ROBO DE DATOS EN TURBOTAX EXPONE INFORMACIÓN DE LOS USUARIOS

Funcionarios de la compañía reportan que actores desconocidos consiguieron acceso a los datos usando credenciales obtenidas en otros incidentes

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, Intuit, compañía desarrolladora de software financiero y creadora de servicios como Mint y TurboTax, ha sido víctima de un ataque de relleno de credenciales de acceso (conocido como credential stuffing). Se cree que los atacantes apuntan hacia la información de declaraciones de impuestos de los usuarios de estos sistemas.

Durante una revisión de seguridad rutinaria los especialistas en seguridad en redes de la compañía descubrieron el ciberataque. Acorde a Intuit, tanto las autoridades como los usuarios afectados ya han sido notificados; en el informe del incidente, se menciona que un agente sin autorización accedió a los datos de los usuarios afectados usando nombres de usuario y contraseñas obtenidas de una fuente ajena a Intuit, gracias a un ataque de relleno de credenciales.

En los casos en los que el ataque tuvo éxito, los hackers podrían haber accedido a las declaraciones de impuestos de los usuarios, además de la información adicional almacenada en la plataforma, como:

Nombres completos

Números de seguro social

Direcciones

Fechas de nacimiento

Información financiera

La información comprometida también podría incluir detalles sobre algunos familiares cercanos de los usuarios afectados, comentan expertos en seguridad en redes.

Como medida de seguridad, Intuit inhabilitó temporalmente las cuentas afectadas después de descubrir el incidente. Además, la plataforma ha ofrecido a los usuarios afectados un año de servicios de protección de identidad sin costo, monitoreo de cuentas bancarias y restauración de identidad a través de un servicio certificado.

Intuit insiste en que el incidente no debe ser considerado como un robo de datos que comprometió su infraestructura, sino que se trata de un ataque contra cuentas específicas de algunos usuarios.

LAS VULNERABILIDADES SPECTRE Y MELTDOWN NO PODRÁN SER CORREGIDAS CON IMPLEMENTACIONES DE SOFTWARE

Expertos de Google consideran que estas vulnerabilidades son inherentes al diseño de los procesadores modernos

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, las vulnerabilidades Spectre y Meltdown fueron reportadas por primera vez hace aproximadamente un año; desde entonces, incontables equipos de especialistas e investigadores independientes han tratado múltiples métodos para mitigar el riesgo de explotación de estos errores, esperando sean erradicados por completo en el futuro.  

Desafortunadamente, para los especialistas en seguridad en redes de Google, estas vulnerabilidades parecen ser una característica inherente a los procesadores modernos. En otras palabras, las técnicas de corrección y mitigación basadas en software no son suficientes para superar estas vulnerabilidades.

No está por demás recordar que los ataques de Meltdown y Spectre se aprovechan de la ejecución especulativa, función propia de los procesadores actuales. Esto significa que un procesador podrá suponer que una condición puede ser verdadera o falsa. Si resulta ser verdadera, los resultados especulativos se mantienen; si la condición resulta ser falsa, los resultados serán descartados.

Inicialmente los especialistas en seguridad en redes asumían que la ejecución especulativa era invisible para los programas en ejecución, pues se trata de una característica de las implementaciones. No obstante, posteriormente se descubrió evidencia de que algunos rastros de falsa especulación no son eliminados por completo.

Un usuario malicioso podría tomar control de estos datos a través de un canal lateral. Además, los atacantes pueden engañar a las computadoras para que carguen datos confidenciales, como información de los administradores, contraseñas, etc. Para mitigar los riesgos que representan estas vulnerabilidades, los desarrolladores han recurrido al uso de técnicas basadas en software, como el uso de entornos de sandbox, o evitando que el procesador ejecute información sensible.

Si bien estas técnicas de software son bastante funcionales, los expertos de Google afirman que esto es sólo una solución superficial. Una prueba realizada en el navegador Chrome demostró que, al tratar de implementar una solución integral contra un ataque Spectre, los administradores generaban una caída considerable en el rendimiento de sus desarrollos.

En conclusión, no es posible solucionar las vulnerabilidades del tipo Spectre sólo con implementaciones de software. La ejecución especulativa es parte fundamental de un procesador moderno, por lo que muchos especialistas consideran que Spectre y Meltdown estarán dando problemas por un largo tiempo.

VERIFIQUE SI SUS CUENTAS DE DUBSMASH, COFFEE MEETS BAGEL O MYFITNESSPAL FUERON HACKEADAS

Los hackers accedieron a datos personales de más de 160 millones de usuarios

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, Dubsmash, la popular app de video, sufrió un robo de datos a finales de 2018. Se calcula que el incidente afectó a alrededor de 162 millones de usuarios, exponiendo información como:

Nombres completos

Nombres de usuarios

Contraseñas

Números de teléfono

Emails

Datos de ubicación

Recientemente, la información comprometida fue encontrada a la venta en algunos foros de hackers en dark web. La app cuenta con más de 100 millones de descargas sólo en Google Play Store.

