Telegrab un malware en la mensajería instantanea de Telegram

Telegrab un malware de Telegram capaz de robar credenciales de navegadores y cookies

Los ví­deomensajes llegan a Telegram
Telegrab es como se ha bautizado a este malware que se detectó por primera vez el 4 de abril de 2018, y surgió una segunda variante el 10 de abril del presente año. Mientras que la primera versión solo robaba credenciales y cookies del navegador, junto con todos los archivos de texto que puedan encontrarse en el sistema, la segunda variante agregó la capacidad de recopilar la caché del cliente de escritorio y las claves de esta famosa aplicación de mensajería , así como otro tipo de información. El robo de este tipo de información podría acarrear en que se puedan secuestrar las sesiones de Telegram.

El radio de acción de este malware es principalmente víctimas de habla rusa y evita intencionadamente las direcciones IP relacionadas con cualquier servicio de anonimización de usuarios.

Como hemos dicho antes no explota ninguna vulnerabilidad si no que se aprovecha de que el cliente de escritorio de Telegram no soporta los “‘chats secretos” esto junto con una configuración por defecto de no cerrar la sesión automáticamente hace que este malware pueda secuestrar la sesión y por lo tanto las conversaciones. Su funcionamiento se basa en obtener todos los datos de la caché y comprimirlos para posteriormente enviarlo al servidor de control, si suponemos que el atacante no tiene la contraseña, no debería ser difícil para ellos crear un mecanismo de fuerza bruta que les permita obtener la contraseña para así poder descifrar los ficheros.

Esta campaña no es muy sofisticada pero si es tremendamente eficiente, no existe persistencia en la máquina por lo tanto el malware se ejecuta cuando la víctima lo ejecuta, pero no después de reiniciar. El malware se distribuye a través de varios ‘downloaders’ escritos en diferentes lenguajes (Go, Python, DotNet), estos ‘downloaders’ descargan un fichero con nombre“whiteproblem.exe”(entre otros por ejemplo: finder.exe, dpapi.exe, enotproject.exe).

Una vez se descarga el malware tiene dos posibles variantes: la primera ejecuta el finder.exe y la segunda se trata de un fichero ‘.rar’ autoextraible que contiene un ejecutable de python. El fichero “finder.exe” es el responsable de buscar en el disco duro las credenciales del navegador y las cookies de sesión para un usuario, también recoge todos los archivos de texto del sistema, este ejecutable también es el responsable de la exfiltración de la información recopilada.

Si comparamos esta amenaza con las de grandes grupos delictivos en Internet resulta ser insignificante, pero no nos engañemos, esto solo muestra como una amenaza pequeña puede pasar desapercibida y comprometer miles de credenciales.


 
Fuente:

El 18% de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware.

Un reciente estudio interno basado en los datos de Koodous llevado a cabo por nosotros mismos (Hispasec), revela un dato ciertamente preocupante: un 18% de los móviles analizados tienen instalado algún tipo de malware. El estudio cruza los datos de usuarios con aplicaciones de banca en línea con el malware detectado por Koodous.

¿Qué es Koodous?

Aunque a día de hoy pensamos que la mayoría de nuestros lectores lo conocen lo recordaremos para los más despistados: Koodous es un antivirus colaborativo para Android que pone a disposición de los analistas de malware todo el potencial de los sistemas de análisis; para que mediante la creación de firmas Yara puedan categorizar las muestras que van siendo recogidas por el sistema. Por lo cual son los analistas los que mediante la creación de firmas categorizan las aplicaciones.

El número de usuarios y aplicaciones maliciosas sigue creciendo.

Según los datos que manejamos desde 2014, y una estimación de los datos recogidos en 2018 podemos calcular la siguiente gráfica que muestra una clara tendencia alcista de aplicaciones fraudulentas.

Según datos de la agencia Gartner, el número de terminales móviles con sistema operativo Android no para de crecer, aunque si bien es cierto que iOS mantiene un crecimiento superior al de Android, la cuota de mercado de Android cercana al 86% dan una ventaja que explica entre otras cosas el interés de los atacantes en esta plataforma para la creación de amenazas. Si bien es cierto que existen otros factores determinantes como lo abierto del sistema operativo o que históricamente iTunes ha implementado controles más severos para controlar la subida de aplicaciones.

