Categoría : Hacking

Inicio/Archivo por Categoría Hacking (Page 6)

ProxyBack, un malware que convierte el equipo infectado en un proxy

No es para nada inusual que los ciberdelincuentes rescaten viejas amenazas para afectar de nuevo a los equipos de sobremesa de los usuarios. En esta ocasión, un malware que fue localizado por primera vez el pasado año y conocido con el nombre de ProxyBack ha sido detectado infectando equipos y convirtiendo estos en proxys de Internet.

Podría decirse que el virus ha despertado de su periodo de letargo a principios de este mes y poco a poco ha incrementado el número de dispositivos afectados hasta superar la barrera de los 11.000. La finalidad no es otra que la utilización de estos equipos para que desempeñen funciones de este tipo de servicios y así redirigir el tráfico de Internet. El problema es que estos son ofertados en el mercado negro como un proxy real por el cual se percibe una cantidad de dinero que se convierte en beneficio, ya que los ciberdelincuentes apenas deben invertir en infraestructura, siendo solo necesario un servidor de control con el que se comunican los equipos infectados de forma periódica.

ProxyBack establece una comunicación con el servidor propiedad de los ciberdelincuentes, a la espera de que desde este se tome la decisión de enviar cierto tráfico hacia ese equipo o bien otro. El virus recibe instrucciones ayudándose de peticiones HTTP y podría decirse que el dispositivo desde el momento en el que es infectado pasa a formar parte de una botnet que funciona como un gran proxy.

proxyback ingfecta equipos de usuarios

Todo apunta a los responsables del servicio buyproxy.ru

Las autoridades han sospechado de los responsables de este servicio desde hace mucho tiempo pero nunca han tenido una prueba que sustente la acusación. Pero en esta ocasión, expertos en seguridad de la compañía Palo Alto Networks han detectado que algunas direcciones IP de equipos que están infectados con ProxyBack aparecen en el portafolios de servidores proxy que se ofertan en esta página. Por lo tanto, ahora las autoridades ya tienen la clave que les faltaba.

Sin embargo, lo que no se sabe a ciencia cierta es si son los propietarios de esta web los que se encuentran detrás de la distribución de este virus que afecta a equipos Windows o si los servicios ofertados en la web aparecen en esta tras llegar a un acuerdo con sus propietarios, siendo en este caso un mero intermediario que podría no estar al día de la actividad ilícita llevad a cabo.

¿Cómo se distribuye ProxyBack?

Aunque no se sabe muy bien cuál es la vía de difusión de esta amenaza, sí que han confirmado que en un principio se diseñó para afectar a usuarios rusos y en la actualidad se está distribuyendo en Internet para alcanzar el mayor números de usuarios y de países muy variados.

Algunos creen que se distribuye a través de aplicaciones que se encuentran en tiendas en línea y que están infectadas con esta pieza malware. Sin embargo, otros muchos creen que el correo electrónico sería la vía de difusión gracias a la utilización de otros PUP que facilitan su llegada.

Fuente: Redes Zone

El controvertido fundador de Megaupload, Kim Dotcom, más cerca de ser juzgado en EE.UU.

Hace diez años fundó Magaupload, página de internet que se convirtió en un de los portales de descargas más grandes en el mundo.

Ahora, Kim Dotcom está más cerca de ser extraditado a Estados Unidos para ser juzgado por una serie de cargos que incluyen asociación ilícita, conspiración para cometer violaciones de derecho de propiedad y lavado de dinero.

Así lo decidió este miércoles un juez de Nueva Zelanda, país de residencia de Dotcom desde 2010, que dio luz verde para que el empresario de internet enfrente la justicia estadounidense.

Cierre de Megaupload

El caso de Estados Unidos contra Kim Dotcom se remonta a enero de 2012.

En ese momento, el sitio de descargas Megaupload fundado por Dotcom en 2005 fue cerrado por orden del Buró Federal de Investigaciones estadounidnse (FBI, por sus siglas en inglés).

Las autoridades de EE.UU. acusaron a Megaupload de haberle causado más de US$500 millones de pérdidas a la industria del cine y de la música al transgredir los derechos de autor de compañías y obtener con ello unos beneficios de US$175 millones.

