CÓMO BLOQUEAR FÁCILMENTE MALWARE SIN ANTIVIRUS EN LA COMPUTADORA DE SU HOGAR. FUNCIONA EN EQUIPOS MAC, WINDOWS, ANDROID E IOS

Aunque el software antimalware es una de las principales herramientas para la protección de un sistema informático, existen otras soluciones disponibles para aquellos usuarios que no cuentan con un buen antivirus. Una de estas opciones son los populares servicios de sistema de nombres de dominio.

Cloudflare acaba de lanzar la más reciente versión de su servicio de Sistema de Nombres de Dominio (DNS) gratuito. Conocida como Cloudflare 1.1.1.1, esta herramienta es ideal para bloquear malware y contenido para adultos en un entorno familiar, agregando una capa de seguridad adicional a sus sistemas. Cabe recordar que DNS funciona de modo similar a los antiguos directorios telefónicos, en otras palabras, esta es la forma en la que el navegador de Internet (entre otras aplicaciones) accede al nombre de un sitio web sin necesidad de emplear la dirección IP relacionada con un dominio web.

Esta nueva versión de la herramienta se basa en referencias cruzadas al dominio al que se trata de acceder, contrastándolo con una lista de sitios para adultos y potencialmente maliciosos. El servicio DNS de Cloudflare funciona de forma diferente al tradicional software de bloqueo de sitios, que depende de la intercepción de archivos o contenido específico.

CONFIGURAR CLOUDFLARE 1.1.1.1

Para Windows

Buscar “Panel de control”

Haga clic en “Red e Internet”

Luego vaya a “Centro de redes y recursos compartidos”

Haga clic en “Cambiar la configuración del adaptador”

Y en tu conexión WIFI, “Propiedades”

IPv4 e IPv6 deben activarse, entonces tiene que usar estos dígitos.

Para IPv4, en la dirección del servidor DNS, utilizar

1.1.1.3

Y después use este código

1.0.0.3

“OK”

En IPv6, es casi el mismo método

Vamos a usar este código para la primera línea

2606: 4700: 4700:: 1113

Y después este

2606: 4700: 4700:: 1003

Haga clic en Ok y ya está

Para  Mac

Estos códigos son los mismos, en la configuración de WIFI, así que debe probarlos

Para IPv4, en la dirección del servidor DNS, utilizar

1.1.1.3

Y después use este código

1.0.0.3

“OK”

En IPv6, es casi el mismo método

Vamos a usar este código para la primera línea

2606: 4700: 4700:: 1113

Y después este

2606: 4700: 4700:: 1003

Haga clic en Ok y ya está

Ahora se ha bloqueado cualquier página de malware y contenido para adultos, Puede verificarlo a continuación.

Para smartphone (el proceso es algo diferente)

Ingrese a Configuración de red e Internet, luego avanzado y DNS privado

Si su teléfono no tiene estas opciones, debe instalar una aplicación que le permita ingresar a la configuración de DNS. En un ejemplo llevado a cabo con un dispositivo Xiaomi, se emplea la app QuickShortMarker, que permite ingresar a la configuración de DNS.

Buscar en actividades “Configuración”, en la sección MÁS y seleccione este llamado “com.android.settings.Settings $ NetworkDashboardActivity”

Debajo de “1dot1dot1ot1.cloudflare-dns.com”

Luego visite 1.1.1.1/help. Esto para verificar que la dirección DNS es correcta

Es así como se completa la configuración para más seguridad y bloqueo de contenido malicioso.

Fuente:https://www.cibertip.com/tutoriales/como-bloquear-facilmente-malware-sin-antivirus-en-la-computadora-de-su-hogar-funciona-en-equipos-mac-windows-android-e-ios/

CÓMO EJECUTAR WINDOWS 10 EN IPHONE; TUTORIAL PASO A PASO

El término máquina virtual (VM) puede sonar desconocido para la mayoría de los usuarios de tecnología, aunque es uno de los recursos más empleados por los especialistas. Empleando una VM, los investigadores pueden ejecutar un sistema operativo distinto al que contiene el dispositivo de forma nativa.

Estas herramientas son ampliamente utilizadas en equipos de escritorio, aunque recientes desarrollos han permitido ejecutar VMs en dispositivos móviles potentes, como el iPhone X. Una de las más recientes herramientas es UTM, una VM de código abierto que permite ejecutar un sistema operativo Windows 10 de forma completamente funcional en el dispositivo desarrollado por Apple.

