SEGURIDAD Y AUDITORIA DE SISTEMAS

Un repaso, en cifras, del comportamiento en el último tiempo del macro malware en Latinoamérica y en particular a México.  Hacia finales del 2018, el Laboratorio de Investigación de ESET identificó un aumento en los registros de macro malware en México , una amenaza que ha mantenido actividad maliciosa constante en este territorio y que coloca al país con el mayor número de detecciones en la región. En esta publicación analizamos el comportamiento de este troyano en Latinoamérica. Características del macro malware En los últimos años, el macro malware ha sido utilizado en campañas de propagación de diversas familias de malware y sus variantes. Esta amenaza, identificada por las soluciones de seguridad de ESET como VBA/TrojanDownloader.Agent , es un troyano que tiene como objetivo principal la descarga de otros códigos maliciosos desde Internet. Tiene como base el uso de macros de Visual Basic for Applications (VBA) , comúnmente utilizadas en aplicaciones de ofimática, como la

Compartimos una serie de herramientas útiles para el análisis de este tipo de dispositivos inteligentes, como son Ubertooth, Attify Badge, Killerbee y Attify OS. Los dispositivos inteligentes son cada vez más comunes y seguramente ya tengas algunos de ellos en tu casa, como puede ser quizás algún enchufe que puedes controlar desde el celular, las luces de alguna habitación, un asistente de voz o incluso algún ‘wearable’ como un smartwatch o un par de anteojos. En el mercado existe una gran cantidad de opciones disponibles de este tipo de dispositivos que interactúan con tu teléfono móvil y/o con la red de tu hogar que, si no están bien configurados o si el fabricante no tuvo en consideración aspectos de seguridad suficientes, podrían ser vulnerables y exponer información personal. En publicaciones anteriores explicamos por donde comenzar el análisis de dispositivos IoT , lo cual puede ser complejo teniendo en cuenta la variedad de tecnologías y firmwares que existen en el mercado

El pasado martes día 12 de marzo, Microsoft liberó un paquete de parches que solucionan un total de 64 vulnerabilidades . 17 de ellas críticas, 45 importantes, y dos de criticidad baja y moderada. Los productos afectados son Windows, Internet Explorer, Edge, Office, Office SharePoint, ChakraCore, Skype for Business, and Visual Studio NuGet. Microsoft parchea también dos vulnerabilidades de día cero que se están explotando activamente. Ambas fallas residen en el componente Win32k. La primera de ellas ( CVE-2019-0808 ) puede ser explotada en combinación con la vulnerabilidad en Chrome descubierta la semana pasada y permite a un atacante remoto ejecutar código arbitrario en máquinas con Windows 7 o Windows Server 2018. La segunda vulnerabilidad, con ID CVE-2019-0797 , es similar a la primera y también se está explotando activamente en Internet. Ésta afecta a Windows 10, 8.1, Server 2012, 2016, y 2019. Como hemos dicho, este parche acumulativo soluciona 17 vulnerabilidades crític

La famosa compañía de software Citrix , reveló que el pasado 6 de marzo sufrió una brecha de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los atacantes revelar 6TB de información sensible de distintos clientes . El reporte le llegó a Citrix la semana pasada por parte del FBI . Aunque aún no hay evidencias del método utilizado, el FBI considera que se ha utilizado una técnica conocida como “password spraying“, un tipo de ataque por fuerza bruta en el que se comprueban un número reducido de contraseñas comunmente utilizadas contra múltiples usuarios. A diferencia de los ataques por fuerza tradicionales en los que se trata de vulnerar una única cuenta. Los investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas y petróleo o compañías tecnológicas entre otras. [ Su reporte ]. No obstante, Citrix no ha actuado hasta este último reported del FBI alertando