La información ha sido publicada en la plataforma Have I Been Pwned, que registra los robos de datos conocidos y permite a los usuarios verificar si sus credenciales de email han sido comprometidas en alguno de estos incidentes. Según este sitio web, la notificación sobre el robo de datos en Dubsmash fue publicada el 25 de febrero de 2019, especificando que 161 millones 749 mil 950 cuentas de Dubsmash en todo el mundo fueron afectadas.

Aunque, acorde a especialistas en seguridad en redes, Dubsmash debería notificar a los usuarios afectados, la compañía no ha realizado acciones para cumplir este requisito. Sin embargo, no todo son malas noticias, los usuarios preocupados por el estado de su información personal pueden dirigirse al sitio web de Have I Been Pwned (haveibeenpwned.com), ingresar su identificación de email y la plataforma verificará si su cuenta ha sido involucrada en algún incidente de robo de datos.

Afortunadamente existen otras plataformas similares que albergan enormes bases de datos sobre incidentes de seguridad donde los usuarios pueden verificar si su información ha sido comprometida. Como medida adicional, especialistas en seguridad en redes recomiendan los servicios de protección de identidad, que monitorean la red en busca de actividad sospechosa realizada con las cuentas del usuario afectado.

La información extraída de Dubsmash se ofrece a la venta en dark web junto con otros 500 millones de cuentas robadas de sitios como CoffeeMeetsBagel, MyHeritage, MyFitnessPal, entre otros. Aparentemente, la base de datos completa se ofrece en alrededor de 20 mil dólares, pagados a través de transacciones con criptomoneda.

ICANN SUGIERE IMPLEMENTAR TECNOLOGÍA DNSSEC DE INMEDIATO

El sistema de nombres de dominio es vulnerable a múltiples ciberataques, por lo que la organización ha solicitado implementar mejores medidas de seguridad

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) ha hecho un llamado a realizar un esfuerzo colectivo para desarrollar una tecnología de seguridad para el sistema de nombre de dominio (DNS) más confiable, que pueda proteger a los operadores de sitios web contra los ataques de los más peligrosos grupos de hackers.

Para ser exactos, lo que ICANN propone es realizar una implementación completa de las Extensiones de Seguridad en DNS (DNSSEC) en todos los nombres de dominio no asegurados. El sistema DNS es la parte de la infraestructura de Internet a nivel mundial que se encarga de trasladar los nombres de sitios en lenguaje común a direcciones IP necesarias para acceder a los sitios web, usar plataformas de email, etc. DNSSEC trataría de implementar una nueva capa de seguridad para DNS.

Las tecnologías DNSSEC existen desde hace casi 10 años, aunque aún no son ampliamente utilizadas. Acorde a los especialistas en seguridad en redes, menos del 20% de los registradores DNS en todo el mundo han implementado esta tecnología. Se cree que la adopción de DNSSEC  se ha retrasado debido a que podría reducir la funcionalidad a favor de mejorar las medidas de seguridad, además de que DNSSEC siempre fue considerado como una opción, no como un requisito de seguridad.

Esta tecnología podría evitar ataques que se aprovechen de las respuestas a las consultas DNS mediante la firma criptográfica de los registros DNS para comprobar su autenticidad.

El problema es que la mayoría de las implementaciones de DNSSEC son incompatibles con los requisitos de DNS actuales. “Las implementaciones heredadas de DNSSEC rompen funciones básicas de DNS, como el geo enrutamiento, además es complicado implementar esta tecnología en múltiples proveedores, por lo que el rendimiento se vería afectado, además de que su disponibilidad para usuarios finales se vería reducida”, comentan especialistas en seguridad en redes.

Acorde a ICANN, la implementación total de la tecnología DNSSEC garantiza que los usuarios finales accedan a los sitios web y servicios en línea legítimos. “Aunque esta no es una solución para todos los problemas de seguridad en Internet, DNSSEC brindaría protección adicional a un sector crítico”, agrega ICANN.  

En un comunicado, ICANN afirma que su solicitud está respaldada por múltiples informes que mencionan a grupos de hackers maliciosos explotando gran variedad de recursos y metodologías para llevar a cabo sus planes.

“Algunos recientes ciberataques se han enfocado en DNS; los hackers realizan algunos cambios en la estructura de nombres de dominio sin autorización, con lo que se pueden realizar diversas actividades maliciosas. La tecnología DNSSEC es completamente funcional contra este tipo de ataques”, afirma ICANN.  

La ICANN también publicó una lista de medidas de seguridad para DNS para que los miembros de la industria puedan proteger a sus clientes, sus sistemas de información y su infraestructura completa.

El llamado de ICANN llega poco después de que el Departamento de Seguridad Nacional en Estados Unidos decretara que todas las agencias a nivel federal tenían que reforzar sus sistemas de seguridad informática ante la creciente ola de ciberataques globales.

