (técnica para ocultar contenido dentro de una imagen gráfica digital de manera que sea invisible para un observador) para ocultar los comandos incrustados en una imagen (en este caso un meme) publicada en Twitter.

“Este troyano, identificado como TROJAN.MSIL.BERBOMTHUM.AA, muestra un comportamiento interesante debido a que los comandos del malware son recibidos vía el tráfico legítimo de Twitter, usa un meme de apariencia inofensiva y no puede ser eliminado a menos que la cuenta donde se publicó sea eliminada de la plataforma”, menciona el informe de los especialistas en ciberseguridad.

El equipo de comunicación de Twitter informó que cerró la cuenta maliciosa el pasado 13 de diciembre.

Los atacantes escondieron un comando /print en los memes, que les permitió tomar capturas de pantalla de la máquina comprometida, además de enviarlas a un servidor de comando y control, cuya dirección se obtuvo a través de una URL codificada en PasteBin.

Además, el malware BERBOMTHUM revisa la cuenta de Twitter utilizada por los atacantes, descarga y analiza los archivos de memes y extrae el comando que incluyen. La cuenta de Twitter utilizada por atacantes se creó en 2017 y contenía solamente dos memes, que fueron publicados el 25 y 26 de octubre pasados. Estas imágenes se usaron para enviar el comando /print al malware BERBOMTHUM.

Los comandos utilizados por los atacantes y sus funciones son:

·         /print – Realiza capturas de pantalla

·         /procesos – Recupera la lista de procesos en ejecución

·         /clip – Captura el contenido del portapapeles

·         /username – Recupera el nombre de usuario de las máquinas infectadas

·         /docs – Recupera nombres de archivos de una ruta predefinida

Según los expertos en ciberseguridad, este software malicioso se encuentra en una etapa temprana de desarrollo, por lo que no se descartan más incidentes similares en el futuro.

Fuente:https://noticiasseguridad.com/malware-virus/usan-memes-en-twitter-para-enviar-comandos-a-servidor-de-hackers/

MILES DE EQUIPOS INFECTADOS CON NUEVA VARIANTE DE RANSOMWARE EN CHINA

ransonware

Una nueva variante de malware ha sido descubierta en China; este programa malicioso ha infectado más de 100 mil equipos en menos de una semana

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan que una nueva variante de ransomware se está propagando rápidamente en China. Hasta el momento, la infección ya ha alcanzado a más de 100 mil computadoras durante los últimos cuatro días, debido al ataque a una cadena de suministro; el número de equipos infectados sigue incrementando a cada momento.

Lo que más ha llamado la atención de la comunidad de la ciberseguridad es que, a diferencia del resto de malwares de esta clase, esta nueva variante no exige un pago de rescate en Bitcoin. En su lugar, los hackers exigen a las víctimas un pago por 110 yenes (cerca de 16 dólares), pago que debe ser realizada a través de WeChat Pay, función para realizar transacciones a través del servicio de mensajería más utilizado en China.

Robo de contraseñas

Hasta el momento las evidencias indican que este programa malicioso solamente ha afectado a usuarios en China, a diferencia de brotes similares, como WannaCryNotPetya. Además, este malware parece contar con una función adicional para el robo de contraseñas usadas en servicios como Alipay, Taobao, Tmall, AliWangWang y QQ. Al parecer el ransomware roba las credenciales de acceso a estas plataformas y las envía a un servidor remoto.

Según reportes de una firma de forense digital establecida en China, los operadores de esta campaña consiguieron desplegar su ataque inyectando código malicioso en el software de programación EasyLanguage, utilizado por la mayoría de los desarrolladores de aplicaciones en China.

Este programa modificado con fines perjudiciales fue pensado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de EasyLanguage, con lo que el virus se propagó de manera increíblemente rápida.

Más de 100 mil usuarios en China que instalaron cualquiera de los desarrollos infectados se encuentran ahora en una situación comprometedora. Esta cepa de ransomware ha demostrado ser capaz de cifrar todos los archivos del sistema infectado, con excepción de archivos con extensión gif, exe y tmp.

Firmas digitales robadas

Para evitar ser detectados por las soluciones antivirus, los hackers firmaron el código malicioso con una firma digital aparentemente confiable de Tencent Technologies, además tratan de no encriptar los archivos en directorios específicos, como Tencent Games, League of Legends, tmp, rtl y program.