UTM es una aplicación capaz de ejecuta los sistemas operativos Windows y Linux en un iPhone o iPad a una velocidad relativamente estable. Se realizaron algunos intentos de ejecutar Windows 10 en un iPhone X con UTM, obteniendo aceptables resultados.

Para las máquinas virtuales que se ejecutan en hardware móvil, esta aplicación funciona de forma mucho más eficiente que un emulador. A pesar del esfuerzo de los desarrolladores, es necesario mencionar que el rendimiento aún es notablemente lento, pues puede llegar a tardar casi un minuto en abrir aplicaciones como el Explorador de Windows.

¿CÓMO EJECUTAR WINDOWS 10 EN IPHONE X?

Si está interesado, puede seguir estos pasos para ejecutar Windows 10 en una máquina virtual en su iPhone:

Descargue AltStore y agregue la fuente https://alt.getutm.app.

Instalar UTM.

Después de instalar UTM, descargue y use la imagen ISO de Windows 10.

El uso de esta herramienta no requiere de un dispositivo con jailbreak o cualquier otra variante de hacking. Los desarrolladores lograron lanzar la máquina virtual VM de Windows 10 en aproximadamente 20 minutos. Considerando las limitaciones, esta VM se ejecuta mejor en dispositivos iPhone X. Debe recordar que este proceso no está aprobado por Apple.

Fuente:https://www.cibertip.com/tutoriales/como-ejecutar-windows-10-en-iphone-tutorial-paso-a-paso/

COMO HACKEAR WINDOWS 10 CON EL EXPLOIT SMB GHOST. TUTORIAL PASO A PASO

Una vulnerabilidad de seguridad se hizo popular en los foros clandestinos y en muchos sitios de noticias. Apodada SMBGhost (CVE-2020-0796), esta falla afecta el protocolo de bloqueo de mensajes del servidor que se ejecuta en el puerto 445 o 139 de los sistemas Windows. Este protocolo ayuda a los usuarios de una red a compartir y editar sus recursos en el servidor SMB.

La vulnerabilidad puede reconocerse como un ataque masivo de gusanos; Si los actores de la amenaza lo desean, pueden causar un gran daño a la red de víctimas utilizando esta vulnerabilidad. El error afecta a las versiones de Windows 10 1903 y 1909. Esta vulnerabilidad existe porque el servidor SMB no es capaz de manejar los paquetes maliciosos que causan el desbordamiento del búfer del servidor de destino, que incluso puede afectar a toda la red. El error existía en el desbordamiento de enteros de la función Srv2DecompressData en el controlador del servidor SMB srv2.sys.

Esta vulnerabilidad es la más utilizada en los ataques en todo el mundo y la misma vulnerabilidad fue explotada durante los brotes de ransomware WannaCry y NotPetya en 2017, utilizando el exploit EternalBlue supuestamente desarrollado por la NSA y filtrado por el grupo de piratería Shadow Brokers en abril de 2017.

CÓMO EXPLOTAR LA VULNERABILIDAD SMB

En este artículo, explicaremos cómo puede aprovechar la vulnerabilidad BlueSMB recientemente emergida. ¿Por qué se llama BlueSMB? Solo porque cuando explota esta vulnerabilidad, se muestra una pantalla azul, que se debe a una condición de denegación de servicio (DDoS) causada por un desbordamiento del búfer en el servidor SMB.

Configuración del entorno:

El exploit funciona en la versión 1903 o 1909 del sistema operativo Windows. Asegúrese de tener la versión requerida para probar la vulnerabilidad, así como de haber descargado el archivo .iso requerido de Internet.

Asegúrese de que python3 esté instalado en su sistema (python2 no es compatible).

PRUEBA DE CONCEPTO

Nota: Inicialmente, los desarrolladores del exploit lo han probado en localhost, pero es posible ejecutar código remoto para la misma vulnerabilidad. Más tarde se creará un exploit.