Se ha publicado la noticia en la que se alerta de la evolución del malware bancario Qbot, a la se le ha denominado como Qakbot. Qbot fue un malware bancario detectado en 2009 y cuya actividad era la infección de las máquinas para la obtención de credenciales bancarias, actividad que consiguió afectar miles de ordenadores. La detección de la muestra se ha logrado gracias a un comportamiento anómalo detectado en una de las redes monitorizadas por la solución data-alert de Varonis . Después de su detección y análisis se ha publicado un estudio alertando de la evolución de esta familia de malware. Ataque e infección: Fichero analizado: REQ_02132019b.doc.vbs sha1: c4b0e2161b44fa580d00cccd3b3c70b957d6f64 Lo más relevante de la evolución del malware es sin duda su polimorfismo es decir, que se encuentra cambiando continuamente, dificultando muchísimo su análisis estático. También ha llamado la atención la aleatoriedad de los nombres que componen el proceso de infección así como la dif

Investigadores de Google Project Zero han hecho pública una vulnerabilidad en macOS, después de que Apple no haya liberado un parche en los 90 días previos a la publicación. Descubierto por el investigador Jann Horn y demostrada por Ian Beer. La vulnerabilidad reside en la forma que el kernel de macOS, XNU, permite a un atacante manipular el sistema de ficheros sin informar al Sistema Operativo. Esta vulnerabilidad podría permitir a un programa malicioso saltarse la funcionalidad Copy-on-Write (COW) y modificar la memoria compartida entre procesos, llegando a corromperla. Copy-On-Write o COW es una optimización en la administración de recursos usada en computación. En este caso, se da cuando un proceso necesita un fichero o dato que ya se encuentra en la memoria de otro proceso. Ambos procesos pueden compartir dicho recurso en lugar de crear una nueva copia, reduciendo de esta forma recursos. Sin embargo, si uno de estos procesos necesita realizar algún cambio sobre el recurs

Un investigador ha reportado recientemente un fallo de seguridad en Facebook que permitía visualizar las fotos privadas de otros usuarios. La vulnerabilidad se descubrió en portal.facebook.com, la web de Facebook para su dispositivo ‘Portal’ , que está diseñado principalmente para realizar videollamadas. En la web de Portal disponemos de una pequeña ventana de chat para soporte, en la que podemos realizar consultas a un bot. Además de texto, es posible incluir imágenes y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad . Aunque inicialmente este fallo fue descubierto en este chat de soporte, según el investigador, el chat de Facebook también era vulnerable . El problema se encontraba en que al subir un fichero o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook . Después de realizar la subida de la foto, se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chat . Si se sus

Desde finales de 2018 se ha detectado la circulación de nuevas campañas de sextorsión a través del correo en busca de nuevas víctimas. Hacia finales de noviembre del año pasado, en el Laboratorio de Investigación de ESET recibimos una cantidad importante de spam relacionado a estafas que circulaban a través del correo y que formaban parte de nuevas campañas de extorsión; muy parecidas a otras que analizamos anteriormente y que compartimos con los usuarios para alertarlos. Los últimos correos que recibimos mantenían algunos elementos que llamaron nuestra atención, similares a los que vimos en la campaña identificada en septiembre de 2018 en la que la víctima recibía un correo que parecía haber sido enviado desde su propia cuenta . En esa ocasión, el asunto del mensaje hacía referencia a un supuesto hackeo de la cuenta del usuario y aconsejaba cambiar la contraseña de forma inmediata; mientras que en el cuerpo, el correo notificaba que la cuenta había sido comprometida gracias a la

Una entrevista con el investigador de malware de ESET Lukáš Štefanko, quien nos explica sobre malware bancario para Android; tema de su último white paper En 2018 se registró una gran cantidad de malware bancario en la plataforma de Android . Los cibercriminales no solo apuntaron constantemente a estos usuarios con troyanos bancarios y apps bancarias fraudulentas , sino que también experimentaron con nuevas modalidades para robar dinero. Para ayudar a los usuarios a navegar por este complejo escenario de amenazas dirigidas a usuarios de dispositivos Android , el investigador de seguridad de ESET, Lukáš Štefanko, explicó cuáles son actualmente los tipos de amenazas, tácticas y técnicas más prevalentes en el malware bancario para Android en su white paper: “Android banking malware: Sophisticated Trojans vs. Fake banking apps”. Android banking malware: Sophisticated Trojans vs. Fake banking apps Descargar el whitepaper

La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica. Extraído de dignited.com Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio . El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple. Un usuario de la red socia