Banker.GT roba tus datos bancarios en Android y bloquea el antivirus

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/banker-gt-roba-tus-datos-bancarios-en-android-y-bloquea-el-antivirus/
TAGS: Banker.GT, nuevo troyano

Cuando cada vez están más cerca las compras navideñas, y por tanto se acerca un aumento en el uso de apps bancarias en el móvil, se ha descubierto un nuevo troyando bancario que afecta a dispositivos Android. Se llama Banker.GTy está diseñado para robar nuestras credenciales de acceso a servicios bancarios –entre otros-, pero por el camino es capaz, también, de deshabilitar el antivirus que tengamos instalado en nuestro dispositivo móvil.

 La lista de antivirus con los que es capaz de lidiar este troyano bancario no es corta, y entre sus amplias posibilidades están algunas de las soluciones de seguridad informática más populares para dispositivos Android. Podéis ver la lista de antivirus en RedesZone, pero a modo de resumen os adelantamos que puede con AVG, BitDefender, Qihoo y Symantec entre muchas otras. El malware en cuestión se ha podido detectar que se distribuye a través de una aplicación ocultaque se instala, como es frecuente, asociada a otra aplicación descargada desde fuentes no fiables.

Parece un cliente de correo electrónico, pero en realidad es un troyano bancario que invalida el antivirus y roba nuestras credenciales.

Así funciona Banker.GT, un nuevo troyano bancario para Android

Asociado a otra aplicación –con apariencia fiable-, la app se instala solicitando permisos innecesarios, pero elevados, que son los que le permiten controlar otras aplicaciones. Aquí es donde se lleva a cabo la desactivación del antivirus, luego se consigue que el troyano pueda llevar a cabo cualquier función maliciosa sin que salte alerta alguna por parte de las soluciones de seguridad informática. Y su funcionamiento se basa, de cara al usuario, en un servicio de correo electrónico ficticio que aparece como aplicación ‘Email’, con un icono sobre fondo blanco.

El troyano se encarga de conectar con un servidor que envía las instrucciones de forma remota para la recopilación de información de los usuarios afectados. Sencillamente se intercambian los datos robados y, habiendo asignado antes un identificador para cada víctima, se organizan para asociarlos a otra información recopilada del mismo. La cuestión es que esta app, ‘Email’, aparece únicamente de forma temporal y cuando se ha completado la instalación del troyano desaparece el icono para no levantar sospecha del usuario. Por lo tanto, lo importante para los usuarios es, como siempre, evitar instalar apps de fuentes no fiables, es decir, fuera de las tiendas oficiales de aplicaciones como la Google Play Store.

 Fuente:http://www.adslzone.net

Noticias de seguridad informática

Utilizan cuentas comprometidas de OneDrive for Business para infectar de malware a empresas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/utilizan-cuentas-comprometidas-de-onedrive-business-para-infectar-de-malware-empresas/
TAGS: Malware, OneDrive

Cuando nos envían un archivo por correo electrónico, se analizan los enlaces que pudieran venir en él para advertirnos en el caso de que una de las direcciones adjuntas fuese peligrosa. Pero los atacantes siempre van un paso por delante, y desde este verano han desarrollado un método con el que conseguir infectar de malware a las empresas saltándose estas protecciones.

Tal y como ha desvelado la firma de seguridad Forcepoin, se han empezado a detectar ataques en los que se utilizan cuentas comprometidas de OneDrive for Business para saltarse los filtros de seguridad e incitar a las empresas a bajarse malware. Estos ataques se están centrando sobre todo en Australia y Reino Unido, pero todos deberíamos estar atentos por si decidieran saltar a otros países.

Forcepoint explica que no está claro quién está realizando los ataques ni cuándo se consiguió comprometer la seguridad de OneDrive for Business, el servicio en la nube para empresas de Microsoft. Pero el caso es que desde agosto han venido detectándose numerosos ataques en los que se envía malware en campañas de correos fraudulentos utilizando este servicio.

