Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

Más información:
 
Reporte del fallo:

Múltiples vulnerabilidades en Foxit Reader y PhantomPDF

Foxit ha corregido un total de 18 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF. Estas vulnerabilidades podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.

Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDF. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y apriori menos atacada que al popular lector de PDFs Adobe Reader.

Las vulnerabilidades afectan a las versiones 9.1.0.9292 y anteriores de los productos Reader y PhantomPDF.

El equipo de investigadores de Cisco Talos ha encontrado 18 vulnerabilidades en Fox Reader. Una de las más críticas, afecta al motor JavaScript de la aplicación para crear formularios dinámicos y documentos interactivos.

Esta última vulnerabilidad tiene lugar cuando se lanza código JavaScript embebido en el PDF. Cuando el documento se cierra, liberan numerosos objectos usados, pero en este caso, el código JavaScript embebido continúa ejecutándose, potencialmente provocando que se use memoria que ya fue liberada (‘use-after-free’) en el motor JavaScript de Foxit, lo que potencialmente puede permitir la ejecución remota de código arbitrario.

Más información:

Boletín oficial Foxit:
https://www.foxitsoftware.com/support/security-bulletins.php

Reporte vulnerabilidades Cisco Talos:
https://blog.talosintelligence.com/2018/10/foxit-pdf-reader-multiple-vulnerabilities.html#more

GhostDNS entra en tu router, te cambia la configuración DNS y te roba las credenciales.

DNSchanger no es nada nuevo, pero este caso en particular ha llamado la atención a los investigadores de Netlab, que han descubierto GhostDNS, una botnet basada en el conocido malware y que ha conseguido infectar a más de 100.000 router y afectar a más de 70 firmware diferentes.

the hackers way

 

Los servidores de nombres o DNS se encargan de traducir el dominio que utilizamos para acceder a una página web en la dirección IP del servidor donde se aloja. Generalmente se utilizan servidores DNS de entidades conocidas, como es el caso de Google, OpenDNS o CloudFlare por ejemplo. Si un atacante cambiara el servidor DNS utilizado por uno controlado por él, podría redireccionar un dominio a cualquier IP, de esta manera, si es capaz de duplicar el contenido del sitio web al que accede, podría realizar un ataque de phishing complicado de detectar por el usuario, ya que la URL que utiliza es la de la página real.


El módulo principal de GhostDNS es DNSChanger, que se encarga de cambiar la configuración de los DNS en los router. Cuenta con más de 100 scripts cuya finalidad es la explotación de los routers vulnerables para ejecutarse y cambiar su configuración.


De los demás módulos no tenemos mucha información aún. Sabemos que uno es un panel de administración, seguramente utilizado como servidor de C&C por el atacante, y otro es Rogue DNS, que resuelve el dominio utilizado por la víctima y cambia la IP por la del servidor controlado por el atacante.


Para proteger nuestro router es importante cambiar la contraseña que viene por defecto por una segura, descargar e instalar la última versión de firmware desde la página oficial del fabricante y por último revisar la configuración DNS.
Más información:

D-Link soluciona varias vulnerabilidades presentes en Central WifiManage

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en “Central WifiManager”, una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

 

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’
XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Más información:
 

Actualización de seguridad para Extensiones de Google Chrome

Como hemos visto este último año, las extensiones maliciosas de chrome han ido creciendo y google se ha visto obligado a actualizar su Chrome web store. A partir de la versión de Chrome 70 vamos a encontrarnos con extensiones más seguras y transparentes para el usuario.

 

A principio de este año Google comenzó a banear las extensiones que tenían scripts de minería de datos, más tarde en junio la compañía deshabilitó la instalación desde web, y por último introdujo machine learning para detectar y neutralizar malware en las extensiones. Por lo que han decidido dar el siguiente paso anunciando 5 nuevas actualizaciones que darán al usuario más control sobre ciertos permisos y obliga a cumplir las medidas de seguridad.


Los nuevos cambios que veremos en Chrome 70 son:
  • Nuevos permisos de Host. Hasta ahora el usuario no controlaba qué tipo de permisos de lectura escritura o cambio tenía la extensión sobre el sitio web que estaba visitando. A partir de esta nueva versión, aunque actualmente está en beta, el usuario controlará cuando y como la extensión de chrome controlará los datos.
  • Google prohíbe la ofuscación de código: Los malos utilizan código ofuscado para que sea más difícil de detectar y de analizar. A partir de ahora el código de las extensiones tienen que estar libre de código ofuscado, en el caso contrario en desarrollador tendrá 90 días para quitarlo.
  • Identificación en dos pasos: debido a la corriente de phishing sufrida este último año con la intención de robar cuentas con las que actualizar las extensiones con código malicioso, Google ha decidido añadir la verificación en dos pasos a la lista de actualizaciones.
  • Revisión de extensiones. Google revisará las extensiones más de forma más profunda.
  • por último, se anuncia la actualización del fichero manifest a la versión 3. El fichero manifest.json es donde se declaran las variables de configuración de la extensión
Con más de 180.000 extensiones en Chrome Web Store, Google tratará de hacer más seguro navegar por internet.