Por todo esto, desde Hispasec, ponemos a disposición de las empresas preocupadas por la proliferación de malware en los sistemas Android de sus clientes, un servicio que les permita mantener una visual de las aplicaciones fraudulentas presentes en los terminales. Este servicio unido a nuestro departamento Antifraude acota drásticamente las aplicaciones a analizar en busca de amenazas diseñadas para el robo o uso fraudulento de la marca de nuestros clientes.

¿Cómo funciona?

MAIA usa la base de datos de Koodous para que de forma inmediata se pueda tener una visual de la seguridad de los usuarios de su aplicación. Para que el muestreo no sea vinculante a los usuarios que tienen la aplicación de Koodous instalada, MAIA ofrece un SDK que se puede integrar junto a su aplicación para poder tener no sólo el muestreo total de sus usuarios sino poder identificar al usuario concreto que está afectado por malware.

BackSwap, el banker que simula ser un usuario

A pesar de que los bankers están perdiendo popularidad, en favor de los malware de minado de criptomonedas, los investigadores de ESET han descubierto una nueva familia de malware bancario que simula las pulsaciones de un usuario para evitar ser detectado.

El malware simplifica el proceso de inyección monitorizando el bucle de mensajes del sistema de ventanas de Windows e inyectando el código en la consola JavaScript del navegador cuando se detecta que el usuario se conecta a la página del banco.

El malware se distribuye mediante campañas de spam dirigidas principalmente a usuarios Polacos, en donde el gancho suele ser la actualización de una aplicación legítima, como TPVCGateway, SQLMon, DbgView, WinRAR Uninstaller, 7Zip, OllyDbg o FileZilla Server.

Estas aplicaciones están modificadas para ejecutar el código malicioso contenido en la función _initterm(), que es la que inicializa los punteros y variables antes de la ejecución del ‘main()’. Esto dificulta la detección, al no verse ningún comportamiento anómalo al inicio de la ejecución del programa.

Ejecución del código malicioso. Fuente: www.welivesecurity.com

Pero la novedad que introduce esta nueva familia es el procedimiento de inyección, que no utiliza complejos procesos de inyección, ni implementaciones específicas para los distintos navegadores. En lugar de esto, el malware utiliza el bucle de mensajes de Windows para detectar si la víctima está accediendo a la banca electrónica y cargar el código JavaScript malicioso en el navegador. Para ello el troyano guarda en el portapapeles el código y lo pega en la consola JavaScript del navegador simulando las pulsaciones de las teclas CTRL+SHIFT+J (para abrir la consola) CTRL+V y ENTER (para pegar y ejecutar el código) y finalmente la combinación para cerrarla, todo ello sin que la víctima perciba nada más que un pequeño cuelgue del navegador.

En nuevas versiones el malware utiliza la barra de direcciones para inyectar el código malicioso. Simulando también las pulsaciones de un usuario para evitar los mecanismos de seguridad.

Hasta el momento las muestras encontradas están dirigidas a bancos Polacos, pero como siempre, desde Hispasec recomendamos no abrir correos con adjuntos no solicitados o no confiables.

Algunos IOCs:

Actualización de seguridad de la suite ImageMagick

Se ha publicado una actualización de la suite de manipulación de imágenes ImageMagick que corrige múltiples vulnerabilidades.

ImageMagick es un conjunto de herramientas orientada a la creación, edición y manipulación de imágenes desde linea de comandos o mediante una biblioteca de funciones disponible en diversos lenguajes de programación. Actualmente soporta más de 200 formatos de medios, está escrita principalmente en lenguaje C y posee una licencia de código abierto.

Los errores corregidos, según CVE, son:

CVE-2017-10995

Corregido un desbordamiento de memoria intermedia en la función ‘mng_get_long’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato MNG.

CVE-2017-11533

Corregido un desbordamiento de memoria intermedia en la función ‘WriteUILImage’ del archivo ‘coders/uil.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado con la herramienta ‘convert’.

CVE-2017-11535

Idem al anterior CVE pero corregido en la función ‘WritePSImage’ del archivo ‘coders/ps.c’.

CVE-2017-11639

Idem al anterior CVE pero corregido en la función ‘WriteCIPImage’ del archivo ‘coders/cip.c’.