Cuidado con lo que te descargas

Cada empleado de una empresa con una cuenta de OneDrive, tiene creada una carpeta personal 'MySite'. Algunas de estas cuentas han sido comprometidas y utilizadas para alojar malware, de manera que luego se genera un enlace al ejecutable que, al provenir de un servicio de Microsoft, no es detectado por los servicios de correo electrónico.

Se envía utilizando los clásicos correos de phishing a los que a usuarios y empresas se les proponen descuentos, presupuestos, etcétera relacionados con su negocio. Estos presupuestos suelen requerir la descarga de un archivo mediante un enlace OneDrive, el cual es el hace que nos descarguemos un virus, por lo general perteneciente a las familias de malware Dridex y Ursnif.

Este ataque no sólo es peligroso para los usuarios y empresas que reciben los correos, sino que como el malware se difunde a través de las cuentas de OneDrive de otras empresas, la reputación de estas también puede quedar dañada. Además, una vez comprometida una nueva empresa pueden quedar expuestos sus activos y contactos.

La única manera de impedir verse sorprendido por esta nueva campaña de ataques en el caso de que se amplíe a otros países es la de extremar las precauciones, desconfiando de quienes te incitan a realizar una descarga por mucho que esta sea a través de un servicio conocido. Forcepoint también le recomienda a las empresas que presten especial atención a la seguridad de sus cuentas de OneDrive for Business en el caso de que las tuvieran.

Fuente:http://www.genbeta.com

Noticias de seguridad informática

La empresa que desbloqueó el iPhone de San Bernardino dice poder hackear cualquier smartphone

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/la-empresa-que-desbloqueo-el-iphone-de-san-bernardino-dice-poder-hackear-cualquier-smartphone/
TAGS: “Wiper”, FBI, San Bernardino

A pesar de que este año ha estado marcado por algunas de las filtraciones de datos más importantes de los últimos años y de que el ramsomware está experimentando una escalada significativa, lo cierto es que la privacidad y la seguridad se han convertido en una clara apuesta para muchas empresas. Unas iniciativas que también se han centrado en el mercado de los smartphones y que, en definitiva, tratan de proteger al consumidor.

Sin embargo, existen otras que precisamente se han especializado en el lado opuesto. Es el caso de Cellebrite que, de hecho, acaba de jactarse de tener el software más avanzado para saltarse la seguridad de cualquier teléfono. De hecho, incluso el FBI lo ha empleado en algunos casos que prácticamente había dado por perdidos. Pero expliquémonos.

El software de Cellebrite

En concreto, se trata de una empresa israelí cuyo software fue usado por los investigadores para saltarse la seguridad del famoso iPhone 5C de Syed Rizwan Farookl, el asesino de la masacre de San Bernardino. Un caso tremendamente polémico que levantó suspicacias entre Apple y el FBI y que llevó a estos últimos a acusar a la firma de la manzana de obstruir la investigación. ¿El motivo? Que le impedían acceder a la información contenida en este teléfono. Un asunto que, al parecer, se solucionó gracias al software de Cellebrite .

Y aunque el caso se remonta a finales del año pasado, ha sido ahora cuando la compañía se ha jactado públicamente de poder saltarse la seguridad de cualquier smartphone, independientemente de su marca, modelo o sistema de seguridad utilizado para bloquear a los datos. De hecho, ha llevado a cabo una demostración en directo para mostrar cómo lo logra.

De manera más específica, lo ha enseñado sobre un LG G4 con la última versión de Android y en tal solo unos segundos, tras los que ha podido acceder a las últimas fotos y su localización del dispositivo. Asimismo, todas las imágenes fueron transferidas desde el teléfono a un ordenador, y se ilustró cómo era posible hacerlo con cualquier otro dato o archivo presente en el terminal.

Además, Cellebrite ha comentado que, con un poco más de tiempo, pueden lograr controlar prácticamente por completo el dispositivo, e incluso obtener los mensajes que fueron eliminados hace años y otros ficheros; aun si lo hemos formateado en algún momento (se han referido al volumen de información residual que permanece en él).

