GCCVIEWS

Etiqueta: cibercrime

  • Facebook Messenger fue utilizado para robar datos de usuarios en más de 80 países

    Una nueva campaña de fraude a gran escala se ha centrado en la aplicación de mensajería Facebook Messenger y, haciéndose pasar por una versión actualizada, ha conseguido robar los datos de acceso de usuarios de más de 80 países de todo el mundo, incluidos europeos como Francia, Alemania e Italia.

    Así lo ha advertido la empresa de ciberseguridad Group-IB, que ha descubierto la campaña fraudulenta, que ha distribuido una red de unos 1.000 perfiles falsos de Facebook. La campaña de fraude, invitaba a través de publicaciones de Facebook a supuestamente instalar “la última actualización de Messenger” con más de 5.700 publicaciones fraudulentas. Para hacer la estafa más creíble, las cuentas falsas de Facebook replicaron la apariencia real de Messenger, usando su logotipo y nombre de perfil, aunque con ligeras variaciones, como ‘Messanger’, ‘Meseenger’ y ‘Masssengar’.

    Las ‘publicaciones’ de la campaña iban acompañadas de un enlace que redirigía a los usuarios a un sitio web -creado a través de blogspot.com, sites.google.com, github.io o godaddysites.com, que se hacía pasar por el inicio de sesión de Facebook Messenger y pedía a los usuarios que ingresaran sus credenciales de acceso. Para evitar la detección, los ciberdelincuentes utilizaron servicios para acortar la URL de los enlaces que incluía en sus publicaciones, como linktr.ee, bit.ly, cutt.us, cutt.ly y rb.gy.

    Además, en las publicaciones se trataba de atraer a los usuarios prometiéndoles características que no existen en la ‘aplicación’ de Messenger real, como descubrir qué personas han visto el perfil del usuario, mostrar mensajes eliminados o cambiar a una supuesta versión Gold de la aplicación’.

    También amenazaron con bloquear su cuenta si no se registraban en el sitio web falso, acción con la que los afectados podían ver efectivamente sus cuentas robadas o que los ‘hackers‘ exigían un rescate por ello.

    Ilia Rozhnov, jefe del departamento de protección de riesgos digitales de Group-IB en Asia-Pacífico, afirmó que los estafadores se han aprovechado del descuido de los usuarios en línea. «Vivir en la era de todo instantáneo, hacer clic en un anuncio, una propuesta o un titular atractivo se ha convertido en un reflejo humano natural», dijo. «Internet ha hecho que la gente abandone el pensamiento crítico». Añadió: «Depende de las marcas (como Facebook en este caso) aclarar las cosas en este enfrentamiento interminable asegurándose de que sus nombres no se utilicen para engañar a los clientes desprevenidos con una estafa».

    Facebook introdujo una actualización importante a fines del año pasado con nuevas funciones, incluida la comunicación entre aplicaciones entre Facebook e Instagram, y un modo de desaparición. En el lanzamiento de la actualización, dijo entonces que los usuarios de Messenger no necesitaban tomar medidas para obtener acceso a estas nuevas funciones, ya que estarían disponibles automáticamente.

    Se recomienda a los usuarios de redes sociales que sean cautelosos al hacer clic en enlaces que conducen a sitios externos, y nunca deben ingresar datos personales en sitios de terceros, incluso si tienen logotipos de marcas conocidas, dijo Group-IB.

    Hay que tener en cuenta también que las actualizaciones en todo caso siempre se descargan desde las tiendas oficiales para iOS y Android que son Apple Store y Google Play respectivamente. Nunca desde links que llegan por SMS, chats o cualquier otra vía. Siempre se debe recurrir a los sitios oficiales.

  • Los agujeros de seguridad de Zoom podrían permitir a piratas informáticos controlar su PC

    Dos hackers éticos, Daan Keuper and Thijs Alkemade, empleados de la empresa de ciberseguridad Computest, han descubierto una vulnerabilidad de día cero (una brecha en la seguridad del software que puede estar en un navegador o aplicación) en la plataforma de videoconferencia Zoom que podrían utilizar los ciberdelincuentes para lanzar ataques de ejecución remota de código (RCE).

    La vulnerabilidad fue descubierta como parte de un concurso, Pwn2Own, organizado por Zero Day Initiative (ZDI) de la firma de ciberseguridad Trend Micro, y diseñado para profesionales de ciberseguridad de sombrero blanco que compiten en el descubrimiento de vulnerabilidades en software y servicios populares.

    Las empresas ofrecen voluntariamente su software y servicios para que los participantes pirateen, y ofrecen recompensas por hacerlo. Todos ganan en Pwn2Own: los piratas informáticos ganan dinero legalmente por sus habilidades y los desarrolladores pueden hacer que su software sea más seguro. En este caso, la recompensa fue la friolera de $ 200,000USD.

    De momento, no hay mucho de lo que los usuarios de Zoom tengan que preocuparse, aunque el equipo de desarrollo de la compañía tiene 90 días antes de que el exploit se haga público. Como Zoom aún no ha tenido tiempo de reparar el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto.