Según expertos en forense digital, una vez que el ransomware encripta los archivos del usuario, aparece una nota exigiendo al usuario que realice el pago de 110 yenes a la cuenta de WeChat vinculada al software malicioso. Los atacantes mencionan que el usuario sólo tiene un plazo de tres días para realizar el pago y recibir las claves para recuperar sus archivos. Si el rescate no es cubierto en el tiempo marcado por los atacantes, el programa comienza un proceso automático de eliminación de la clave de cifrado desde un servidor remoto.

Según la evidencia recolectada, la nota de rescate menciona que los archivos han sido cifrados utilizando el algoritmo de cifrado DES, pero en realidad, los datos se cifran utilizando un cifrado XOR, uno mucho menos seguro y que almacena una copia de la clave de cifrado en el sistema de la víctima en la siguiente ubicación:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

Una herramienta para eliminar el cifrado ya se encuentra en desarrollo gracias a esta información.  Además, después de recibir los reportes de esta campaña de ataques, WeChat suspendió la cuenta en la que los atacantes se encontraban recibiendo el pago de rescate.

Fuente:https://noticiasseguridad.com/malware-virus/miles-de-equipos-infectados-con-nueva-variante-de-ransomware-en-china/

EL FBI INTERVIENE UNA CAMPAÑA FRAUDULENTA MILLONARIA

fbi

La campaña generó alrededor de 30 millones de dólares en ganancias para los criminales

El Buró Federal de Investigación (FBI), Google y múltiples firmas de ciberseguridad y forense digital trabajaron de manera conjunta para derribar uno de los esquemas de fraude en marketing digital más complejos que se haya visto, que consiguió infectar a más de 1.7 millones de equipos de cómputo con el objetivo de generar clics falsos y engañar a los anunciantes en línea durante años, con lo que los operadores del fraude consiguieron ganancias por decenas de millones de dólares.

La campaña fraudulenta, conocida como 3ve, ha estado activa desde al menos 2014, según expertos en forense digital del Instituto Internacional de Seguridad Cibernética. Sin embargo, las actividades maliciosas de sus operadores alcanzaron su punto máximo el año pasado, convirtiéndola en un negocio a gran escala y generando alrededor de 30 millones de dólares en ganancias para los cibercriminales.

Mientras tanto, el Departamento de Justicia (DoJ) de Estados Unidos informó que ha iniciado una acusación compuesta por 13 cargos criminales contra 8 personas en Rusia, Kazajstán y Ucrania, quienes supuestamente fungían como operadores de la campaña.

La campaña 3ve empleó diversas tácticas durante su periodo de actividad, como la creación de sus propias botnets, falsificación de sitios web, secuestro de direcciones IP, uso de proxies para ocultar IP reales e infección de los equipos de las víctimas con malware, todo con el propósito de generar clics falsos en la publicidad en línea y recibir pagos.

Según especialistas en forense digital, 3ve involucró a 1.7 millones de computadoras infectadas con malware, más de 80 servidores y más de 10 mil sitios web falsos a través de más de un millón de direcciones IP comprometidas para generar de 3 a 12 mil millones de solicitudes diarias de ofertas de anuncios.

Acorde a los reportes de Google y las firmas de ciberseguridad participantes, este esquema fraudulento fue nombrado 3ve porque se basa en un conjunto de tres sub operaciones distintas, con cada una tomando sus propias medidas para evitar la detección, además, cada una se basa en arquitecturas diferentes que utilizan componentes diversos.

“Los operadores cambiaban de manera constante sus métodos para ocultar los bots de 3ve, lo que permitió que esta operación continuara su crecimiento, incluso después de que su tráfico fuera detectado. Cuando eran bloqueados en algún sitio, volvían a aparecer en uno nuevo”, menciona Google. Las tres operaciones de 3ve son:

  1. Esquema de malware Boaxxe (3ve.1)

La primera de tres sub operaciones de 3ve fue impulsada por botnets operando en centros de datos a través de Europa y Estados Unidos. Esta operación utilizó la botnet Boaxxe, también conocida como Miuref y Methbot, para obtener las direcciones IP utilizadas para enviar el proxy de tráfico de los dispositivos infectados en los centros de datos y visitar páginas web falsas y reales.

Con el paso del tiempo, la operación trascendió las solicitudes falsas en equipos de escritorio, alcanzando también el tráfico en dispositivos móviles con Android.

  1. Esquema de malware Kovter (3ve.2)

Aquí se utilizaron dominios falsos para vender inventarios falsos a los anunciantes. Sin embargo, en lugar de usar proxies para ocultarse, los operadores de la campaña utilizaron un agente de navegación personalizado en más de 700 mil equipos infectados con Kovter.

Esta operación utilizó servidores de redirección, ordenando a las computadoras infectadas visitar páginas web falsificadas.