En todo caso y tras la demostración, la compañía ha asegurado que no existen razones para preocuparse por esta posibilidad, pues únicamente colabora con gobiernos y agencias estatales que necesitan encontrar datos en teléfonos involucrados en actividades delictivas. Unas afirmaciones que, sin embargo, no resultan de gran alivio. De hecho, la entidad reconoce vender software a empresas privadas que llevan a cabo investigaciones corporativas.

Noticias de seguridad informática

Así de fácil es robar un Tesla hackeando su aplicación oficial mediante malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/asi-de-facil-es-robar-un-tesla-hackeando-su-aplicacion-oficial-mediante-malware/
TAGS: Malware, Tesla hackeando

Estacionas tu Tesla. De camino al trabajo te conectas a una WiFi gratuita que ofrece una promoción interesante. Cuando regresas, tu automóvil ha desaparecido. Dos investigadores noruegos han demostrado cómo robar un Tesla hackeando su aplicación.

Los coches de la compañía tienen una aplicación móvil que ofrece algunas funciones interesantes, como conocer la localización del vehículo o abrir sus puertas de manera remota. Dos expertos en seguridad de la firma Promon han demostrado que esta misma app puede hackearse para abrir el Tesla y llevárselo limpiamente. Es fácil si tienes los conocimientos adecuados.

Probablemente más de uno haya enarcado una ceja en el mismo momento en el que decíamos que el usuario se conectaba a una WiFi gratuita, y es que por ahí es por donde los especialistas entran en el móvil del usuario. Para que el procedimiento funcione es preciso que el dueño del coche instale una aplicación falsa que es la que porta el código malicioso.

https://youtu.be/5jQAX4540hA

A partir de ahí, todo es coser y cantar. Los hackers localizan el coche con su propia aplicación, lo abren con ella y finalmente activan el modo de conducción sin llave. Este modo también forma parte de la aplicación y permite a alguien que no sea propietario del vehículo encenderlo y conducir introduciendo una clave que le da el dueño a través de la aplicación.

La demostración se ha realizado sobre la versión Android de la aplicación pero se podría hacer igualmente en iOS porque no explota ninguna vulnerabilidad específica. Tan solo usa técnicas de ingeniería social para aprovecharse de la inocencia de algunos usuarios mediante una aplicación trampa. La mejor moraleja es que, si tienes un coche que se puede abrir con una aplicación, mejor no instales software de desconocidos. Sobre todo si ofrecen una hamburguesa grátis.

Fuente:http://es.gizmodo.com/

Noticias de seguridad informática

¿Necesitas administrar varios equipos a la vez vía SSH? ClusterSSH será tu herramienta favorita

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/necesitas-administrar-varios-equipos-la-vez-via-ssh-clusterssh-sera-tu-herramienta-favorita/
TAGS: ClusterSSH

Cuando un administrador de sistemas tiene que realizar diferentes tareas de mantenimiento o puesta a punto de varios servidores, normalmente tiene que ir servidor por servidor ejecutando las mismas órdenes, o crear un script que automatice dicha tarea. Hoy os presentamos la herramienta ClusterSSH que nos permitirá conectarnos vía SSH a múltiples máquinas y enviarles a todas ellas la misma orden.

¿Qué es ClusterSSH?

ClusterSSH es una herramienta totalmente gratuita y de código libre que nos permitirá realizar los mismos cambios en un grupo de servidores. Esta herramienta es muy fácil de utilizar, ya que simplemente debemos teclear en un ordenador “central” el comando “cssh IP_1 IP_2”, con esto entraremos directamente en la administración de esos servidores desde la consola central. Todo lo que escribamos en la consola central es directamente replicado en las consolas de los equipos que estamos controlando.

En entornos empresariales lo más normal es tener claves criptográficas SSH, y no se usa el típico usuario/contraseña del sistema por seguridad. ClusterSSH también es capaz de soportar aquellos servidores SSH que para iniciar sesión se necesita un usuario y contraseña, no obstante, la parte negativa es que deberemos ir uno por uno introduciendo la contraseña para acceder a ellos. Por este motivo, lo ideal para utilizar ClusterSSH es utilizar la pareja de claves SSH para iniciar sesión.