Finn BatatoEl ex ejecutivo de Megaupload, Finn Batato, se enfrenta también a la posible extradición a EE.UU.

Dotcom, quien se describe a sí mismo en su cuenta de la red social Twitter como un “luchador por la libertad en internet”, pelea el caso desde entonces y niega ser un pirata informático.

“Estoy decepcionado”, dijo Dotcom a las afueras del tribunal y añadió que continuará su batalla legal.

El juez Nevin Dawson también aprobó la extradición de tres socios de Kim en Megaupload, Mathias Ortmann, Finn Batato y Bram van der Kolk.

Acusados caso MegauploadLos otros dos acusados, Bram van der Kolk (izda.) y Mathias Ortmann (dcha.), a la salida de la Corte.

Cronología del caso

  • En 2005, Kim Dotcom funda en Hong Kong el sitio para compartir archivos Megaupload.com, que en su momento de apogeo llegó a tener 50 millones de usuarios diarios que compartían películas, programas de TV, fotos y canciones
  • Dotcom se traslada a Nueva Zelanda en 2010 y obtiene la residencia de ese país. Desde entonces ha vivido en Auckland
  • En enero de 2012, agentes de políca armados allanan la mansión de Dotcom a petición de las autoridades estadounidenses
  • Las autoridades de EE.UU. clausuran Megaupload.com y acusan a Dotcom deviolación de derecho de propiedad, asociación ilícita y lavado de dinero
  • Entre junio y octubre de 2012 surgen cuestionamientos sobre el caso contra Dotcom después de que un tribunal fallara que el allanamiento de su casa fue ilegal. El servicio de inteligencia neozelandés GCSB admite que espió al informático de forma ilegal antes del operativo contra Megaupload. El fallo judiclal fue posteriormente revocado pero el primer ministro de Nueva Zelanda le ofrece disculpas a Dotcom por el espionaje.
  • Megaupload llegá a tener millones de usuarios.
  • Dotcom lanza una nueva página para guardar archivos en la nube llamada Mega en enero de 2013 pero poco después se distancia de la empresa para concentrarse en sus batallas legales
  • En septiembre de 2014, Dotcom emprende carrera en la política pero su partido fracasa estrepitosamente
  • Las audiencias para la extradición de Dotcom y tres de los acusados comienzan en septiembre de 2015 después de varios retrasos
  • El 24 de noviembre de 2015 finalizan las audiencias para la extradición. Dotcom tilda el proceso de “nada fiable, malicioso y sin ética” y acusa a Estados Unidos de ser “un feo y sucio matón”
  • El miércoles 23 de diciembre el juez Nevin Dawson falla que Dotcom y los otros tres acusados pueden ser extraditados y se enfrentan a sentencias de hasta 20 años. Dotcom anuncia que apelará.

Figura polémica

Nacido como Kim Schmitz en Alemania occidental en 1974, Dotcom adoptó su actual apellido en 2005.

En su adolescencia fue investigado por hackear importantes sitios de internet, pero hizo un acuerdo para trabajar para “los buenos” en seguridad. Posteriormente, una condena por uso de información privilegiada lo obligó a marcharse del país.

Tras un breve periodo en Tailandia, se estableció en Hong Kong, donde fundó Megaupload.

Según la parte acusadora, Dotcom cometió delitos al saber que sus usuarios compartían contenido protegido por derechos de autor, e incluso fomentando que lo hicieran.

“No se hizo justicia”

El juez Nevin Dawson señaló al tribunal en Auckland que EE.UU. tiene una “gran cantidad de pruebas” que respaldan el caso contra los acusados.

Kim DotcomKim Dotcom acusó a Estados Unidos de ser un “feo y sucio matón”.

Después de anunciarse la decisión, Dotcom mostró su agradecimiento en Twitter a las personas que le han brindado respaldo.

“Gracias por su apoyo. La lucha continúa. Disfruten las vacaciones. Estoy feliz de estar con mis hijos. Hay cosas más grandes que el derecho de propiedad”.