  1. IP de los centros de datos (3ve.3)

La tercera sub operación asociada a 3ve fue similar a 3ve.1. Los bots estaban establecidos en algunos centros de datos, pero para cubrir sus rastros, los operadores usaban las direcciones IP de otros centros de datos, a modo de proxy, en lugar de computadoras residenciales.

Fin de la operación 3ve

Después de que la actividad de 3ve creciera en 2017, Google, junto con otras firmas de forense digital que habían detectado la operación, comenzaron con el proceso de eliminación de la operación.

Gracias a este trabajo conjunto, el FBI consiguió apoderarse de 31 dominios y 89 servidores que formaban parte de la estructura de 3ve. Organizaciones privadas también ayudaron a incluir en la lista negra la infraestructura de 3ve involucrada en el esquema de fraude publicitario y el tráfico hacia los dominios malos.

Fuente:http://noticiasseguridad.com/malware-virus/el-fbi-interviene-una-campana-fraudulenta-millonaria/

MÁS DE 500 MIL USUARIOS DE PLAY STORE HAN INSTALADO 13 JUEGOS QUE CONTIENEN MALWARE

play-store

El programa malicioso podría tratarse de un minero de criptomoneda, o bien de un adware

El sistema operativo para móviles Android es uno de los más utilizados en el mundo, por lo que múltiples actores de amenazas lo ven como un objetivo de ataques potencialmente redituables. En días recientes, Lukas Stefanko, especialista en ciberseguridad y forense digital, dio a conocer el descubrimiento de un malware alojado en 13 apps de juegos (de la temática de carreras de autos) disponibles en la Play Store de Google.

La peor parte del asunto es que estas apps han sido instaladas por alrededor de medio millón de usuarios (560 mil, para ser más precisos). Stefanko reportó, mediante un hilo de Twitter, estas aplicaciones, que fueron desarrolladas por Luiz O Pinto; al instalarse, las apps ocultaban sus íconos para engañar a los usuarios, forzándolos a instalar otra aplicación, la cual reduce drásticamente el rendimiento del dispositivo afectado.

El investigador en forense digital considera que la causa del déficit en el rendimiento de los dispositivos podría ser la instalación sigilosa de malware para minar criptomoneda, que ralentiza los teléfonos inteligentes para extraer los activos digitales utilizando su capacidad de procesamiento. Stefanko no ha podido confirmar qué tipo de malware está siendo distribuido a través de estos juegos para Android, pues también existe la posibilidad de que se trate de un adware, que infesta los dispositivos con publicidad para generar ingresos ilegales gracias a la poca precaución de los usuarios de Android.

Acorde a información proporcionada por el sitio de análisis de software malicioso VirusTotal, al menos quince de las principales firmas de análisis antivirus han encontrado un troyano funcional para Android en estas aplicaciones. Según reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, el troyano en cuestión se llama “HEUR: Trojan.AndroidOS.Piom.yqm”, y utiliza la publicidad como su principal método para generar ganancias.

“El malware utiliza diferentes métodos para mostrar a los usuarios de Android tantos anuncios como sea posible, incluso mediante la instalación de un adware. Estos troyanos pueden obtener privilegios de raíz para ocultarse en la carpeta del sistema, lo que los vuelve difíciles de combatir”, mencionaron los encargados del análisis.

Stefanko reportó las aplicaciones maliciosas a los equipos de Google encargados de Play Store el lunes pasado. Sin embargo, esta es una nueva falla de la compañía en su misión de proteger a sus usuarios contra cualquier tipo de malware en sus plataformas oficiales. La comunidad de la ciberseguridad y forense digital lleva un tiempo advirtiendo a los usuarios de Google sobre los posibles riesgos de descargar aplicaciones de terceros, aunque ahora parece que también hace falta tomar precauciones para las aplicaciones alojadas en Play Store.

Si pretende descardar una aplicación para Android, asegúrese de verificar los comentarios que otros usuarios han hecho acerca de estas, pues esto puede servir como una medida de prevención fundamental.

Se recomienda también mantener su dispositivo actualizado y realizar regularmente análisis antimalware, múltiples opciones se encuentran disponibles en las plataformas de software oficiales, como Play Store.

Fuente:http://noticiasseguridad.com/hacking-incidentes/datos-de-60-millones-de-usuarios-fueron-expuestos-por-el-servicio-postal-de-eu/

[easyazon_infoblock align=»center» cart=»y» cloak=»n» identifier=»B017A0PWBE» key=»image» locale=»ES» localize=»y» nw=»y» tag=»canosadigit0a-21″]