DATA BREACH AT TURBOTAX EXPOSES USERS’ INFORMATION

Company officials report that unknown actors got access to data using credentials obtained in other incidents

According to network security and ethical hacking specialists from the International Institute of Cyber Security reports, Intuit, a financial software developer and creator of services like Mint and TurboTax, has been the victim of a credential stuffing attack. It is believed that attackers aim to the tax return information of users of these systems.

During a routine safety check, the company’s network security specialists discovered the cyberattack. According to Intuit, both the authorities and the affected users have already been notified; in the incident report, it is mentioned that an unauthorized agent accessed the data of the affected users using user names and passwords obtained from a non-intuitive source, thanks to a credential stuffing attack.

In cases where the attack was successful, hackers could have accessed user tax returns, in addition to additional information stored on the platform, such as:

Full names

Social Security numbers

Users’ addresses

Dates of birth

Financial information

The compromised information could also include details about some close relatives of the affected users, according to network security experts.

As a security measure, Intuit temporarily disabled the affected accounts after discovering the incident. In addition, the platform has provided affected users with a year of free identity protection services, bank account monitoring and identity restoration through a certified service.

Intuit insists that the incident should not be considered as a data theft that compromised its infrastructure, but it is an attack against specific accounts of some users.

SPECTRE AND MELTDOWN VULNERABILITIES CAN’T BE CORRECTED WITH SOFTWARE IMPLEMENTATIONS

Google experts consider these vulnerabilities to be inherent in modern processors design

According to network security and ethical hacking specialists from the International Institute of Cyber Security, the vulnerabilities Spectre and Meltdown were reported for the first time about a year ago; since then, countless teams of independent specialists and researchers have tried multiple methods to mitigate the risk of exploiting these flaws, expecting to be able to completely eradicate it in the future.

Unfortunately, for Google network security specialists these vulnerabilities seem to be an inherent feature of modern processors. In other words, software-based correction and mitigation techniques are not enough to overcome these vulnerabilities.

It is worth noting that Meltdown and Spectre attacks take advantage of the speculative execution, a feature of the currently used processors. This means that a processor may assume that a condition can be true or false. If it turns out to be true, the speculative results are maintained; if the condition turns out to be false, the results will be discarded.

Initially, network security specialists assumed that speculative execution was invisible to running programs, as it is a feature of implementations. However, evidence was later discovered that some traces of false speculation were not completely eliminated.

A malicious user could take control of this data through a side channel. In addition, attackers can trick computers into loading sensitive data, such as administrators’ information, passwords, etc. To mitigate the risks posed by these vulnerabilities, developers have resorted to using software-based techniques, such as using sandbox environments, or preventing the processor from running sensitive information.

While these software techniques are quite functional, Google experts claim that this is just a shallow solution. A test made in the Chrome browser showed that, in trying to implement a comprehensive solution against a Spectre attack, the administrators generated a considerable drop in the performance of their developments.

In conclusion, it is not possible to solve Spectre-type vulnerabilities with software deployments only. Speculative execution is a fundamental part of a modern processor; so many specialists consider that Spectre and Meltdown will keep bringing problems for a long time.

HOW TO CHECK IF YOUR DUBSMASH, COFFEE MEETS BAGEL OR MYFITNESSPAL ACCOUNTS WERE HACKED

Hackers accessed personal data from more than 160 million users

According to network security and ethical hacking experts from the International Institute of Cyber Security, Dubsmash, the popular video app, suffered a data breach at the end of 2018. It is estimated that the incident affected about 162 million users, exposing information such as:

User full names

Usernames

passwords

Phone Numbers

Emails

Location data

Recently, the compromised information was found for sale on some hacker forums on dark web. The app has more than 100 million downloads only in Google Play Store.

The information has been published on the Have I Been Pwned platform, which records known data breaches and allows users to check if their email credentials have been compromised in any of these incidents. According to this website, the data breach notification at Dubsmash was published on February 25, 2019, specifying that 161,749,950 Dubsmash accounts worldwide were affected.

Although, according to network security specialists, Dubsmash should notify affected users, the company has not made any actions to meet this requirement. However, not everything is bad news, users concerned about the state of their personal information can go to the Have I Been Pwned (haveibeenpwned.com) website, enter their email id and the platform will verify if their account has been Involved in some data breach incident.

Fortunately there are other similar platforms that host huge databases on security incidents where users can verify if their information has been compromised. As an additional measure, network security specialists recommend identity Protection Services, which monitor the network for suspicious activity carried out with the accounts of the affected user.

The information extracted from Dubsmash is offered for sale on dark web along with another 500 million of accounts stolen from sites such as CoffeeMeetsBagel, MyHeritage, MyFitnessPal, among others. Apparently, the entire database is offered at about $20k USD, paid through cryptocurrency transactions.

ICANN SUGGESTS IMPLEMENTING DNSSEC TECHNOLOGY IMMEDIATELY

The Domain Name System is vulnerable to multiple cyberattacks, so the organization has requested to implement better security measures

According to network security and ethical hacking experts from the International Institute of Cyber Security, the Internet Corporation for Assigned Names and Numbers (ICANN) has called for a collective effort to develop a security technology to reinforce reliability of Domain Name System (DNS) that can protect website operators from attacks by the most dangerous hacker groups.

To be specific, what ICANN proposes is to perform a complete implementation of the DNS Security Extensions (DNSSEC) on all unsecured domain names. The DNS system is the part of the Internet infrastructure worldwide that is responsible for moving the names of sites in common language to IP addresses needed to access websites, use email platforms, etc. DNSSEC would try to implement a new security layer for DNS.

DNSSEC technologies have existed for almost 10 years, although they are not yet widely used. According to network security specialists, less than 20% of DNS registrars worldwide have implemented this technology. It is believed that the adoption of DNSSEC has been delayed because it could reduce functionality in favor of improving security measures, and that DNSSEC was always considered an option, not as a security requirement.

This technology could prevent attacks that take advantage of replies to DNS queries by cryptographically signing DNS records to verify their authenticity.

The problem is that most DNSSEC implementations are incompatible with current DNS requirements. “Inherited implementations of DNSSEC break basic DNS functions, such as geo routing, it is also difficult to implement this technology in multiple vendors, so performance would be affected, as well as its availability for final users would be reduced,” said network security specialists.

According to ICANN, the total implementation of DNSSEC technology ensures that end users access legitimate online websites and services. “While this is not a solution to all Internet security issues, DNSSEC would provide additional protection to a critical sector,” adds ICANN.  

In a statement, ICANN claims that its application is backed by multiple reports that mention groups of malicious hackers exploiting a wide variety of resources and methodologies to carry out their plans.

“Some recent cyberattacks have focused on DNS; hackers make some changes to the domain name structure without authorization, so you can perform various malicious activities. DNSSEC technology is fully functional against this type of attack,” says ICANN.

ICANN also published a list of DNS security measures so that industry members can protect their customers, their information systems, and their entire infrastructure.

ICANN’s call comes shortly after the U.S. Department of Homeland Security decreed that all agencies at the federal level had to reinforce their computer security systems to the growing tide of global cyberattacks.

HACKERS SE INFILTRAN EN SITIOS WEB EXPLOTANDO NUEVA VULNERABILIDAD EN DRUPAL

Algunas versiones del sistema de administración de contenido presentan una vulnerabilidad crítica que los deja expuestos a ataques de ejecución remota de código

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la presencia de una vulnerabilidad crítica en Drupal, el  popular sistema de administración de contenido.

La vulnerabilidad (CVE-2019-6340) existe porque “algunos tipos de campos no sanean correctamente los datos de fuentes que no son formularios”, menciona el equipo encargado de Drupal, que es un proyecto de código abierto. “Esto podría conducir a la ejecución de código arbitrario”, afirman los especialistas en seguridad en redes.

En días recientes Drupal lanzó las correcciones para actualizar las versiones de 8.6.x hasta 8.6.10, además de Drupal 8.5.x y anteriores a 8.5.11. “No se requiere una actualización del núcleo para Drupal 7, pero varios módulos requieren ser actualizados”.

Según los desarrolladores de Drupal, las versiones del sistema de administración de contenido podrían verse en riesgo si se presenta alguna de las siguientes condiciones:

Drupal 8 Web Services: Un sitio solo se ve afectado por esto si tiene habilitado el módulo de servicios web RESTful y permite las solicitudes PATCH o POST

Otros módulos de servicios web: “El sitio tiene otro módulo de servicios web habilitado, como JSON: API en Drupal 8, o Servicios o Servicios web RESTful en Drupal 7

Drupal dice que si bien la versión 7 del módulo de servicios web no está en riesgo, es altamente recomendable aplicar todas las actualizaciones posibles.

Los especialistas en seguridad en redes mencionan que la vulnerabilidad puede ser mitigada desactivando los módulos de servicios web o configurando los servicios para no todas las solicitudes PUT, PATCH, o POST a los recursos de los servicios web.  

El equipo del proyecto también observa que cualquier versión de Drupal que sea 8.5.x o anterior ha llegado a su fecha de vencimiento y no recibirá más soporte.

Troy Mursch, especialista en ciberseguridad, mencionó que los hackers han estado explotando esta vulnerabilidad, infiltrándose en sitios web de forma masiva. “Hemos encontrado exploraciones relacionadas con Drupal que intentan usar el método CHANGELOG.txt para localizar sitios vulnerables al error CVE-2019-6340.

Drupal es uno de los sistemas de administración de contenido más populares del mundo, sólo después de Joomla y WordPress, que abarca un 60% del total de este mercado. Acorde a las estimaciones de sus desarrolladores, más de 1 millón de sitios web utilizan Drupal actualmente.

El año pasado, Drupal dio a conocer que alrededor de 500 sitios web habían sido atacados por grupos de hackers desconocidos explotando una vulnerabilidad de ejecución remota de código con el propósito de minar la criptomoneda Monero.

Entre las víctimas de este ataque se encontraban Lenovo, el Zoológico de San Diego y la oficina del Inspector General de la Comisión de Igualdad de Oportunidades Laborales en E.U., entre otros usuarios del sistema de administración de contenido.

USUARIOS DE INSTAGRAM VÍCTIMAS DE CAMPAÑA DE INVERSIONES FALSAS

Múltiples víctimas, la mayoría jóvenes de entre 18 y 25 años,  son invitadas a invertir a través de anuncios en la app; después los estafadores desaparecen

Autoridades británicas reportan un incremento en la actividad de algunos grupos criminales en línea, sobre todo los que aseguran incrementar inversiones en poco tiempo. En este caso, acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, las víctimas reciben promesas de altos rendimientos después de sólo 24 horas, pero los criminales toman el dinero para desaparecer poco tiempo después.

Durante los últimos 5 meses las autoridades británicas han recibido más de 300 denuncias sobre este tipo de fraude, y las pérdidas acumulan más de 3 millones de euros, sin considerar a las víctimas que no han presentado denuncias.

Acorde a los expertos en seguridad en redes, la estafa comienza con un anuncio en la app de Instagram. En éste, se invita a las víctimas a transferir diversas cantidades (600 euros en promedio), prometiéndoles ganancias casi automáticas. Cuando las víctimas envían el dinero a los estafadores, reciben de vuelta capturas de pantalla con sus supuestas ganancias acumulándose en una cuenta bancaria.  

Posteriormente los atacantes incitan a las víctimas a incrementar su inversión, además les mencionan que sus ganancias pueden ser liberadas pagando una cuota, por lo que una sola víctima podría llegar a perder miles de euros.

Después viene lo peor: los estafadores cierran las cuentas de Instagram, dejan de contactar a las víctimas y desaparecen llevándose consigo el dinero.

Acorde a expertos en seguridad en redes, los estafadores recurren al uso de imágenes de aspecto profesional, además pueden prometer descuentos especiales en algunos comercios, consejos de inversión en “acciones secretas”, entre otra información relacionada con el mercado de valores.

Según una firma de ciberseguridad, existen más de dos millones de publicaciones potencialmente fraudulentas en Instagram, fraude apodado por el gobierno de Reino Unido como ‘money-flipping’. Action Fraud, una oficina de concientización sobre el fraude en territorio británico, mencionó en un reporte: “Los criminales siempre tratarán de aprovecharse de las redes sociales, pues se han vuelto parte de la vida cotidiana de las personas”.

Action Fraud insiste en que nunca se debe enviar dinero a desconocidos en línea, además invita a los usuarios a denunciar cualquier publicación potencialmente fraudulenta ante las autoridades competentes.  

FALSO RECAPTCHA ESCONDE MALWARE EN APPS DE ANDROID

En esta campaña de phishing los atacantes se hacen pasar por Google en ataques contra las instituciones bancarias y sus usuarios

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva campaña de phishing que apunta hacia usuarios de servicios bancarios en línea. Los operadores de la campaña se hacen pasar por Google para tratar de obtener las credenciales de acceso de las víctimas.

La campaña ha impactado a una institución bancaria en Polonia y a sus clientes. Los atacantes han hecho pasar el ataque como un sistema de reCAPTCHA de Google y además usan el chantaje y la intimidación para que las víctimas hagan clic en los enlaces maliciosos incluidos en los emails enviados por los operadores de la campaña.

Los mensajes que los atacantes envían contienen información falsa sobre transacciones recientes con un enlace a un archivo malicioso. En el mensaje, los atacantes solicitan a la víctima que verifique las transacciones haciendo clic en el enlace.

Aunque hasta ahora esta campaña no parece diferente a cualquier ataque de phishing, especialistas en seguridad en redes afirman que esta campaña es fácilmente distinguible en su segunda etapa. En lugar de redirigir a la víctima a una réplica del sitio web legítimo, la víctima encuentra una página falsa de error 404.

La página tiene una cantidad de agentes de usuario específicamente definidos que están limitados a los rastreadores de Google. Si la solicitud no está relacionada con el rastreador de Google, en otras palabras, los motores de búsqueda alternativos están en uso, entonces el script PHP en su lugar carga un Google reCAPTCHA falso compuesto de JavaScript y HTML estático.

“La página muestra una réplica muy buena del reCAPTCHA de Google. Sin embargo, debido a que se basa en elementos estáticos. Las imágenes mostradas siempre serán las mismas, a menos que se cambie la codificación del PHP malicioso”, reportan los especialistas en seguridad en redes. “Además, a diferencia del reCAPTCHA legítimo, no es compatible con la reproducción de audio”.

Luego se vuelve a verificar el agente del navegador para determinar cómo ha visitado la víctima la página. Una vez ahí, los usuarios encontrarán un APK maliciosa reservada para los usuarios de Android que completan el CAPTCHA y descargan la carga útil.

Algunas muestras de este software malicioso ya han sido analizadas. En la mayoría de los casos puede ser encontrado en su forma de Android y puede leer el estado, la ubicación y los contactos de un dispositivo móvil; escanear y enviar mensajes SMS, realizar llamadas telefónicas, grabar audio y robar otra información confidencial.

Acorde a especialistas en seguridad en redes, algunas soluciones antivirus han detectado a este troyano como Banker, BankBot, Evo-gen, Artemis, entre otros nombres.

El pasado mes de enero, especialistas en seguridad en redes descubrieron una campaña de phishing relacionada con el troyano Anubis. Los especialistas descubrieron dos apps en Google Play (un convertidor de divisas y un software de ahorro de energía) cargados con malware listo para activarse en cuanto el usuario interactuara con su dispositivo.

Por último, los investigadores afirman que el malware trató de evitar que recurrieran al uso de un entorno de sandbox usando los datos del sensor de movimiento para detonar su ejecución.

10 MIL DÓLARES DE RECOMPENSA PARA EL HACKER QUE REPORTÓ VULNERABILIDAD EN YAHOO MAIL

La vulnerabilidad podría haber sido utilizada para extraer los mensajes de los usuarios e inyectar de código malicioso sus mensajes salientes

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que Yahoo ha corregido una vulnerabilidad crítica de scripts entre sitios (XSS) en el servicio de Yahoo Mail. La vulnerabilidad podría haber sido explotada por usuarios maliciosos para extraer mensajes de las víctimas, incluso para inyectar código malicioso en la bandeja de salida.

La vulnerabilidad podría haber sido explotada por grupos de hackers para reenviar los correos de las víctimas a sitios web externos bajo su control, incluso podrían haber conseguido hacer cambios en la configuración de las cuentas de Yahoo Mail comprometidas para realizar otras actividades no autorizadas.

Los especialistas en seguridad en redes creen que esta vulnerabilidad está relacionada con una inadecuada filtración de código HTML malicioso en las plataformas de correo electrónico. Esta vulnerabilidad XSS fue descubierta alojada en Yahoo Mail a finales del año pasado, aunque Yahoo pudo corregirla hasta enero de 2019. El investigador que reportó la vulnerabilidad a la compañía fue recompensado con 10 mil dólares.

Originario de Finlandia, Jouko Pynnönen, el experto en seguridad en redes que reportó la vulnerabilidad, mencionó que no le es posible revelar detalles técnicos sobre la vulnerabilidad debido a que Oath, empresa propietaria de Yahoo, así se lo ha solicitado, aunque sí mencionó que se relaciona con el filtrado de código HTML.

Pynnönen ha descubierto otras fallas similares en el pasado. Por ejemplo, en 2015 reportó otra vulnerabilidad XSS en Yahoo Mail por la que también le fue otorgada una recompensa. Esa falla en específico podría haber permitido a un hacker enviar emails con código JavaScript oculto, mismo que se ejecutaría una vez que el usuario interactuara con el mensaje.

Asimismo, en 2016 el experto descubrió una nueva vulnerabilidad XSS en el mismo servicio de email, que podría haber expuesto los mensajes personales de cualquier usuario, por la que también recibió una recompensa de 10 mil dólares de parte de Yahoo.

NUEVA VARIANTE DE ATAQUE CONTRA REDES 4G Y 5G

Estas nuevas técnicas permiten el uso de dispositivos de intercepción de comunicaciones

Durante un reciente evento dedicado a los expertos en seguridad en redes, un equipo de investigadores dio a conocer una serie de vulnerabilidades en redes de telefonía móvil que impactan los protocolos 4G y 5G LTE.

En su investigación, titulada “Violaciones de privacidad contra los protocolos de telefonía celular 4G y 5G”, los expertos afirman que las nuevas variantes de ataque podrían permitir acceso remoto a las telecomunicaciones evadiendo las medidas de seguridad implementadas en estos protocolos, con lo que de nueva cuenta posible el uso de dispositivos IMSI (como el conocido StingRay) para la intercepción de señales de telefonía móvil.

A continuación, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética describen la forma de desplegar estas nuevas variantes de ataques:

Ataque TORPEDO

Este ataque explota el protocolo de búsqueda en telefonía móvil, permitiendo a los usuarios maliciosos rastrear la ubicación del dispositivo de la víctima. Gracias a esto, los atacantes pueden inyectar mensajes de búsqueda especialmente diseñados para generar condiciones de denegación de servicio (DoS).

Si un equipo no establece comunicación activa con una red celular, éste ingresa en un modo inactivo para ahorrar batería. Antes de que una llamada o mensaje de texto llegue a un dispositivo, la red celular le envía un mensaje de búsqueda para que reconozca la llamada o el mensaje entrantes; este mensaje incluye también un valor conocido como Identidad Temporal del Suscriptor (TMSI), este valor no cambia muy frecuentemente.

Los especialistas en seguridad en redes descubrieron que si un atacante llama y cuelga las llamadas repetidas veces en un lapso breve, la base actualiza el valor TMSI con más frecuencia de lo normal al enviar los mensajes de búsqueda. Si un atacante detecta estos mensajes de búsqueda usando un dispositivo IMSI, puede verificar si la víctima se encuentra dentro de un rango donde sea posible interceptar sus comunicaciones.

Los especialistas en seguridad en redes afirman que el ataque TORPEDO impacta a los protocolos 4G y 5G; también agregan que este ataque fue probado contra proveedores de servicios de telefonía móvil en Estados Unidos y Canadá.

Ataques de cracking de IMSI y PIERCER

Además de lo mencionado anteriormente, el ataque TORPEDO parece habilitar otras dos variantes de ataques, llamados IMSI cracking y PIERCER.

El ataque de exposición de información por red CORE (PIERCING) existe debido a un error de diseño y permite a los atacantes vincular el IMSI de la víctima con su número de teléfono.

“Algunos proveedores de servicios utilizan IMSI en lugar de TMSI en los mensajes de búsqueda para identificar los dispositivos con servicios pendientes”, mencionan los expertos en su documento. Una prueba manual reveló que es posible dar al proveedor del servicio la impresión de que se está produciendo un caso excepcional que lo obliga a revelar el IMSI de la víctima”, concluyeron los expertos.

Con el número de IMSI de la víctima, los atacantes pueden lanzar otras variantes de ataques descubiertos con anterioridad, con lo que podrían usar receptores IMSI para tener acceso completo a las comunicaciones telefónicas de las víctimas.

HACKERS ATTACK WEBSITES EXPLOITING NEW VULNERABILITY IN DRUPAL

Some versions of the content management system present a critical vulnerability that leaves them exposed to remote code execution attacks

Network security and ethical hacking specialists from the International Institute of Cyber Security report the presence of a critical vulnerability in Drupal, the popular content management system.

Vulnerability (CVE-2019-6340) exists because “some types of fields do not properly heal data from non-forms sources”, mentions the Drupal team, which is an open source project. “This could lead to arbitrary code execution,” said network security specialists.

In recent days Drupal released the fixes to update the versions of 8.6.x to 8.6.10, as well as Drupal 8.5.x and previous to 8.5.11. “A kernel update is not required for Drupal 7, but several modules need to be updated”.

According to Drupal developers, content management system versions might be at risk if any of the following conditions are present:

Drupal 8 Web services: A site is only affected by this if you have the RESTful Web Services Module enabled and allow PATCH or POST requests

Other Web services modules: “The site has another enabled web services module, such as JSON: API in Drupal 8 , or RESTful Web services or services in Drupal 7

Drupal says that although version 7 of the Web Services module is not at risk, it is highly recommended to apply all possible updates.

Network security specialists mention that vulnerability can be mitigated by disabling Web service modules or configuring services for not all PUT, PATCH, or POST requests to Web services resources.

The project team also notes that any version of Drupal that is 8.5.x or earlier has reached its expiration date and will not receive more support.

Troy Mursch, a cybersecurity specialist, mentioned that hackers have been exploiting this vulnerability, infiltrating on websites on a massive scale. “We have found Drupal-related scans that try to use the CHANGELOG.txt method to locate sites that are vulnerable to the CVE-2019-6340 error.

Drupal is one of the most popular content management systems in the world, only after Joomla and WordPress, which covers 60% of the total of this market. According to developers, more than 1 million websites are currently using Drupal.

Last year, Drupal announced that around 500 websites had been attacked by groups of unknown hackers exploiting remote code execution vulnerability in order to mine the cryptocurrency Monero.

Among the victims of this attack were Lenovo, the San Diego Zoo and the office of the Inspector General of the U.S. Equal Employment Opportunities Commission, among other users of the content management system.

INSTAGRAM USERS BECOME VICTIMS OF FAKE INVESTMENT CAMPAIGN

Multiple victims, mostly young people between the ages of 18 and 25, are invited to invest through an ad in the app; then the scammers disappear

British authorities report an increase in the activity of some online criminal groups, especially those that claim to increase investments in a short time. In this case, according to network security and ethical hacking specialists from the International Institute of Cyber Security, victims receive promises of high returns after only 24 hours, but criminals take the money to disappear shortly thereafter.

Over the past 5 months, the British authorities have received more than 300 allegations about this type of fraud, and the losses accumulate over £3M, without considering the victims who have not filed allegations.

According to experts in network security, the scam starts with an ad in the Instagram app. In this, victims are invited to transfer various amounts (£600 on average), promising gains almost automatic. When the victims send the money to scammers, they receive back screenshots with their supposed profits piling up in a bank account.

Later the attackers incite the victims to increase their investment, also mentioning that their earnings can be released paying a fee, so that a single victim could lose thousands of pounds.

Then worst part comes later: scammers close their Instagram accounts, stop contacting the victims and disappear taking the money with them.

According to experts in network security, scammers resort to the use of professional-looking images, and can also promise special discounts in some stores, investment tips in “secret stocks”, among other information related to the stock market.

According to a cybersecurity firm, there are more than two million potentially fraudulent Instagram posts, fraud dubbed by the UK governmentas ‘money-flipping’. Action Fraud, an office of fraud awareness in British territory, mentioned in a report: “Criminals will always try to take advantage of social networks, because they have become part of the daily life of people”.

Action fraud insists that money should never be sent to strangers online, and also invites users to report any potentially fraudulent publication to the competent authorities.

FAKE RECAPTCHA HIDES MALWARE IN ANDROID APPS

In this phishing campaign the attackers are impersonating Google in attacks against banking institutions and their users

Network security and ethical hacking specialists from the International Institute of Cyber Security report the emergence of a new phishing campaign that targets online banking users. Campaign operators are impersonating Google to try to get the victim’s access credentials.

The campaign has impacted a banking institution in Poland and its customers. Attackers have passed the raid as a Google reCAPTCHA system and also use blackmail and intimidation for victims to click on malicious links included in emails sent by campaign operators.

The messages that the attackers send contain fake information about recent transactions with a link to a malicious file. In the message, attackers ask the victim to verify the transactions by clicking on the link.

Although so far this campaign does not seem different from any phishing attacks, network security specialists claim that this campaign is easily distinguishable in its second stage. Instead of redirecting the victim to a replica of the legitimate Web site, the victim finds a fake 404 error page.

The page has a number of specifically defined user agents that are limited to Google crawlers. If the request is not related to the Google crawler, in other words, alternative search engines are in use; then the PHP script instead loads a fake Google reCAPTCHA composed of JavaScript and static HTML.

“The page shows a very good replica of Google’s reCAPTCHA. However, because it is based on static elements, the images shown will always be the same, unless the malicious PHP coding is changed”, network security specialists report. “In addition, unlike legitimate reCAPTCHA, it is not compatible with audio playback”.

The browser agent is then re-verified to determine how the victim has visited the page. Once there, users will find a malicious APK reserved for Android users who complete the CAPTCHA and download the payload.

Some samples of this malicious software have already been analyzed. In most cases it can be found in its Android form and can read the status, location and contacts of a mobile device; Scan and send SMS messages, make phone calls, record audio and steal other sensitive information.

According to specialists in network security, some antivirus solutions have detected this Trojan as banker, BankBot, Evo-Gen, Artemis, among other names.

Last January, network security specialists discovered a phishing campaign related to the Anubis Trojan. The specialists discovered two apps in Google Play (a currency converter and energy saving software) loaded with malware ready to be activated as soon as the user interacted with his device.

Finally, the investigators claim that the malware tried to prevent them from resorting to using a sandbox environment using the motion sensor data to detonate their execution.

A $10K USD BOUNTY FOR THE HACKER WHO REPORTED CRITICAL VULNERABILITY IN YAHOO MAIL

The vulnerability could have been used to extract messages from users and to inject malicious code their outgoing messages

Network security and ethical hacking specialists from the International Institute of Cyber Security reported that Yahoo has corrected a critical cross-site scripting vulnerability (XSS) in the Yahoo Mail service. The vulnerability could have been exploited by malicious users to extract messages from the victims, even to inject malicious code into their outgoing messages.

The vulnerability could have been exploited by groups of hackers to extract the victims’ emails and forward them to external websites under their control; they might even have managed to make changes to the configuration of compromised Yahoo Mail accounts to perform other unauthorized activities.

Network security specialists believe that this vulnerability is related to inadequate filtering of malicious HTML code on email platforms. This XSS vulnerability was discovered hosted in Yahoo Mail at the end of last year, although Yahoo could fix it until January 2019. The investigator who reported the vulnerability to the company was rewarded with $10k USD.

Finland born, Jouko Pynnönen, the network security expert who reported the vulnerability, mentioned that it is not possible to disclose technical details about the vulnerability because Oath, Yahoo proprietary company, has asked for it, but he did mention that it’s related to Yahoo Mail HTML-code filtering.

Pynnönen has discovered other similar flaws in the past. For example, in 2015 reported XSS vulnerability in Yahoo Mail which was also granted a reward. That specific flaw could have allowed a hacker to send emails with hidden JavaScript code, which would run once the user interacted with the message.

In addition, in 2016 the expert discovered a new vulnerability XSS in the same email service, which could have exposed the personal messages of any user, which also received a reward a $10k USD bounty from Yahoo.