Y también en la red Twitter un miembro de su equipo legal, Ira Rothken, señaló que esperaban obtener un resultado positivo en la apelación al Tribunal Superior de Nueva Zelanda.

“Creemos que el tribunal de distrito se equivocó… Hoy no se hizo justicia”, dijo Rothken.

En días pasados en una entrevista con el diario New Zealand Herald, Dotcom reveló sus intenciones de tomar medidas legales independientes en Hong Kong.

El empresario señaló que piensa presentar una demanda contra el Departamento de Justicia de Hong Kong y que pedirá más de US$2.000 millones en compensación por daños y perjuicios por la clausura de su sitio de internet.

Dotcom se describe a sí mismo como un “luchador por la libertad en internet”.A comienzos de mes un tribunal de Hong Kong le permitió tener acceso a algunos de sus activos congelados en el territorio.

Dotcom fue citado así: “Tengo la oportunidad de contraatacar en Hong Kong y emprender acciones legales contra quienes destruyeron lo que construí allí.

“Y eso significa que puedo demandar indirectamente al gobierno estadounidense al demandar al Departamento de Justicia de Hong Kong”.

Fuente: BBC

Desarrollan un completo Jailbreak de Playstation 4

PlayStation 4  la consola de juegos más vendida en los Estados Unidos y que ha estado en el mercado por un tiempo ahora, y desde su lanzamiento, los hackers han estado jugando con él para encontrar una forma de ejecutar software no autorizado.

Aunque romper la protección en PlayStation 4 es un gran negocio, un hacker que se hace llamar CTurt ha pretendido desarrollar un completo jailbreak de la PlayStation 4 con la ayuda de un kernel exploit que creó anteriormente.

El jailbreak actual permite el vertido de la RAM del sistema de otros procesos y la instalación de firmware personalizado que se puede utilizar para ejecutar aplicaciones homebrew que no están aprobados por Sony.

Por supuesto, todavía hay algunos otros problemas de seguridad para salir adelante, pero es un pie en la puerta para la piratería del juego, que puede afectar el mercado del juego en su conjunto.

La cuenta de Twitter de CTurt parece indicar que en la actualidad el exploit sólo funciona para PlayStation 4 versión de firmware 1.76, pero al parecer puede ser ajustado para trabajar para el firmware más reciente.

CTurt logró con éxito para tomar ventaja de una explotación en la PlayStation 4 v1.76 para inyectar un código externo en el sistema, tomando así el control del hardware.

Sony sin duda sería infeliz con el lanzamiento de PlayStation 4 jailbreak y estaría tratando de eliminar las vulnerabilidades para la versión más reciente de firmware PS4

ps4-PlayStation-jailbreak

Malware Bancario proveniente de facebook se aloja en la nube

Una nueva ola del malware bancario “Spy Banker”  ha estado atacando a las víctimas de habla portuguesa en Brasil.

Mientras que un “Spy Banker” es una vieja amenaza, que data de 2009 según algunas empresas de seguridad, los últimos atacantes están tomando es una nueva forma de espiar.

La campaña, ha descubierto por investigadores de Zscaler, que su mayor parte se extiende principalmente sobre la red social Facebook, y utiliza una ingeniería social convincente para engañar a los usuarios a hacer clic en URLs Bit.ly sobre la promesa de cupones, vales o descargas de software de primera calidad. Un número de las víctimas también se ve comprometida por descargas no autorizadas.

Las direcciones URL apuntan a un servidor alojado en la plataforma en la nube de Google, donde se encuentra el programa de descarga “Spy Banker” y se descarga en la máquina de la víctima. La descarga entonces agarra el espía troyano bancario Telax, cuyo objetivo es robar las credenciales de banca online.

EL Investigador de seguridad de Kaspersky Lab Fabio Assolini dijo que el uso de la ingeniería social y Facebook en particular es eficaz, ya que juega en la confianza del usuario con mensajes provenientes de la plataforma de redes sociales.

“Actualmente los chicos malos brasileños tienen hambre de hosting gratuito y abusan de varios servicios para alojar sus archivos allí: Google Docs, Dropbox, SugarSync y muchos otros  pero utilizar Facebook.com es algo nuevo”, dijo Assolini.