La instalación de ClusterSSH la podemos hacer directamente desde los repositorios de nuestra propia distribución Linux, tecleando el siguiente comando:

1	sudo apt install clusterssh

Si el repositorio de software de nuestro sistema operativo no tiene esta herramienta, no hay ningún problema. Al ser de código abierto, podemos descargar el código fuente y compilarlo en nuestro sistema operativo, podéis acceder directamente al proyecto ClusterSSH en su Github. La última versión de este software es la 4.08 que fue lanzada el 18 de octubre de 2016, por lo que es una herramienta en continuo desarrollo.

Configuración de ClusterSSH

Con esta herramienta nosotros podemos definir las direcciones IP que queramos cada vez que lanzamos el comando principal, sin embargo, si tenemos una gran cantidad de máquinas, siempre podemos editar el fichero de configuración que se encuentra en /etc/clusterssh/ y podremos crear grupos de máquinas, por ejemplo, el grupo “webs” que estén formadas por cuatro direcciones IP de la plataforma, cuando ejecutemos “cssh webs” automáticamente se conectarán con las IP definidas.

De esta forma, podremos administrar diferentes grupos de máquinas fácilmente. Os recomendamos visitar este enlace de HackPlayers donde cuentan detalladamente cómo hacer funcionar ClusterSSH en la organización.

Fuente: http://www.redeszone.net

Noticias de seguridad informática

Cuidado con descargar imágenes JPG de Facebook, puede ser ransomware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/cuidado-con-descargar-imagenes-jpg-de-facebook-puede-ser-ransomware/
TAGS: facebook, ImageGate, ransomware

Investigadores han descubierto que es posible compartir ransomware a través de Facebook con lo que parecen simples imágenes.

Compartir malware a través de Facebook no es fácil; la red social tiene sus propias medidas para evitar que cualquier archivo sospechoso pase por sus servidores y hasta los usuarios.

Sin embargo, algunos hackers parecen haberse saltado esas medidas, y están compartiendo ransomware a través de Facebook; si los usuarios abren esos archivos, acabarán infectados. A esta técnica se le conoce como ImageGate.

ImageGate, un método para compartir ransomware a través de Facebook

Lo interesante es que a simple vista el archivo parece una imagen; los usuarios que han sufrido el ataque inicialmente recibieron una imagen de uno de sus amigos a través de Facebook Messenger (también funciona en LinkedIn). A primera vista parece una imagen jpg normal y corriente.

 

Si hacemos click en la imagen para verla más grande, nos aparecerá el mensaje de Windows para guardar el archivo; sólo entonces nos daremos cuenta de que tiene una extensión extraña. Se sabe que algunas de las extensiones usadas son .hta, svg o js. Recientemente también se ha añadido la extensión .zzzzz.

Pero claro, es muy fácil que no nos fijemos en la extensión del archivo una vez que hemos pulsado para descargarlo; sobre todo si inicialmente parecía que tenía la extensión .jpg.

Finalmente, si hacemos click en el archivo (o en la barra de descargas del navegador) para ver la imagen a tamaño completo, seremos infectados. Locky es el ransomware más usado por los atacantes que usan este vector de ataque.

Cómo podemos evitar infectarnos usando Facebook

https://youtu.be/sGlrLFo43pY

Locky funciona como la mayoría de ransomware; cifra todos nuestros archivos y a continuación pide un pago en Bitcoin para conseguir la clave que los descifre. Los expertos recomiendan no pagar a los atacantes, porque nunca hay ninguna certeza de que realmente recuperaremos los archivos.

Por esto, los expertos que han descubierto el bug de Facebook y LinkedIn recomiendan tomar dos pasos para protegernos:

• Si pulsas en una imagen y te pide guardar un archivo, no lo hagas; todas las imágenes que comparten contigo en Facebook deberían verse en el propio navegador.


• No abras “imágenes” con extensiones extrañas, sin importar de dónde las hayas conseguido.