Más información:
Google Announces 5 Major Security Updates for Chrome Extensions

FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos

El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios

Resultado de imagen de atm hacked

El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?

Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que intereceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.
“Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares”, explican en el informe.
 ¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?
 
Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.
Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.

A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo.
El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

Google+ expone los datos de 500.000 usuarios y cierra su plataforma

La conocida red social de Google cerrará después de que la compañía haya expuesto los datos privados de cientos de miles de usuarios a desarrolladores externos.

Resultado de imagen de google+

Según el gigante de la tecnología, una vulnerabilidad en una de las API de Google+ permitió a desarrolladores externos acceder a los datos de más de 500.000 usuarios, incluídos la dirección, ocupación, fecha de nacimiento, etc.

Dado que los servidores de la compañía no mantienen registros de API durante más de dos semanas, la empresa no puede confirmar el número de usuarios afectados por la vulnerabilidad.

“Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ podrían verse afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber usado esta API”. comunicaba Google.

La vulnerabilidad estuvo abierta desde 2015 y se solucionó en Marzo de 2018, pero la compañía optó por no revelarlo al público mientras estaba el escándalo de Facebook.

Además de admitir la brecha de seguridad, Google también anunció que la compañía está cerrando su red de medios sociales, reconociendo que Google+no logró la acogida esperada.

Novedades de Google en cuanto a privacidad tras el error:

Como una de las consecuencias de todo lo acontecido, la compañía ha revisado y actualizado el acceso de desarrolladores externos a la cuenta deGoogle y los datos de los dispositivos Android.

Antes, cuando una aplicación de terceros solicita al usuario el acceso a los datos de su cuenta de Google, al hacer click en el botón “Permitir” se aprueban todos los permisos solicitados a la vez, lo que brinda la oportunidad de que aplicaciones malintencionadas engañen a los usuarios para que entreguen permisos efectivos.

Con la nueva actualización de permisos, solicita cada uno individualmente en lugar de todos a la vez, dando a los usuarios un mayor control sobre el tipo de datos de la cuenta que eligen compartir con cada aplicación.

Finalmente, tras el incidente, las acciones de Google han caído más del 2 por ciento.

Xbash, un gusano multiplataforma enfocado a servidores

Este nuevo gusano para Windows y Linux escrito en Python combina ransomware, minado, botnet y capacidad de auto-propagación

Ha sido detectado un nuevo tipo de malware del que se sospecha que podría estar detrás Iron Group, un grupo cibercriminal chino ya conocido. Esta nueva amenaza destaca por contar con un amplio abanico de funciones, entre las que se encuentran ransomware (borra datos de varios tipos de bases de datos), botnet (comunicándose a servidores C2), ataques por fuerza bruta a múltiples servicios (MySQL, VNC, etc.), explotación de servicios para propagación (Hadoop, Redis y ActiveMQ) y minado. Además del alto número de opciones (que podrían ir incrementándose con el tiempo), este malware destaca por ejecutarse tanto en Windows como en Linux.

El principal riesgo que trae este malware es su capacidad como ransomware, afectando a las bases de datos MySQL, PostgreSQL y MongoDB, de las cuales borra todos sus datos y crea una nueva tabla con la información para realizar el pago. A pesar de que la cuantía por recuperar la información es relativamente pequeña (0,02 bitcoin, 125$ en estos momentos), no debería hacerse el pago bajo ningún concepto, porque el atacante no ha añadido un método de recuperación. El malware no sólo intenta acceder a las bases de datos conectándose a ellas, sino que además cuenta con métodos alternativos como utilizando PhpMyAdmin.

El atacante ya ha recibido 6000$ en Bitcoins. Fuente: Palo Alto.

Otra de las características incluidas son sus funcionalidades como botnet para analizar máquinas remotas. Para su funcionamiento, hace uso de 3 tipos de servidores C2: uno del que obtiene IPs y dominios (públicos) a analizar, otro del que obtiene contraseñas a probar, y finalmente otro al que envía los resultados. El malware cuenta con un amplio número de servicios a examinar por si estuviesen disponibles, y en caso de tener éxito (y si el servicio está implementado), intenta romper la contraseña haciendo uso de los diccionarios. Los servidores C2 se encuentran en el código, y todas las comunicaciones se realizan usando HTTP.

Para su propagación, se aprovecha de vulnerabilidades ya conocidas en Hadoop (sin CVE, de 2016), Redis (sin CVE también, 2015) y ActiveMQ (CVE-2016-3088), lo que urge aún más actualizar dichos servicios si no lo estuviesen ya. Para infectar las máquinas vulnerables, el gusano se descarga así mismo desde uno de los servidores C2 disponibles, además del Coinminer empleado por el grupo criminal. Incluso para la instalación del malware cuenta con funciones para detectar si la máquina es Windows o Linux, para así realizar la instalación de la forma correcta.

Python, el lenguaje de programación empleado, destaca por permitir un desarrollo rápido y fácil, al mismo tiempo que facilita incorporar mejoras al software. Este lenguaje de script es multiplataforma, ventaja que aprovecha para ampliar el número las plataformas a infectar. Para su instalación, utiliza PyInstaller, un contenedor que incluye todas las dependencias de Python necesarias. Además, ofusca el código para impedir que sea detectado y dificultar su análisis, aunque ya está siendo detectado por varios antivirus.

Tendremos que estar atentos al avance de este malware, que podría variar en los próximos meses para soportar nuevos métodos de ataque y propagación. Mientras tanto, se recomienda utilizar contraseñas seguras en la configuración de los servicios, mantener el software actualizado y realizar backups (sobre todo de bases de datos).

Más información:

Falso email de Deloitte usado para distribuir malware

No es la primera vez que los spammers utilizan la imagen de empresas conocidas para hacer llegar a los usuarios correos no deseados o, en el peor de los casos, malware.

 

En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses.

Los correos reportados provienen de un tal “Adam Bush” Adam.Bush@deloitte-inv.com y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido.

Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk

El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:

Payrollschedule.xls. Fuente: myonlinesecurity.co.uk

La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.

IOC de la campaña:

Payrollschedule.xls
MD5:  a628323455d1f19d1115e1626d1fabce
SHA-1:  552f531d1f8cba28da5fcc376abbc5647f438c69

URL de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5: cae0a5bb259d11b80e448c0c68f47f06
SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b

Remitente: Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218

Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.

Desde Hispasec recomendamos no abrir nunca correos con adjuntos no solicitados.

Más información:
 
fake Deloitte FW: Payroll schedule delivers Trickbot:

Newegg es la nueva víctima del grupo delictivo Magecart

Esta semana la empresa Voletix junto a RiskIQ han publicado una investigación que tiene como protagonistas al grupo de ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de ordenadores y productos electrónicos de consumo Newegg.

Magecart es un grupo de ciberdelicuentes especializado en el robo de credenciales de pago mediante el uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el robo de credenciales de pago en TicketmasterBritish Airways y el caso reciente deNewegg.

Este ataque ha sido prácticamente igual que el publicado un par de semanas atrás y que afectaba a la aerolínea británica British Airways. De hecho, teniendo en cuenta la fecha de realización del ataque y no la de publicación, este ataque ha sido anterior.

En resumen, el proceso es el siguiente:

  1. Los atacantes logran acceder al servidor donde se hospeda el código que interpreta la web de la víctima, a través de cualquier vector.
  2. El atacante introduce un código Javascript fraudulento que, paralelamente al proceso de compra, envía los credenciales del usuario a un servidor controlado por los atacantes.
  3. El ataque persiste mientras el código no es detectado.

La detección puede llevarse a cabo bien por alguien externo, por la propia empresa afectada o bien por parte de las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes que reclaman cargos no autorizados, alertan a la víctima.

Las entidades bancarias están más que acostumbradas a detectar patrones que identifiquen un ‘skimmer’ como foco del robo de información de credenciales bancarios. La cadena de hechos es sencilla: reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón común entre ellos, y ya tienen la fuente, en este caso todos compraron previamente en Newegg.

Durante muchos años ha sido bastante común, y lo sigue siendo, la colocación de TPVsfraudulentos que roban las tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico, los atacantes manipulan TPVs virtuales.

Pero volviendo al ataque, veamos que particularidades ha tenido este caso.

Lo primero que vamos a contar es el punto donde se ha introducido el código fraudulento, en este caso ha sido en el servidor secure.newegg.com.

Lo verdaderamente sorprendente esta vez ha sido como los atacantes han intentado disfrazar el ataque para permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los atacantes registraron el dominio neweggstats.com, un dominio que pretendía disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la información robada. Además le compraron un certificado SSL para cifrar el tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.

Todo esto les permitió permanecer más de un mes sin levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx

Cabe mencionar que en el caso de British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque. Este caso de Newegg es aún más ‘flagrante’ ya han sido únicamente 15 las líneas necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un eslogan bastante más divertido, a mi manera de ver, que podría ser el siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas menos para perpetrar su ataque que en el caso de British Airways”, una tontuna enorme, ya no solo por el hecho de que el código es Javascript y hablamos de líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden que hace el envío de datos es evidenciar un completo desconocimiento sobre todo lo que conlleva ataques de este calado.