El informe de Zscaler, publicado hoy, comparte un ejemplo en el enlace bit.ly apunta a un archivos PHP que se alojan en un servidor de Google Cloud. El archivo PHP luego hace una redirección 302 para descargar la primera etapa del ataque, el programa de descarga. El ejecutable, en este caso, se hace pasar por un enlace al servicio de declaración de impuestos federales en línea de Brasil, pero otros fingen ser cualquier cosa, desde software antivirus gratuito, WalMart o WhatsApp.

Zscaler dijo que en este enlace bit.ly en particular se habían hecho click más de 103.000 veces desde que salió a la superficie entre el  20 de octubre y 30 de noviembre,  102.000 de esos enlaces provenían de Facebook.

Zscaler también compartió cinco dominios que se enlazan con Telax, también alojados en servidores en nube de Google: aquinofinal.com; aquiredire.com; brasildareceita.com; mundodareceita.com; ofertasplusdescontos.com.

“Es importante tener en cuenta que Google ya ha limpiado los servidores de la nube siendo redirigidos actualmente por estos dos sitios activos y por lo tanto el ciclo de infección tendrá un error con un mensaje 404 Not Found”, dijo Zscaler, añadiendo que, con mucho, la mayor parte de las víctimas han estado en Brasil, con algunos otros en los Estados Unidos y Portugal.

En cuanto a Telax, Zscaler dijo que es un ejecutable Delphi que roba datos bancarios. Se inyecta código malicioso en los procesos visuales legítimos Basic Compiler, que comprueba la presencia de las máquinas virtuales antes de ejecutar.

Zscaler descubrió una serie de características nativas del malware, como un comando bloque VM, comandos de infección, los comandos de actualización, la versión y seguidores de la actividad portuaria y más.

Una vez que se establece una conexión con servidores de comando y control, los atacantes pueden enviar a través de cualquier número de comandos que recuperan la información del sistema, sacar adelante el nuevo malware, además de paneles de autenticación de dos factores falsos que pueden ser utilizados para engañar a los usuarios a renunciar a las credenciales de segundo factor.

Fuente: Thread Post

Pro POS: Nuevo malware se propaga a través de foros clandestinos

Los sistemas de los puntos de ventas son el blanco más tentador para los ciberdelincuentes ya que  robaran información de su tarjeta de crédito ésta Navidad,  se debe que tener más cuidado al utilizar las tarjetas de crédito en tiendas y supermercados.

He aquí el por qué…

Los delincuentes cibernéticos están vendiendo una nueva potente cepa de malware de punto de venta (POS) a través de foros clandestinos.

Al igual que varias familias de malware POS descubiertos el año pasado, incluyendo vSkimmer y BlackPOS, el nuevo malware también está diseñado para robar datos de tarjetas de pago de los sistemas POS infectados con apoyo TOR para ocultar sus servidores C & C (Command and Control).

Pro PoS – De peso ligero, sin embargo un malware Potente

Sin embargo, el nuevo malware, apodado “Pro POS”, incluye un paquete de algo más que un malware PoS.

Pro PoS sólo pesa 76KB, implementa funciones de rootkit, así como mecanismos para evitar la detección del antivirus, según indica la firma InfoArmor.

Lo que es aún más interesante de este malware es que Pro PoS integra un motor polimórfico que permite a la amenaza generar una firma diferente para cada muestra de malware – una medida destinada a frustrar las defensas de seguridad.

InfoArmor advirtió que los delincuentes cibernéticos estaban utilizando activamente la actual versión de la solución Pro POS en un esfuerzo por orientar los sistemas POS utilizados por los grandes minoristas, pequeñas y medianas empresas en los Estados Unidos y Canadá específicamente.

Los desarrolladores del malware Pos Pro se cree que son los piratas informáticos de Europa del Este, según la firma de seguridad.

El 27 de noviembre (Viernes Negro), los investigadores de InfoArmor notaron un aumento significativo en el precio de la solución Pro POS , que se ofrece en $ 2.600 por una licencia de seis meses.