El exploit que usaremos es el Local Privilege Escalation (LPE) para la vulnerabilidad de SMB. Este exploit se utiliza para escalar privilegios locales en el sistema de objetivo

Descargue la carpeta zip del exploit LPE para la vulnerabilidad SMB usando el enlace:

https://github.com/ZecOps/CVE-2020-0796-LPE-POC.git

Después de clonar el exploit, descomprímalo

Haga clic en el archivo poc.py. Esto exlpotará la vulnerabilidad y le dará los privilegios de administración

En ocasiones, el archivo poc.py no puede ejecutarse y, por lo tanto, necesitamos ejecutar el exploit de un modo alternativo

Seleccione y copie la ubicación del archivo poc.py y luego abra el símbolo del sistema

En la ventana del shell, escriba cd <location_of_poc.py> y presione Enter

Ha ingresado la ubicación del exploit en la consola; ahora ejecutaremos el exploit aquí

Como el exploit está escrito en Python, necesitamos Python para ejecutarlo

Escriba python3 poc.py

Espere uno o dos minutos

Ahora tendrá acceso a la carpeta system32

Ha ingresado a system32, lo que significa que se le han otorgado derechos administrativos. Este es el objetivo de este exploit, realizar una escalada de privilegios locales

Escriba whoami para verificar su autoridad

CONCLUSIÓN

Aunque inicialmente este exploit se puede utilizar para la escalada de privilegios locales, con más investigación y tiempo también podría desencadenar la ejecución remota de código. Esta vulnerabilidad ya ha sido corregida por Microsoft, por lo que se recomienda:

Mantener los servidores y endpoints actualizados a la última versión de Windows

Si es posible, deshabilite la compresión de datos SMBv3.1.1 para evitar el disparo utilizando el siguiente comando power shell

Si es posible, bloquee el puerto 445 hasta que se implementen las actualizaciones

Fuente:https://www.cibertip.com/tutoriales/como-hackear-windows-10-con-el-exploit-smb-ghost-tutorial-paso-a-paso/

EL CIFRADO EN ZOOM CONTIENE UN BACKDOOR CHINO Y UTILIZA LA MINERÍA DE DATOS PARA ENCONTRAR SU PERFIL DE LINKEDIN Y VENDER SU INFORMACIÓN

La pandemia ha forzado a millones de personas a tener que buscar otras formas de permanecer en contacto a la distancia, lo que ha resultado en la creciente popularidad de plataformas de videoconferencia como Zoom, aunque también ha llamado la atención de empresas de auditoría de sistemas de información, grupos cibercriminales e incluso se han develado algunas prácticas de seguridad poco confiables presentes en el servicio.

Una reciente investigación ha revelado que el cifrado de Zoom podría contener un backdoor desarrollado en China, además de que la compañía podría estar empleando procesos de minería de datos de los perfiles de LinkedIn de sus usuarios para la venta de información.

SERVIDORES DE ZOOM EN CHINA

Para comenzar es necesario aclarar que, contrario a lo que afirma la plataforma, Zoom no cuenta con cifrado de extremo a extremo, señalan expertos en auditoría de sistemas de información. Al iniciar una sesión de Zoom, el software en el dispositivo del usuario obtiene una clave para cifrar el audio y video, la cual es enviada desde la infraestructura en la nube de la compañía, que a su vez contiene servidores en todo el mundo.

La clave proviene de un servidor conocido como Sistema de Administración de Claves, que genera una misma clave de cifrado y la envía a todos los participantes de la sesión de Zoom. Esta clave es enviada al software de videoconferencia empleando TLS, la misma tecnología empleada en el protocolo “https”. Dependiendo de la configuración de la sesión, algunos servidores en la nube de Zoom (conocidos como “conectores”) podrían obtener una copia de la clave de cifrado.

Los expertos en auditoría de sistemas de información encargados de la investigación mencionan que, en total, Zoom cuenta con 73 sistemas de administración de claves; de estos, 5 se encuentran en China y los restantes en E.U. Esta es una conducta preocupante pues, dadas las leyes bajo las que operan las compañías tecnológicas en China, Zoom podría verse obligada a compartir las claves de cifrado con las autoridades del país asiático si es que éstas son generadas en un servidor alojado en territorio chino. Si el gobierno chino o cualquier otro actor de amenazas tratara de espiar una sesión de Zoom, también requeriría monitorear el acceso a Internet del usuario objetivo, o bien monitorear la red en la nube de Zoom. Al recolectar esta información, puede completarse el ataque, descifrando el audio y video de la sesión.