CVE-2017-13143

Corregido un error de revelación de información al usar memoria no inicializada en la función ‘ReadMATImage’ del archivo ‘coders/mat.c’. Este fallo podría permitir a un atacante obtener información importante de la memoria del proceso.

CVE-2017-17504

Corregido un desbordamiento de memoria intermedia en la función ‘Magick_png_read_raw_profile’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado; no especifica un formato concreto.

CVE-2017-17879

Corregido un desbordamiento de memoria intermedia en la función ‘ReadOneMNGImage’ del archivo ‘coders/png.c’. El fallo se encuentra en un error al calcular la longitud de un búfer.

CVE-2018-5248

Corregido un desbordamiento de memoria intermedia en la función ‘ReadSIXELImage’ del archivo ‘coders/sixel.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato SIXEL

La última versión publicada, libre de los fallos comentados, es la 7.0.7-35; todas las anteriores estarían afectadas por los mismos. La actualización está disponible en todos los sistemas operativos soportados.


ImageMagick

Un ataque de ‘downgrade’ en Z-Wave deja expuestos a 100 millones de dispositivos IoT

Alrededor de 100 millones de dispositivos IoT expuestos por una vulnerabilidad en el protocolo Z-Wave

Resultado de imagen de z-wave

Z-wave es un protocolo utilizado principalmente en domótica. Este protocolo permite el control inalámbrico de electrodomésticos y otros dispositivos, está destinado para la automatización del hogar y/o la oficina, permitiendo una conexión a través de Internet para controlarlo.

Los investigadores Ken Munro y Andrew Tierney han descubierto que más de 100 millones de dispositivos de miles de proveedores son vulnerables a un ataque llamado ‘downgrade’ (hacer que el dispositivo vuelva a usar una versión anterior de un sistema, software o protocolo volviéndolo inseguro) que podría permitir a los atacantes obtener acceso no autorizado a los dispositivos. El problema radica en la implementación del protocolo citado antes, una tecnología basada en radiofrecuencias que los dispositivos del hogar usan para comunicarse entre sí.

Resultado de imagen de z-wave
Esquema de conexión Fuente

El último estándar de seguridad para Z-Wave (S2 framework) utiliza un intercambio de claves de acuerdo al sistema ‘Diffie-Hellman’, para compartir las claves únicas entre la unidad controladora central y el dispositivo o dispositivos clientes. Después de que la empresa propietaria de Z-Wave obligase a todos los dispositivos IoT certificados a usar este último estándar en seguridad, millones de dispositivos aún admiten la versión más antigua e insegura del proceso de emparejamiento (S0 framework).

Este estándar se demostró vulnerable en 2013 debido al uso de una clave de codificación insegura para proteger la clave de red, lo que permitía a los atacantes interceptar la comunicación entre los dispositivos estando lo suficientemente cerca. Los investigadores han hecho un vídeo con la prueba de concepto y no solo han conseguido explotar este tipo de ataque si no que se han hecho con el control total del dispositivo robando las claves y controlando el dispositivo.

La compañía responsable del protocolo ha dicho que existen procedimientos por los cuales notificar y alertar a los usuarios si el dispositivo se conecta a una red usando versiones anteriores al estándar de seguridad último, pero lo cierto es que los fabricantes de dispositivos no implementan ninguna interfaz para notificar estas alertas al usuario y por lo tanto el usuario del dispositivo queda desprotegido.

Eliminar perfiles de Windows 7

Para eliminar un perfil de Windows 7 no solo vale con eliminar los archivos del usuario, también hay que eliminar la información del registro que se queda grabada, si no el usuario no va a poder iniciar sesión correctamente.

Detallo los pasos:

  • Reiniciar el equipo
  • Entrar con un usuario con privilegios de administrador
  • Entrar en la carpeta c:\usuarios
  • Eliminar los archivos del usuario (c:\usuarios\%nombreusuario%)
  • Abrir el registro (inicio – ejecutar – regedit)
  • Entrar en la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  • Entrar en cada una de las claves para mirar la cadena ProfileImagePath que nos dice a qué usuario pertenece esa clave (C:\Users\%nombreusuario%)
  • Eliminar la clave que corresponda
  • Reiniciar el equipo
Dos pasos que nos pueden ayudar a la hora de solucionar incidencias con problemas-fantasma.