    Lo que sí se sabe es que los investigadores de Computest demostraron una cadena de ataque de tres errores que causó una falla de ejecución remota de código (RCE) como una clase de fallas de seguridad de software que permiten a un actor malintencionado ejecutar el código de su elección en una máquina remota a través de una LAN, WAN o Internet.

    También sabemos que el método funciona en la versión de Windows y Mac del software Zoom, pero no afecta la versión del navegador. No está claro si las aplicaciones de iOS y Android son vulnerables, ya que Keuper y Alkemade no las investigaron.

    Sin embargo, lo más alarmante es el hecho de que pudieron tomar el control del sistema remoto ejecutando el cliente Zoom sin la participación de la víctima. La explotación no requería que la víctima hiciera clic en ningún enlace ni abriera ningún archivo adjunto, teniendo la pareja un control casi completo sobre la computadora remota.

    Los hackers demostraron varias acciones, como la alteración de la Cámara web y el micrófono, mirando el escritorio, leyendo correos electrónicos y descargando el historial del navegador de la víctima.

    La organización Pwn2Own ha tuiteado un gif que demuestra la vulnerabilidad en acción. Se puede ver al atacante abrir la calculadora en el sistema que ejecuta Zoom:

    “Nos tomamos la seguridad muy en serio y apreciamos enormemente la investigación de Computest. Estamos trabajando para mitigar este problema con respecto a Zoom Chat, nuestro producto de mensajería grupal», dijo un portavoz de Zoom en un comunicado.»El chat en sesión en Zoom Meetings y Zoom Video Webinars no se ve afectado por el problema. Como práctica recomendada, Zoom recomienda que los usuarios acepten solo solicitudes de contacto de personas que conocen y en las que confían.»

    Unos 23 equipos participaron en el concurso y también consiguieron infiltrarse en otros sistemas. Durante la competencia destacaron que Windows 10 y Chrome fueron vulnerados. Con respecto al sistema operativo de Microsoft, los competidores lograron fácilmente introducir un malware al sistema, con la posibilidad de controlarlo. Los errores por los cuales los hackers fueron reconocidos fueron: una cadena de dos errores en Microsoft Teams que condujo a la ejecución del código; y el segundo por una omisión de autenticación y escalada de privilegios para tomar el control de Microsoft Exchange. A su vez, la falla de Chrome consistió en hackear la seguridad del navegador de internet de Google. Se trata de un error tipo Type Mismatch, que, por ser descubierto, ha hecho ganar a los hackers $100.000USD.

    Este evento, y los procedimientos y protocolos que lo rodean, demuestran muy bien cómo funcionan los piratas informáticos de sombrero blanco y qué significa la divulgación responsable. La eliminación de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad de confianza.

  • El hackeo advertido a Microsoft compromete a gobiernos de todo el mundo

    Microsoft fue advertido hace meses y ahora, el hackeo de Hafnium ha comprometido a gobiernos de todo el mundo

    El viernes pasado, varios periodistas de ciberseguridad informaron que hasta 30.000 organizaciones se habían visto comprometidas en un ataque sin precedentes al servidor de correo electrónico de Microsoft, que se cree que se originó en un grupo de piratería chino conocido como Hafnium. La Casa Blanca lo llama una amenaza activa y promete una ‘respuesta total del gobierno’.

    Durante el fin de semana pasado, ya esa estimación se había duplicado a 60.000 clientes de Microsoft Exchange Server pirateados en todo el mundo, y la Autoridad Bancaria Europea ahora admitió que es una de las víctimas. Parece que Microsoft pudo haber tardado demasiado en darse cuenta de la gravedad del asunto y ponerle freno. Según algunas fuentes tenía esta información desde enero, casi dos meses antes de que Microsoft publicara su primer conjunto de parches.

    Al principio, los piratas informáticos chinos llevaron a cabo una campaña cuidadosa. Durante dos meses, aprovecharon las debilidades de los servidores de correo electrónico de Microsoft Exchange y robaron de forma sigilosa buzones de correo completos. Cuando los investigadores finalmente se dieron cuenta, pensaron en un espionaje en línea típico, pero luego las cosas empeoraron dramáticamente.

    Alrededor del 26 de febrero, la operación se convirtió en algo mucho más grande y caótico. Pocos días después, Microsoft reveló públicamente los hacks y emitió una solución de seguridad. Pero para entonces, los atacantes buscaban objetivos en todo Internet: además de las decenas de miles de víctimas denunciadas en los EE. UU., los gobiernos de todo el mundo anunciaron que también están comprometidos. Ahora, al menos 10 grupos de piratas informáticos, la mayoría de ellos equipos de ciberespionaje, están explotando las vulnerabilidades en miles de servidores en más de 115 países, según la firma de seguridad ESET.