Los desarrolladores de Pro POS han diseñado su malware de una manera tal que infecta los principales sistemas operativos, incluyendo los sistemas operativos más recientes, utilizados por las empresas en el entorno minorista.

Fuente: The Hacker News

Hackers rusos roban cantidades millonarias utilizando técnica llamada “Reverse ATM Attack”

Hackers rusos han descubierto una nueva técnica para estafar millones de dólares de los bancos y cajeros automáticos.

Los criminales Rusos utilizaron una técnica llamada Reverse ATM Attack, y robaron 252 millones de rublos (US $ 3,8 millones) de por lo menos cinco bancos diferentes, de acuerdo a la información obtenida por la empresa rusa Grupo-IB.

¿Qué es Reverse ATM Attack,?

De acuerdo con Grupo-IB, el atacante tendría depositar sumas de 5.000, 10.000 y 30.000 rublos en cuentas bancarias legítimas utilizando los cajeros automáticos, e inmediatamente retirar las mismas cantidades con un recibo impreso de la transacción de pago

Los detalles incluidos en el recibo, que contiene un número de referencia de pago y el monto retirado, se transfieren a un compañero en otro país. Este socio utilizaría estos detalles para realizar una “operación inversa” en otro terminal, lo que llevaría a creer que los retiros se cancelaron, de esta manera engañarían a miles de (POS) estadounidenses y checos en el punto de venta, explicó Forbes

Mientras tanto, aparece en el banco como si el intento de retirar dinero en efectivo fuese cancelado, por ejemplo: cuando el cliente no tiene fondos suficientes.

Ahora, los hackers solo tendrían que repetir estos pasos, siempre y cuando el cajero automático dirigido no termine expidiendo efectivo.

El Grupo-IB dijo que la firma había visto al menos cinco incidentes de este tipo en cinco bancos rusos diferentes, la actividad criminal comenzó a partir del verano de 2014 y terminando en el primer trimestre de 2015.

Los hackers aprovecharon las debilidades en las etapas de retiro, traslado y verificación de las transacciones de tarjetas de crédito utilizadas en Rusia y lograron eludir los controles de seguridad recomendados por VISA y MasterCard.

Grupo IB está trabajando con las autoridades federales para investigar más a fondo en todo el esquema de lavado de dinero

 Fuente: The Hacker News

Los 200.000 clics que pueden salvar a un pirata informático de ir a juicio en República Checa.

Jakub M. se comprometió a compartir activamente el video en el que advierte de los riesgos y males de la piratería informática.

200.000 clics pueden salvar a un pirata informático de ir a juicio en República Checa. Jakub M. debía lograr esa cantidad de reproducciones para un video de YouTube con un mensaje contra la descarga ilegal de contenido en internet para evitar una demanda por cientos de miles de dólares.

Algunas de las empresas afectadas por el pirata informático son Microsoft, HBO Europe, Sony Music y Twentieth Century Fox.

Y Jakub llegó con ellas a un particular acuerdo extrajudicial que le puede evitar tener que responder por más de US$220.000 en daños.

El mensaje del pirata informático, escrito en checo, dice: “Pensé que no estaba haciendo nada malo, pensé que no lastimaba a las grandes empresas. Yo estaba convencido de que yo era un pez demasiado pequeño”.

Y en el video Jakub también advierte a otros piratas que ellos también podían ser atrapados.

Pirata informáticoSegún la acusación contra Jakub, el daño por sus actividades supera los 220 mil dólares.

Un portavoz de la empresa que representa a Microsoft le dijo a la BBC que el acuerdo asumía que Jakub nunca iba a poder pagar la cantidad, por lo que en su lugar se comprometía a compartir lo más ampliamente posible el video.

Sin embargo, si el vídeo no alcanza el objetivo, las empresas tendrían motivos para poner una demanda civil por daños y perjuicios, señaló el representante.

Jakub es acusado de subir copias de Microsoft Windows y otros contenidos en sitios gratuitos de intercambio de archivos.

Hasta este jueves, el video de Jakub M. ya había superado 200.000 reproducciones en Youtube.

Fuente: BBC