ZNIU: un malware para Android basado en Dirty COW

ZNIU es un malware que afecta a dispositivos Android basado en el famoso CVE-2016-5195, también conocido como “Dirty COW”.

Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a ‘root’ en sistemas Linux.

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.

Cómo infecta ZNIU

Para lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de‘Dirty COW’, con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.

Proceso de infección. Extraída de http://blog.trendmicro.com

Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de “pago móvil y transferir dinero a cuentas controladas por el atacante.

Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com

Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.

Algunas muestras de ZNIU


Más información:
 

Fallo en el componente SPI de procesadores Intel permite borrar la BIOS

El pasado 3 de abril, Intel corrigió una vulnerabilidad clasificada como grave en el bus SPI de algunos de sus procesadores que permitía a un atacante provocar una denegación de servicio.

 

El bus SPI o bus de interfaz de periféricos serie, es un estándar utilizado para transferir información entre dispositivos electrónicos en modo full-duplex. La configuración del controlador ‘SPI Flash’ de algunos procesadores Intel exponía de forma insegura algunos códigos de operación que permitirían a un atacante alterar o borrar partes del firmware BIOS/UEFI, pudiendo provocar una denegación de servicio y en raros casos ejecutar código arbitrario en el sistema afectado.

Intel ha publicado la lista de los procesadores afectados:

  • 8th generation Intel® Core™ Processors
  • 7th generation Intel® Core™ Processors
  • 6th generation Intel® Core™ Processors
  • 5th generation Intel® Core™ Processors
  • Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
  • Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
  • Intel® Pentium™ Processor J3710 and N37XX
  • Intel® Celeron™ Processor J3XXX
  • Intel® Atom™ x5-E8000 Processor
  • Intel® Pentium® Processor J4205 and N4200
  • Intel® Celeron® Processor J3455, J3355, N3350, and N3450
  • Intel® Atom™ Processor x7-E39XX Processor
  • Intel® Xeon® Scalable Processors
  • Intel® Xeon® Processor E3 v6 Family
  • Intel® Xeon® Processor E3 v5 Family
  • Intel® Xeon® Processor E7 v4 Family
  • Intel® Xeon® Processor E7 v3 Family
  • Intel® Xeon® Processor E7 v2 Family
  • Intel® Xeon® Phi™ Processor x200
  • Intel® Xeon® Processor D Family
  • Intel® Atom™ Processor C Series

La vulnerabilidad, etiquetada con CVE-2017-5703 ha recibido la calificación de 7.9 de 10 en base al CVSS v3.0. El fallo ya se encuentra solucionado y los fabricantes han publicado las respectivas actualizaciones en forma de parches o actualizaciones de la BIOS. Se recomienda actualizar cuanto antes los sistemas Intel basados en SPI.

Más información:
 
Unsafe Opcodes exposed in Intel SPI based products
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00087

System firmware Can Be Erased or Corrupted After Boot
https://pcsupport.lenovo.com/es/es/product_security/ps500160

Carga insegura de librerías en Foxit Reader

Foxit Reader, presentado como una alternativa al lector de PDF Adobe Reader con algunas mejoras, sufre de una de las vulnerabilidades menos conocidas: la carga insegura de DLL’s.

Foxit Reader es una herramienta dedicada al formato de archivos PDF, que puede ver, crear, editar, imprimir y firmar digitalmente. Bajo el modelo de características base gratuitas y servicios adicionales de pago conocido como‘freemium’, esta aplicación está desarrollada por Foxit Software, una compañía localizada en FremontCalifornia. Las primeras versiones de Foxit Reader se hicieron famosas por ser rápidas y livianas.

Esta vez, Foxit Reader es noticia por presentar una vulnerabilidad poco común, que tiene su origen en un fallo de programación a la hora de especificar las DLL’s a cargar por el programa. La vulnerabilidad concreta es conocida como ‘Unsafe DLL loading’, y consiste en que es posible engañar al programa para que cargue una DLL diferente a la original. Debido a que por defecto las DLL’s al ser cargadas ejecutan un método encargado de inicializar recursos que necesite la DLL (llamado ‘DllMain’), esto esequivalente a ejecución de código arbitrario, si bien las condiciones están ciertamente restringidas.