Fuente:http://www.omicrono.com/

Noticias de seguridad informática

Casi todas las agencias gubernamentales de Reino Unido pueden espiar el historial de navegación

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/casi-todas-las-agencias-gubernamentales-de-reino-unido-pueden-espiar-el-historial-de-navegacion/
TAGS: Malware, Spy

Reino Unido aprobó esta semana la Investigatory Powers Act, que supone una de las mayores vulneraciones de la privacidad a la hora de navegar por la red en la historia reciente. Después de unos cuantos años de polémica y crítica, la ley entró en vigor, y permitirá a las autoridades gubernamentales, entre otras acciones, acceder al historial de navegación de cualquier ciudadano británico.

Esta ley, vulgarmente conocida como Snooper’s Charter (Ley del Fisgón en español) obliga a los operadores británicos a recopilar el historial de navegación de todos sus clientes y usuarios durante 12 meses para que las autoridades que lo soliciten puedan acceder a ellos, así como los servicios accedidos, como puede ser Spotify. Se recopilarán los dominios que visitan los usuarios, pero no las subpáginas dentro de estas. Así, podrán saber que has entrado a Facebook, pero no qué perfiles has visitado ni qué se ha hecho en esas páginas.

Casi 50 autoridades tendrán acceso

Además de conocer los dominios que visitan los usuarios, las autoridades podrán saber cuándo lo han hecho. Esto ayudará a establecer dónde se encontraban los usuarios y desde qué dispositivos accedieron a esas páginas. En total, son 48 las autoridades que pueden acceder a la información de los usuarios, y estas son:

• Metropolitan police force


• City of London police force


• Police forces maintained under section 2 of the Police Act 1996


• Police Service of Scotland


• Police Service of Northern Ireland


• British Transport Police


• Ministry of Defence Police


• Royal Navy Police


• Royal Military Police


• Royal Air Force Police


• Security Service


• Secret Intelligence Service


• GCHQ


• Ministry of Defence


• Department of Health


• Home Office


• Ministry of Justice


• National Crime Agency


• HM Revenue & Customs


• Department for Transport


• Department for Work and Pensions


• NHS trusts and foundation trusts in England that provide ambulance services


• Common Services Agency for the Scottish Health Service


• Competition and Markets Authority


• Criminal Cases Review Commission


• Department for Communities in Northern Ireland


• Department for the Economy in Northern Ireland


• Department of Justice in Northern Ireland


• Financial Conduct Authority


• Fire and rescue authorities under the Fire and Rescue Services Act 2004


• Food Standards Agency


• Food Standards Scotland


• Gambling Commission


• Gangmasters and Labour Abuse Authority


• Health and Safety Executive


• Independent Police Complaints Commissioner


• Information Commissioner


• NHS Business Services Authority


• Northern Ireland Ambulance Service Health and Social Care Trust


• Northern Ireland Fire and Rescue Service Board


• Northern Ireland Health and Social Care Regional Business Services Organisation


• Office of Communications


• Office of the Police Ombudsman for Northern Ireland


• Police Investigations and Review Commissioner


• Scottish Ambulance Service Board


• Scottish Criminal Cases Review Commission


• Serious Fraud Office


• Welsh Ambulance Services National Health Service Trust

De este listado destaca la policía británica, el ejército, el ministerio de defensa o hacienda, u otras tan raras como la agencia de normativa alimentaria. Dentro de todas estas organizaciones habrá que tener un rango o un cargo mínimo para acceder a los datos de los usuarios. Por ejemplo, en la policía será necesario ser al menos un inspector o un superintendente.

Este tipo de legislación la primera en la Unión Europea que permite a las autoridades el acceso total al historial de los usuarios bajo amparo legal. La única vía que tienen los usuarios para enmascarar su actividad en la red es utilizar VPN privados extranjeros que no pasen datos a las autoridades, pero eso afecta seriamente a la velocidad de navegación pues necesita redirigir el tráfico.

Fuente:http://www.adslzone.net/

Noticias de seguridad informática