    De manera más diplomática, la secretaria de prensa de la Casa Blanca, Jen Psaki, lo llamó «una amenaza activa», llamando más la atención sobre la directiva de emergencia que la agencia de ciberseguridad del Departamento de Seguridad Nacional envió el 3 de marzo. El asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, también lo advirtió, al igual que el ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Christopher Krebs, y el Consejo de Seguridad Nacional de la Casa Blanca.

    Microsoft se negó a comentar por el momento sobre sus parches y divulgaciones, y en su lugar señaló: “Estamos trabajando en estrecha colaboración con CISA, otras agencias gubernamentales y empresas de seguridad, para asegurarnos de que estamos brindando la mejor orientación y mitigación posibles para nuestros clientes. La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados. Continuamos ayudando a los clientes brindándoles orientación adicional sobre investigación y mitigación. Los clientes afectados deben ponerse en contacto con nuestros equipos de soporte para obtener ayuda y recursos adicionales».

    En este punto, el mensaje debe ser claro: cualquier persona que haya instalado un Microsoft Exchange Server local (2010, 2013, 2016 o 2019) necesita parchear y escanear, pero solo se está comenzando a comprender el alcance del daño. Según los informes, los piratas informáticos instalaron malware que puede permitirles volver a esos servidores, y aún no se sabe qué podrían haber tomado. «Estamos llevando a cabo toda una respuesta del gobierno para evaluar y abordar el impacto», se lee en parte de un correo electrónico de un funcionario de la Casa Blanca.

    Y Usted CTO, CIO o simplemente el Administrador de seguridad de la empresa, ¿Aún siente que «eso no le va a suceder»? Se ha atacado a la empresa más grande del mundo que le llega a usted a través de uno de los programas más utilizados en materia empresarial. ¿No será hora de ir pensando programar un testeo de su seguridad infromática?

    Para un Penetration Test, similar a lo que realizan los hackers, pero de una forma controlada y bajo un entorno ético, programe su cita aquí

  • Hackers chinos atacan al mayor fabricante del mundo de vacunas contra el COVID-19 en la India

    El problema de los piratas informáticos chinos ha vuelto a la vanguardia en la India, con acusaciones de intentos de infiltración en los sistemas de tecnologías de la información (TI) de dos fabricantes de vacunas indios.

    Investigadores de Cyfirma, una firma de inteligencia cibernética, dijeron que había descubierto cómo el grupo de piratería chino APT10, también conocidos como Stone Panda, había estado apuntando a la infraestructura de TI y la cadena de suministro del Serum Institute of India (SII), el mayor fabricante de vacunas del mundo que fabrica la vacuna AstraZeneca, y Bharat Biotech, fabricante local de vacunas.

    India ha otorgado aprobación de emergencia a ambos fabricantes para satisfacer las necesidades del país para su programa de vacunación, que se encuentra entre los más grandes del mundo.

    Cyfirma dijo que descubrió que la investigación de la vacuna de la India había atraído la atención de los actores de amenazas patrocinados por el estado chino «cuyas intenciones son empañar la reputación de la India, así como interrumpir su esfuerzo nacional de vacunación».

    La firma dijo que no sabía la fecha exacta de los ataques, pero dijo que la evidencia de las comunidades y foros de piratas informáticos apuntaba a los esfuerzos que ya se estaban iniciando contra las dos empresas. «Las naciones no se están retrasando en sus intentos de ganar la carrera de las vacunas, ya que estamos viendo niveles sin precedentes de actividades cibernéticas», dijo el fundador y director ejecutivo de Cyfirma, Kumar Ritesh.

    La afirmación de supuestos intentos de piratería informática coincide con los esfuerzos de India y China para aliviar las tensiones a lo largo de la frontera, donde un enfrentamiento entre las fuerzas de ambos lados interrumpió sus relaciones. Desde entonces, los dos países han avanzado en la retirada de sus fuerzas en diferentes puntos de la frontera. El violento enfrentamiento de junio pasado provocó una acumulación de tropas y armamento por ambas partes.

    Ambos países también han estado a la vanguardia de la diplomacia de las vacunas. India produce más del 60% de las vendidas en el mundo y ha dado millones de dosis de su vacuna a sus vecinos inmediatos y también las ha suministrado a otros países, incluso a través de Covax, un plan global para adquirir y distribuir vacunas Covid-19 de forma gratuita a los países más pobres. De manera similar, China ha estado distribuyendo vacunas a 45 países.

    «Los piratas informáticos patrocinados por el estado están avanzando para interrumpir la distribución de vacunas, robar la propiedad intelectual de la investigación, todo en sus esfuerzos por crear una ventaja competitiva para sus países. Buscaban combinación de medicamentos químicos, bases de datos sensibles, información del cliente para una ventaja geopolítica y competitiva», declaró Kumar Ritesh.

    Ritesh, cuya firma sigue las actividades de unos 750 ciberdelincuentes y monitorea casi 2,000 campañas de piratería utilizando una herramienta llamada DeCYFIR, dijo que aún no estaba claro a qué información relacionada con las vacunas de las compañías indias pudieron haber accedido los hackers chinos.