Generalmente, en Windows la carga de DLL’s funciona buscando la librería en distintas rutas, siguiendo el siguiente orden (en Windows XP, en versiones modernas varía ligeramente):

  1. Donde reside el ejecutable
  2. El directorio actual (no es lo mismo que el primer punto)
  3. El de sistema (típicamente ‘C:\Windows\System32\’)
  4. Otro de sistema, pero el de 16 bits (‘C:\Windows\System\’)
  5. El directorio de Windows (‘C:\Windows\’)
  6. Los directorios especificados en la variable de entorno ‘PATH’
Windows no usa esa lista de búsqueda si se especifica una librería con una ruta absoluta (por ejemplo, C:\Windows\System32\rtutils.dll’) en lugar de relativa (‘rtutils.dll’), y va directamente a por la librería en esa ruta. Pero si efectivamente usa una ruta relativa, entonces usará esa lista de búsqueda. A partir de Windows XP SP2, al estar activado por defecto el valor del registroSafeDllSearchMode’, el orden cambia y el directorio actual pasa al quinto lugar de esa lista, haciendo un poco más segura la carga de DLL’s.
Sin embargo, a pesar de ésto, la carga de DLL’s sigue siendo vulnerable al buscar donde reside el ejecutable, o incluso si no existe la DLL, terminaría por usar rutas como el directorio actual o sacadas de la variable de entorno ‘PATH’. Lo cierto es que las condiciones son un poco especiales, y en las posibilidades de explotación se habla de una víctima ejecutando programas en un servidor de archivos remoto (un escenario no muy común y peligroso ya de por sí por otras razones).
Al final, nos quedamos con que si podemos escribir en la carpeta de una aplicación con esta vulnerabilidad, aunque no tengamos permisos de ejecución, cuando esa aplicación se ejecute tirará de la librería maliciosaplantada por el atacante en lugar de la librería del sistema. Si bien no es una técnica muy usada en explotación, sí lo es en malware, donde los autores plantan una DLL maliciosa como una forma poco usual y enrevesada de conseguir persistencia del malware en el sistema.
Foxit Software ya ha corregido esta vulnerabilidad en la última versión deFoxit Reader disponible en su página web.
 
Foxit Reader 8.3.1.21155 (Unsafe DLL Loading Vulnerability)
http://seclists.org/fulldisclosure/2018/Apr/41

More information about the DLL Preloading remote attack vector
https://blogs.technet.microsoft.com/srd/2010/08/23/more-information-about-the-dll-preloading-remote-attack-vector/

Vulnerabilidad en la función autocompletar de LinkedIn podría poner en peligro los datos de los usuarios

Vulnerabilidad descubierta en la funcionalidad autocompletar de Linkedin permite el robo de datos

 

Una nueva vulnerabilidad descubierta en la popular funcionalidad de‘Autocompletar’ o ‘Auto fill’ que puede permitir el robo de datos por parte de terceros.

Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa…etc en un solo clic.

Recientemente el investigador de seguridad Jack Cable de ‘Lightning Security’descubrió que podía no ser así.

Descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.

Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:

  • El usuario visita el sitio web malicioso, que carga el ‘iframe’ del autocompletar de LinkedIn.
  • El ‘iframe’ ocupa toda la página web y es invisible al usuario.
  • El usuario hace clic en cualquier parte de la web.
  • Los datos son enviados un sitio web malicioso.
Esta vulnerabilidad fue reportada e inmediatamente la compañía emitió una solución temporal a este posible ataque. La corrección restringe el uso de la función autocompletar a los sitios incluidos en la ‘white list’ o lista blanca.
El mismo investigador ha subrayado que el parche está incompleto y que aún permitiría usar esta características por los dominios incluidos en la lista blanca. Por lo tanto si cualquiera de estos sitios se viera comprometido, podría hacerse uso de este ataque.
Por parte de LinkedIn ya han lanzado el parche completo, en un comunicado por parte de la entidad aclaran lo sucedido:

“We immediately prevented unauthorized use of this feature, once we were made aware of the issue. We are now pushing another fix that will address potential additional abuse cases, and it will be in place shortly,” the company said in a statement. 

“While we’ve seen no signs of abuse, we’re constantly working to ensure our members’ data stays protected. We appreciate the researcher responsible reporting this, and our security team will continue to stay in touch with them.”


Twitter del investigador:
https://twitter.com/jackhcable

Web para la prueba de concepto: