Categoría : Sistemas Operativos

Inicio/Archivo por Categoría Sistemas Operativos (Page 4)

La falla de WhatsApp que amenaza a 200 millones de usuarios

Una falla en el popular servicio de mensajería WhatsApp puso a unos 200 millones de sus usuarios en situación de riesgo, advirtió la empresa de seguridad Check Point.

La falla permite a los hackers distribuir programas malignos, entre ellos ransomware, que exige a las víctimas pagar una cuota para recuperar el acceso a sus archivos.

La vulnerabilidad, sin embargo, sólo afecta a la versión web del servicio. WhatsApp fue alertado del problema a finales del mes pasado e inmediatamente lanzó una corrección.

Check Point instó a los usuarios a actualizar el software inmediatamente para aprovecharla.

Ransomware

Jóvenes con teléfonos móviles
                                                   WhatsApp es una aplicación de mensajería móvil multiplataforma.

La aplicación web de WhatsApp es una versión espejo de su versión móvil, y permite acceder desde un navegador web los mensajes, imágenes y otros contenidos recibidos en un teléfono inteligente.

Actualmente hay más de 200 millones de usuarios activos de la aplicación web en comparación con los 900 millones de usuarios de la aplicación de teléfono inteligente, de acuerdo con estadísticas dadas a conocer por la firma este año.

WhatsApp fue comprada por Facebook en febrero de 2014.

De acuerdo con Check Point, la vulnerabilidad se debe a la forma en que el servicio maneja los contactos enviados en el formato vCard (tarjeta virtual).

Todo lo que un pirata informático necesita para enviar una tarjeta de presentación virtual que parece legítima es saber el número de móvil de su objetivo.

Una vez abierto el vCard puede distribuir código malicioso.

Un experto dijo que era relativamente fácil para los hackers hacerse con los números de teléfonos que han sido dados a conocer a través de otras brechas de seguridad.

“Teniendo en cuenta que WhatsApp es una aplicación de mensajería móvil multiplataforma, las posibilidades de que usted abra una vCard es muy alta”, comentó Mark James, especialista de la firma de seguridad ESET.

“Una vez abierta puede intentar descargar e infectar su sistema con ransomware“.

Check Point alertó WhatsApp sobre el problema el 21 de agosto y una semana más tarde se publicó una corrección.

Fuente: BBC

App de pornografía te toma fotos en secreto

Una aplicación pornográfica toma en secreto el control del teléfono, captura fotos del usuario, bloquea el dispositivo y luego le exige un pago extorsivo de 500 dólares.

Por eso, varios usuarios de las tiendas no oficiales de Android están en aprietos.

Se trata de Adult Player, una app que se puede descargar en las tiendas no oficiales de Android que muchos usuarios de teléfonos ‘liberados’ emplean para encontrar contenido no disponible en las tiendas tradicionales.

Pero esta aplicación no brinda el contenido que promete, sino que toma una foto del usuario sin que este lo sepa y bloquea el dispositivo. Luego aparece una foto con un mensaje que exige 500 dólares para no publicar la foto en las redes sociales.

No importa si el usuario apaga el dispositivo. Cuando se vuelve a encender aparece de nuevo el mensaje que dice que el dinero debe ser enviado a través de una cuenta PayPal.

Fuente: CNN en español.

Nuevo Malware en Android

Una nueva cepa de ransomware Android disfrazado como una aplicación de reproductor de vídeo utiliza un medio de comunicación que no se ve en otros tipos de malware similar.

La mayoría de las víctimas son de los Estados Unidos y la estafa-cripto ransomware móvil parece ser rentable según los investigadores de Check Point Software Technologies, éstos dijeron que decenas de miles de dispositivos podrían estar infectados y hasta la fecha alrededor del 10 por ciento de las víctimas han desembolsado por rescate entre $ 200 y $ 500. Check Point afirma que su conclusión es incompleta y que probablemente más dispositivos estén infectados y los hackers se han embolsado más de los $ 200.000 a $ 500.000 estimados.

Como la mayoría ransomware móvil, estas infecciones comienzan cuando la víctima descarga de una aplicación falsa de una tienda de aplicaciones de terceros, en este caso una supuesta aplicación de Flash Player. Una vez que la víctima aprueba la instalación y los permisos solicitados, el ransomware encripta todos los datos en el teléfono, a cambio de un rescate.

Las víctimas, con esta cepa, verán un mensaje que pretende ser de la Agencia de Seguridad Nacional con lenguaje amenazante sobre violaciones de derechos de autor y las amenazas conllevan multas, las cuales se triplicarían si no se paga dentro de las 48 horas siguientes a la notificación. El mensaje de la NSA se ha utilizado con otros ransomware móvil, como Koler y Simplocker.