El débil cifrado es sólo una de las múltiples debilidades de seguridad en Zoom. Si bien la plataforma se ajusta al Estándar de Cifrado Avanzado (AES), las claves de cifrado empleadas en la compañía son de sólo 128 bits; si bien aún se les considera seguras, la mayoría de las compañías tecnológicas migraron al uso de claves de 256 bits desde hace años. Los especialistas consideran que estas deficiencias podrían ser especialmente preocupantes para los funcionarios de los gobiernos de todo el mundo y las grandes compañías, pues las fallas en Zoom podrían exponerlos a filtraciones de información confidencial o actividades de espionaje.

FILTRACIÓN DE DATOS DE LINKEDIN

Por desgracia, este no es el único inconveniente de privacidad descubierto en Zoom durante los últimos días. En un reporte publicado en The New York Times, especialistas en auditoría de sistemas de información revelaron un bug de minería de datos que estaría filtrando datos de los perfiles de LinkedIn de los participantes de sesiones de videoconferencia.

Esta falla está afectando a cualquier usuario suscrito a un servicio de LinkedIn llamado “LinkedIn Sales Navigator”. Cuando este servicio está habilitado, se puede acceder rápidamente a los datos de LinkedIn de todos los participantes en una sesión de Zoom sin necesidad de solicitar su consentimiento. Entre la información filtrada se encuentran detalles como:

Trabajo actual

Cargo

Nombre de la compañía empleadora

Datos de ubicación

Después de múltiples pruebas, los investigadores descubrieron que la herramienta de minería de datos es capaz de vincular de forma instantánea el nombre del usuario de Zoom con el nombre de su perfil en LinkedIn. Además, Zoom envía automáticamente esta información personal a su herramienta de recolección de datos, sin importar si los miembros de la sesión la activaron o no.

Después de la publicación de este reporte, Zoom emitió un comunicado para informar que había inhabilitado definitivamente esta herramienta, aunque no es posible definir cuántos usuarios fueron objeto de esta práctica invasiva. LinkedIn también informó algunas medidas al respecto.

USANDO ESTE SOFTWARE, EL GOBIERNO DARÁ SEGUIMIENTO A LAS PERSONAS DURANTE Y DESPUÉS DE LA PANDEMIA. LA PRIVACIDAD YA NO EXISTIRÁ

NSO Group está envuelta en un nuevo escándalo de privacidad y vigilancia. La firma de tecnología israelí ha sido señalada en múltiples ocasiones por el supuesto desarrollo de sofisticadas herramientas de espionaje (spyware) para su venta a los gobiernos de todo el mundo, mencionan expertos de una empresa de ciberseguridad. La compañía incluso ha sido acusada de intentos de hacking contra Facebook y WhatsApp, acusaciones que NSO Group siempre ha desmentido.

Es poco común que NSO Group se pronuncie públicamente respecto a alguno de sus productos o desarrollos. No obstante, en esta ocasión la compañía ha ofrecido múltiples demostraciones sobre cómo funcionaría esta nueva tecnología, como parte de una campaña de marketing dirigida a los gobernantes de países occidentales, mencionan especialistas de una empresa de ciberseguridad.

Si bien los reportes aseguran que esta herramienta realmente es todo lo que dicen sus creadores, hasta ahora no se han filtrado detalles acerca de su funcionamiento o si es que brinda alguna medida de protección a la privacidad de las personas objetivo. Incluso se menciona que el gobierno israelí está listo para empezar a emplear esta herramienta en los smartphones de sus ciudadanos.

Corresponsales de la agencia Sky News aseguran que este software sería alojado en los propios sistemas de los clientes del gobierno. En realidad, NSO Group no tendría acceso a los datos cargados al sistema, que a su vez serían proporcionados por los propios gobiernos.

Los ciudadanos serían registrados en esta plataforma utilizando un identificador aleatorio. Además, sus movimientos de ubicación contarían con una marca de tiempo, lo que permitirá a los administradores de la plataforma rastrear las últimas ubicaciones de los usuarios infectados con coronavirus para desarrollar escenarios de riesgo potencial, señalan los expertos de la empresa de ciberseguridad.

Según NSO Group, empleando esta herramienta a escala nacional, los gobiernos podrían identificar las regiones con mayor concentración de personas expuestas a contraer COVID-19.

Por obvias razones, este es un proyecto que viola la privacidad de los usuarios bajo casi cualquier marco legislativo de protección de datos. No obstante, el Instituto Internacional de Seguridad Cibernética (IICS) señala que, debido al estado de emergencia vigente en múltiples países, los gobiernos podrían tomar medidas extraordinarias para el combate a la pandemia, aunque estas medidas entren en conflicto con los derechos humanos.