Lo que diferencia a esta cepa de los demás, Check Point, dijo, es que el ransomware utiliza un protocolo de mensajería instantánea llamado XMPP o extensible de mensajería y Protocolo de Presencia, para recibir órdenes y comunicarse con el servidor de comando y control.

“Uso de XMPP hace que sea mucho más difícil para los dispositivos de seguridad rastrear el tráfico de C & C de malware, así como la distinguen del resto del tráfico XMPP legítima,” Check Point, dijo en un informe publicado el miércoles. “También se hace imposible bloquear el tráfico mediante la supervisión de direcciones URL sospechosas”.

A diferencia de la mayoría ransomware que se comunica a través de HTTP, usar XMPP ha sido eficaz para ayudar a que el malware evada la detección. Con la comunicación HTTP, en el tráfico se utiliza la dirección URL o la dirección IP estática del servidor C & C  y se puede bloquear, negar a los atacantes la capacidad de enviar comandos de cifrado y archivos de proceso, dijo Check Point.

“A medida que esta técnica utiliza funciones de biblioteca externa para manejar la comunicación, el malware no requiere ninguna aplicación adicional para ser instalado en el dispositivo,” Check Point dijo. “Como XMPP soporta TLS, la comunicación entre el cliente y el servidor también es cifrada.”

Check Point dijo que los atacantes hacen los mensajes de rescate basados en la ubicación geográfica del dispositivo, por lo que es convincente para la víctima.

“Parece que los creadores del malware diseñado muestra tanto la configuración de la ubicación del dispositivo y el nombre del operador móvil de manera exitosa”, dijo Check Point. “Como resultado, el mensaje de rescate está realmente basado en datos convincentes, coincide con la zona donde se encuentra el dispositivo, haciendo de este un malware muy astuto.”

Check Point dijo que hay docenas de comandos XMPP y cuentas de control vinculadas a estos ataques, que han sido suspendidos por los operadores respectivos.

Fuente: threatpost

G Data descubre más De 20 Smartphones con Malware preinstalado

Hay casi 2.000 millones de personas en todo el mundo que ya usan smartphone (eMarketer). Pero son muy pocos lo que saben o reparan en todo lo que uno de estos dispositivos puede “contar” a terceros acerca de su propietario. A raíz del descubrimiento en 2014 de las funciones espía preinstaladas en el smartphone Star N9500, los expertos de G DATA pusieron su atención en los propios terminales.

Desde entonces, G DATA ha descubierto funciones similares a las del ya mencionado Star N9500 en el firmware de más de 20 modelos diferentes, algunos de fabricantes tan reconocidos como Huawei, Lenovo o Xiaomi. Puede consultar la lista completa aquí. Los expertos de G DATA sospechan que hay otros dispositivos aún no localizados cuyo firmware también puede estar comprometido.

Lo habitual es que el malware se camufle en una app legítima que mantiene sus funciones originales pero que es capaz de permitir el acceso al dispositivo a los creadores del malware, mostrar anuncios o descargar nuevas aplicaciones no deseadas. Lo más probable es que estas apps manipuladas hayan sido preinstaladas en el firmware durante el proceso que siguen los terminales desde que salen de fábrica hasta que llegan al usuario final. Además del margen asociado a la venta del terminal, un dispositivo infectado facilita el lucro a partir del robo de datos personales, el envío de SMS no autorizados o la “comercialización” indiscriminada de anuncios.

«Se estima que alrededor de 2.500 millones de personas en todo el mundo usan un smartphone o tableta para conectarse a Internet. Mensajería instantánea, navegación y compras online son posible en cualquier momento y desde cualquier lugar gracias a smartphones y tabletas. En paralelo a esta adopción generalizada de móviles conectados, el número de apps maliciosas y malware móvil ha crecido exponencialmente en los últimos tres años. Además, a lo largo del último año, hemos observado un crecimiento significativo de dispositivos que ya llegan al usuario con programas espía en el propio firmware de los terminales» Christian Geschkat, responsable de las soluciones para dispositivos móviles de G DATA

Record negativo: Más de un millón de nuevas amenazas Android en solo seis meses

Durante el segundo trimestre de 2015, los expertos de G DATA registraron una media de 6.100 muestras de nuevo malware cada día, frente a las 4.900 nuevas muestras del primer trimestre, lo que supone un incremento de casi un 25 por ciento.

El primer semestre del año ha superado las expectativas más negativas con más de un millón de nuevas amenazas para Android (1.000.938) en apenas seis meses, casi tantas como las que se registraron en todo el año 2013. G DATA estima que a finales de 2015 se habrán alcanzado la cifra de dos millones de amenazas en solo un año.

Puede comprobar si su smartphone está infectado descargando la solución de seguridad gratuita para dispositivos Android G DATA INTERNET SECURITY LIGHT en Google Play

Pronóstico para 2015

  • Año de records negativos: Los expertos de G DATA afirman que el malware para Android seguirá creciendo en la segunda mitad del año y se superará la cifra de dos millones de nuevas amenazas para esta plataforma en todo 2015.
  • El malware para Android, cada vez más sofisticado: el ataque informático a la empresa italiana Hacking Team, que ha estado detrás de las herramientas de vigilancia de policías, agencias de inteligencia y gobiernos de muchos países, ha provocado la publicación de una gran cantidad de documentación sensible y código fuente relacionado con malware para Android. Los expertos de G DATA sospechan que los cibercriminales aprovechen toda esta información y la utilicen para desarrollar código malicioso para Android cada vez más sofisticado y maduro.

Descarga el informe completo en https://secure.gd/dl-en-mmwr201502

Fuente: G Data

Ins0mnia: La nueva vulnerabilidad de iOS

Para entender esta vulnerabilidad, es necesario comprender que una de las maneras que tiene Apple de protege a sus usuarios es mediante el control de cómo el software de terceros interactúa con iOS. Una aplicación iOS sólo puede ejecutarse en segundo plano durante un tiempo limitado antes de la que la aplicación sea suspendida por iOS. Generalmente este plazo es de tres minutos. Esta limitación no sólo ayuda a garantizar la capacidad de respuesta predecible en la interacción del usuario, sino que también evita que cualquier aplicación de espionaje se ejecute en el fondo. Por ejemplo, una aplicación de música puede tener razón legítima para pedir permiso para acceder a la ubicación GPS y el micrófono mientras se trabaja en el primer plano, pero pocos usuarios querría que la aplicación se ejecute en segundo plano para monitorear continuamente ubicaciones GPS y grabación de audio. El control por parte de iOS se supone que es para evitar esos abusos de los permisos.

El conmutador de tareas iOS es una interfaz que muestra la lista de aplicaciones recientemente abiertas. Cuando un usuario cierra una aplicación pulsando el botón de inicio, la aplicación pasa a segundo plano, y está sujeta a ciertas limitaciones estrictas impuestas por iOS en aplicaciones de fondo. Además, el usuario puede optar por apagar completamente una aplicación mediante la eliminación desde el conmutador de tareas.

La vulnerabilidad Ins0mnia permitió que una aplicación pueda eludir estas limitaciones. Una aplicación maliciosa podría aprovechar la vulnerabilidad Ins0mnia para ejecutarse en segundo plano y robar información confidencial del usuario por un tiempo ilimitado sin el consentimiento o conocimiento del usuario. Esta información sensible podría entonces continuamente se enviada a un servidor remoto. Este fallo también podría ser aprovechado para reducir drásticamente el rendimiento del dispositivo y la usabilidad del sistema. Incluso podría ser usado para drenar la batería.

El ataque consistía en engañar al iDevice haciéndole creer que se está depurando la aplicación iOS. Esto impidió que el sistema de suspensión de la aplicación se ejecutara cuando la duración de fondo permitida expiró.

Si una aplicación aprovechara esta vulnerabilidad y el usuario retira la aplicación de conmutador de tareas, la aplicación seguirá ejecutándose en segundo plano, mientras que el usuario cree que la apliacción había sido cerrada por completo.

También nos dimos cuenta de que una aplicación no necesitaba el derecho get-task-allow, un malware Ins0mnia no requiere que Apple permita nada. Creemos que tal aplicación tenía una alta probabilidad de pasar el examen de Apple Store, por lo que es una laguna poco común para un atacante para distribuir malware dentro del jardín amurallado de Apple.

Demostración

Este vídeo muestra una aplicación de iOS malicioso que el usuario cree que ha terminado, pero que sigue funcionando sin el conocimiento del usuario y envía actualizaciones de ubicación de la víctima al atacante.

Fuente: FireEye

Whatsapp: un supuesto mensaje de una cafetería roba información personal

WhatsApp, al ser utilizada por millones de usuarios, es uno de los blancos más interesantes para hackers. En esta oportunidad desde Kaspersky Labemitieron una alerta donde informan que se está utilizando un mensaje para robar información.

El mensaje llega supuestamente de Starbucks ofrece una promoción. No es de Starbucks y lo único que hará es robar información personal.

Según el mensaje se regalan US$500 para consumir en la tienda local. Todo si se contesta una encuesta. Para eso hay que entrar a un link y ahí es donde se le robará información al usuario.

 

0009929390

 

Fuente: minutouno

Vulnerabilidad en SMB en Windows permite robo de credenciales

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard presentaron una vulnerabilidad en el protocolo SMB de Microsoft [PDF] utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría de los Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, basicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL. La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.

Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este “el primer ataque contra Windows 10 y su navegador Spartan”.

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otros aplicaciones.

La investigación también incluye técnicas de mitigación [PDF], pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Fuente: Segu.Info