Incluso Edward Snowden se ha pronunciado respecto a esta clase de medidas, afirmando que los gobiernos podrían aprovecharse de la emergencia para adoptar medidas autoritarias que podrían ser instituidas de forma permanente sin la adecuada vigilancia de la sociedad civil.  

https://noticiasseguridad.com/tecnologia/usando-este-software-el-gobierno-dara-seguimiento-a-las-personas-durante-y-despues-de-la-pandemia-la-privacidad-ya-no-existira/

CÓMO MONITOREAR PROCESOS DE LINUX SIN ROOT. FORENSE DE LINUX

Los expertos en ciberseguridad mencionan que pspy es una herramienta de línea de comandos diseñada para espiar procesos sin necesidad de permisos de root. Al emplear esta herramienta, los investigadores tienen permitido ver comandos ejecutados por otros usuarios, trabajos y otras actividades a medida que se ejecutan. Esto es fundamental para la enumeración de sistemas Linux en CTF. También es útil para demostrar a los administradores de sistemas por qué pasar secretos como argumentos en la línea de comandos es una mala idea.

La herramienta recopila la información de los escaneos procfs. Los investigadores ubicados en partes seleccionadas del sistema de archivos activan estos escaneos para detectar procesos de corta duración.

Cabe mencionar que existen herramientas para enumerar todos los procesos ejecutados en sistemas Linux, incluyendo los procesos que ya han sido finalizados. Por ejemplo, está forkstat, empleada para recibir notificaciones del kernel sobre eventos relacionados con el proceso, como fork y exec.

Aunque estas herramientas requieren privilegios de root, eso no debería dar a los usuarios una sensación de seguridad mal entendida. Nada le impide espiar los procesos que se ejecutan en un sistema Linux, y es posible acceder a grandes cantidades de información en procfs mientras se esté ejecutando un proceso. No obstante, existe un inconveniente, pues los investigadores deben atrapar procesos de corta duración en lapsos de tiempo muy cortos. Escanear el directorio /proc en busca de nuevos PID en un bucle infinito completa el hack, pero consume enormes recursos informáticos.

Un método menos evidente es usar el siguiente: Los procesos tienden a acceder a archivos como bibliotecas en /usr, archivos temporales en /tmp, archivos de registro en /var, entre otros. Usando la API de inotify, el investigador puede recibir notificaciones cada vez que estos archivos se crean, modifican o eliminan. No se requieren privilegios altos para esta API, ya que es necesaria para muchas aplicaciones de uso rutinario, como editores de texto. Por lo tanto, a pesar de que los usuarios no root no pueden monitorear los procesos directamente, sí pueden monitorear los efectos de los procesos en el sistema de archivos.

Los administradores pueden usar los eventos del sistema de archivos como desencadenante para escanear/procesar, con la esperanza de hacerlo lo suficientemente rápido como para detectar el proceso. Esto es posible usando pspy; A pesar de que no hay garantía de que los administradores no perderán ningún proceso, las posibilidades de éxito son lo suficientemente altas como para intentarlo.

Fuente:https://www.cibertip.com/tutoriales/como-monitorear-procesos-de-linux-sin-root-forense-de-linux/

NUEVA VERSIÓN SEGURA Y ESTABLE DEL KERNEL DE LINUX 5.6.2. ACTUALIZA TUS SERVIDORES LINUX

Apenas un par de semanas después del lanzamiento de Linux 5.6, se ha reportado la primera actualización de este desarrollo.

El pasado miércoles por la mañana se anunció el lanzamiento de Linux 5.6.1 para corregir algunos errores en el código de medios, agregando ASUS USB-N10 Nano B1 al controlador rtl8188eu, además de una ID PCI Comet Lake H al controlador AHCI, y algunas ID de serie USB y algunas otras correcciones aleatorias.

Ni siquiera habían pasado dos días completos cuando Linux 5.6.2 ya estaba disponible. A esta versión sólo se le agregaron algunas correcciones para el código VT, además de haber agregado la solución mac80211 para reparar el controlador inalámbrico Intel “IWLWIFI” que presentaba fallas en Linux 5.6; el parche no había sido implementado en 5.6.1, aunque ya está disponible en Linux 5.6.2.

La actualización de Linux 5.6.2 cuenta con todas las características del kernel habilitadas, incluyendo el soporte para Intel IWLWIFI de nuevo, por lo que los usuarios interesados en la más reciente implementación pueden instalar la nueva versión y así disfrutar de todas las características de su sistema operativo.

Los sistemas basados en Linux son objeto frecuente de análisis de seguridad.

Hace apenas unos días, un investigador especializado en ciberseguridad reportó el hallazgo de una vulnerabilidad de ejecución remota de código en el sistema operativo OpenWrt que podría ser explotada para inyectar cargas maliciosas en un sistema afectado.  

Este es un sistema operativo basado en Linux empleado principalmente para el funcionamiento de dispositivos integrados y enrutadores de red. OpenWrt es empleado por compañías de múltiples ramos industriales en todo el mundo.

Una actualización implementada para abordar una vulnerabilidad anterior permitió que el administrador de paquetes ignore las sumas de verificación SHA-256 incrustadas en el índice de repositorio firmado, lo que permite a los actores de amenazas esquivar la verificación de integridad de los componentes .ipk descargados.

Hasta su actualización, los hackers debían enviar paquetes comprometidos desde un servidor web e interceptar la comunicación entre el dispositivo y la dirección downloads.openwrt.org para explotar la vulnerabilidad. En su defecto, un actor de amenazas podría tomar control del servidor DNS que el dispositivo objetivo empleó para hacer que downloads.openwrt.org se dirija a un servidor web malicioso.

Fuente:https://www.cibertip.com/ciberseguridad/nueva-version-segura-y-estable-del-kernel-de-linux-5-6-2-actualiza-tus-servidores-linux/

NUEVA VULNERABILIDAD LTE 4G IMP4GT PERMITE A LOS HACKERS FALSIFICAR SU NÚMERO DE TELÉFONO

Debido a la sofisticación en los métodos empleados por los cibercriminales, los investigadores de ciberseguridad no sólo se limitan al desarrollo de nuevas medidas y soluciones para la protección de los usuarios de tecnología, sino que también deben prepararse para descubrir potenciales amenazas de seguridad, ayudando a las compañías a combatir estos ataques mucho antes de que siquiera ocurran.

Recientemente, investigadores de la Universidad de Bochum, en Alemania, plantearon un ataque que permitiría a un actor de amenazas hacerse pasar por un dispositivo móvil en redes 4G y 5G. Nombrado “IMP4GT”, este ataque es una especie de Man-in-the-Middle (MiTM) con el que un hacker podría infiltrarse como el enlace medio entre la estación base y el dispositivo (un smartphone), haciéndose pasar por el dispositivo interactuando con la base y viceversa.

Esta variante de ataque se enfoca en redes LTE, explotando una vulnerabilidad presente en la forma en que se comunican y autentican los dispositivos móviles conectados a estas redes. Para esto, el equipo de especialistas tuvo que encontrar una forma de suplantar al dispositivo móvil, lo que les brindó acceso a múltiples vectores de ataque.

Cabe mencionar que, incluso si el actor de amenazas logra encontrar un punto medio entre el usuario objetivo y la red móvil, sería imposible tomar control completo sobre el dispositivo comprometido, por lo que actividades maliciosas como acceso a cuentas, aplicaciones y demás, no son factibles empleando esta variante de ataque.

David Rupprecht, responsable de esta investigación, asegura que “si bien es posible extraer algunos datos empleando este ataque, la mayoría de la información expuesta de este modo es irrelevante, por lo que este escenario no representa un riesgo considerable para los usuarios, al menos por ahora.

Otro obstáculo para los actores de amenaza interesados en explotar esta falla es la dificultad para completar el ataque, incluso apuntando contra implementaciones de red 4G. Además, el hardware y software necesario para desencadenar este escenario es altamente especializado y sofisticado, sin olvidar mencionar que los atacantes deben permanecer en una ubicación demasiado cercana al objetivo.

Fuente:https://www.cibertip.com/vulnerabilidades/nueva-vulnerabilidad-lte-4g-imp4gt-permite-a-los-hackers-falsificar-su-numero-de-telefono/

¿CÓMO FUERON HACKEADOS LOS CLIENTES Y EMPLEADOS DE GODADDY?

Los especialistas en auditoría de sistemas de información de la firma KrebsOnSecurity revelaron un reciente ataque de phishing que logró engañar a un empleado de servicio al cliente de GoDaddy.com, el principal proveedor de registro de nombre de dominio a nivel mundial.

Gracias a este ataque, los actores de amenazas lograron acceder y modificar registros de los clientes, cambiando la configuración de dominio de al menos una docena de clientes de la plataforma, incluyendo el popular sitio de transacciones bursátiles escrow.com, cuya interfaz fue modificada para mostrar un mensaje fuera de contexto.

El especialista en auditoría de sistemas de información Elliot Silver fue informado sobre esta actividad inusual mediante un comunicado de Matt Barrie, CEO de la plataforma de transacciones: “Durante el ataque, los hackers maliciosos modificaron los registros DNS de escrow.com para apuntar a un servidor web controlado por terceros no identificados”.

Al realizar una búsqueda DNS inversa en la dirección 111.90.149.49, los investigadores descubrieron que está vinculada a menos de una docena de dominios, incluido un dominio registrado apenas hace 12 días que invoca el nombre del registrador de escrow.com: servicenow-godaddy.com. Al cargar ese dominio en un navegador, se revela el mismo texto que apareció el lunes por la noche en escrow.com, detallaron los expertos en auditoría de sistemas de información.

Todo indicaba que alguien había sido víctima de un ataque de phishing, pues los ejecutivos de la plataforma aseguraban que los hackers pudieron acceder a mensajes y notas resguardadas en su cuenta de GoDaddy, a la que sólo los empleados de la empresa podrían haber accedido.

Posteriormente, los investigadores descubrieron que los actores de amenazas tuvieron acceso a esta información confidencial, la cual emplearon para engañar al personal de GoDaddy y poder realizar los cambios deseados.

GoDaddy reconoció que el 30 de marzo pasado recibieron una alerta relacionada con un incidente de seguridad que involucraba el nombre de dominio de un cliente. Una investigación reveló que un empleado de GoDaddy fue víctima de un ataque de phishing y que otras cinco cuentas pudieron haber sido comprometidas, aunque sus nombres no fueron revelados.

Si bien no existe una forma de prevenir al 100% un ataque de phishing, el Instituto Internacional de Seguridad Cibernética (IICS) señala que sí existen algunos métodos para identificar y prevenir esta clase de ataques, como la autenticación de dos factores (2FA), restablecimiento de contraseñas y concientización de los usuarios.  

Fuente:https://noticiasseguridad.com/hacking-incidentes/como-fueron-hackeados-los-clientes-y-empleados-de-godaddy/

VULNERABILIDAD EN CISCO EMAIL SECURITY APPLIANCE PERMITE EL ENVÍO DE CONTENIDO MALICIOSO

Los especialistas en ciberseguridad de una prestigiosa firma han revelado la presencia de una vulnerabilidad crítica en la herramienta de escaneo de mensajes de correo electrónico del software Cisco AsyncOS para Cisco Email Security Appliance (ESA). Si se explota, esta falla podría permitir que un actor de amenazas remoto no autenticado esquive los filtros configurados en el dispositivo objetivo.

Según el informe, la vulnerabilidad, identificada como CVE-2020-3133, existe debido a una validación inadecuada de los correos electrónicos entrantes. Los hackers malintencionados podrían abusar de esta condición simplemente enviando un mensaje de correo electrónico especialmente diseñado al usuario objetivo, protegido con ESA habilitado.

La explotación exitosa podría desencadenar una omisión de los filtros configurados por el usuario, permitiendo a los atacantes inyectar contenido malicioso en el dispositivo. La falla sólo es explotable con acceso local al sistema objetivo.

Cuando Cisco recibió el informe, se confirmó que esta vulnerabilidad estaba afectando cualquier versión de Cisco ESA anterior a 13.0.

Después de recibir el informe, la compañía comenzó a trabajar para lanzar las actualizaciones de software correspondientes para abordar esta vulnerabilidad. Hasta ahora, no existen soluciones alternativas para mitigar el riesgo de explotación, por lo que los usuarios de las implementaciones afectadas deben instalar las actualizaciones oficiales lo antes posible.

Mayores detalles sobre esta vulnerabilidad, posibles escenarios de ataque y actualizaciones disponibles se encuentran en las plataformas oficiales de la compañía.

Fuente:https://www.cibertip.com/vulnerabilidades/vulnerabilidad-en-cisco-email-security-appliance-permite-el-envio-de-contenido-malicioso/

ORGANIZACIÓN MUNDIAL DE LA SALUD (OMS) SUFRE ATAQUE CIBERNÉTICO

El brote mundial de coronavirus/COVID-19 no es la única emergencia con la que tiene que lidiar la Organización Mundial de la Salud (OMS). Acorde a un reporte de la agencia internacional de noticias Reuters, la organización fue víctima de un reciente intento de hacking, lo cual fue confirmado posteriormente por Flavio Aggio, jefe de seguridad informática.

El intento de hacking fue reportado por el investigador en ciberseguridad Alexander Urbelis, especializado en la identificación de actividades sospechosas en Internet. Urbelis menciona que descubrió dicha actividad maliciosa el pasado 13 de marzo, cuando un actor de amenazas trató de usar un sitio web falso, haciéndolo pasar por el sistema de email de la OMS.

“Pude identificar oportunamente el intento de ataque contra la organización, quienes lograron contener el incidente y proteger su infraestructura de TI”, asegura Urbelis. Aunque el investigador no mencionó detalles sobre los posibles responsables del ataque, fuentes extraoficiales relacionan este incidente con el grupo de hackers conocido como DarkHotel, activo desde el 2007.

Los atacantes trataban de extraer credenciales de inicio de sesión de los miembros de diversas áreas de la OMS para realizar ataques posteriores empleando la información extraída: “A pesar de que no hay cifras concretas, la comunidad coincide en el incremento de intentos de ataque contra la OMS y otras áreas de las Naciones Unidas“, añadió el investigador.  

Hace algunas semanas, la OMS reportó que un grupo de hackers maliciosos trataron de acceder de forma ilegítima a sus sistemas para extraer información confidencial y realizar transferencias no autorizadas. “Solicitamos a los gobiernos, empresas privadas y organizaciones no gubernamentales de todo el mundo verificar la procedencia de cualquier correo electrónico aparentemente asociado con la OMS”, mencionó un comunicado lanzado por la organización.

El caos derivado de la pandemia por el coronavirus/COVID-19 ha dejado en una situación vulnerable a múltiples organizaciones de salud en todo el mundo, además de la infestación de miles de páginas fraudulentas que ofrecen supuestas vacunas o tratamientos contra la infección que exponen a los usuarios de Internet preocupados por la actual crisis de salud mundial.

Fuente:https://www.cibertip.com/ciberseguridad/organizacion-mundial-de-la-salud-oms-sufre-ataque-cibernetico/

HACKEAN SITIO WEB DE TUPPERWARE; DETALLES DE PAGO FILTRADOS

La compañía estadounidense Tupperware acaba de unirse a la lista de empresas atacadas por ciberdelincuentes. En un reporte de seguridad, el equipo de TI de la compañía reveló que un grupo de actores de amenazas inyectó un código malicioso en su sitio web para recopilar todos los datos de las tarjetas de pago de los usuarios.

Acorde a los reportes, este código malicioso ha estado activo en el sitio web de la compañía durante al menos una semana. Una firma de ciberseguridad contratada por Tupperware mencionó que los primeros indicios de actividad anómala fueron reportados el pasado viernes 20 de marzo, aunque la compañía no respondió a los primeros informes.

Los actores de amenaza emplearon una variante de malware para subir un falso formulario de pago al sitio web de Tupperware. De este modo, cada vez que los usuarios trataban de realizar una compra, en realidad estaban enviando los datos de sus tarjetas de pago a una dirección controlada por los hackers. Finalmente, los delincuentes mostraban a los usuarios una ventana de error mientras la información era extraída.

Entre la información robada a los clientes de Tupperware se encuentran detalles como:

Nombre completo

Número telefónico

Domicilio

Número de tarjeta

Fecha de vencimiento

Clave CVV

Hasta el momento Tupperware no se ha pronunciado al respecto.

Esta clase de malware es conocida como “skimmer” o scripts de Magecart. Cabe mencionar que la efectividad del ataque varía dependiendo de la región, pues el falso formulario utilizado por los hackers está redactado en inglés, algo muy fácil de detectar para los usuarios en países hispanohablantes.

Debido a que cientos de millones de personas se encuentran forzosamente recluidas en sus hogares, expertos en ciberseguridad prevén que incrementará el número de estafas por skimming, por lo que los usuarios deben permanecer al tanto de cualquier posible intento de fraude.

Fuente:https://www.cibertip.com/hacking-incidentes/hackean-sitio-web-de-tupperware-detalles-de-pago-filtrados/