Mostrando entradas con la etiqueta Botnet. Mostrar todas las entradas
Mostrando entradas con la etiqueta Botnet. Mostrar todas las entradas

sábado, 1 de febrero de 2014

ALERTA: Malware Bootkit para android, un ataque masivo que afecta a mas de 350000 dispositivos por el momento

Android Primera ampliamente distribuido bootkit malware infecta a más de 350.000 dispositivos




En el último trimestre de 2013, la venta de un Smartphone con el sistema operativo ANDROID,  se ha incrementado. pero parce ser que la gente no se conciencia de la falta de seguridad de este sistema. hoy Una firma de seguridad rusa " Doctor Web » a identificado el 1º ataque de malware distribuido con el bootkit para Android llamado ' Android.Oldboot ', una pieza de malware que está diseñada para volver a infectar los dispositivos al iniciar el sistema, incluso si elimina todos los componentes de trabajo de esta.


El bootkit Android.Oldboot ha infectado a más de 350.000 usuarios de Android en China, España, Italia, Alemania, Rusia, Brasil, EE.UU. y algunos países del sudeste asiático. China parece una víctima en masa (la mas extendida) de este tipo de software malicioso que tiene una participación de 92%.
Este Bootkit es una variante del malware rootkit, que infecta el dispositivo en el arranque y puede cifrar el disco o robar datos, eliminar la aplicación, la conexión abierta para el Comando y el controlador.

Realmente usa una tecnica muy peculiar  la que utiliza para inyectar este troyano en un sistema Android, donde un atacante coloca un componente de la misma en la partición de arranque del sistema de archivos y modificar la secuencia de comandos "init" ( inicializar el sistema operativo ) para volver a cargar el software malicioso cada vez que se enciende el dispositivo.

Al iniciar el dispositivo, este script ejecuta la carga de 'el troyano imei_chk '(detecta como Android.Oldboot.1) que extraen dos archivos libgooglekernel.so (Android.Oldboot.2) yGoogleKernel.apk   (Android.Oldboot.1.origin), copiarlos, respectivamente, en / system / lib y / system / app .

El Android.Oldboot actúa como un servicio del sistema y se conecta con el servidor de comando-y-control usandola biblioteca  libgooglekernel.so y recibe órdenes para descargar, eliminar las aplicaciones instaladas, e instalar en su lugar las aplicaciones maliciosas.

Y claro, esta, se convierte en una parte de la partición de arranque, por lo qué el formatear el dispositivo no va a resolver el problema.
Los investigadores creen que los dispositivos tenían de alguna manera el malware pre-cargado en el momento del envío por parte del fabricante o qué  pudiera distribuirse dentro de un firmware de Android modificado. Así, que los usuarios deben tener cuidado con ciertos tipos de firmware de Android modificado, que pueden traer este malware camuflado.

Hace dos semanas, algunos investigadores de seguridad chinas también han detectadoque  un bootkit llamado ' oldboot ', posiblemente el mismo malware o una variante de la misma se esta ejecutando.
" Debido a la particularidad del disco RAM de la partición de arranque de los dispositivos Android ', todos los productos de antivirus móviles actuales en el mundo no pueden eliminar completamente este troyano ni pueden reparar el sistema. "

" Según nuestras estadísticas, a día de hoy, hay más de 500, 000 dispositivos Android infectados por este bootkit en China desde los últimos seis meses.

El Malware Android.Oldboot, es casi imposible de quitar, ni siquiera con el formateo de su dispositivo.
la Buena noticia es que si el dispositivo no es de un fabricante chino, entonces es probable que usted no sea una víctima de ella o por lo menos que tengas muy pocas posibilidades de que ocurra .


Este tipo de bootkit no es la primera vez que se detecta ya que tan solo  Dos años atrás, en el mes de marzo informó, el ​​Centro de Investigación NQ Mobile Security que  descubrió el primer malware bootkit del mundo llamado 'DKFBootKit ', que sustituye a ciertos procesos de arranque y puede empezar a ejecutar incluso antes de que el sistema está completamente arrancado.

Pero Android.Oldboot malware es Bastante más peligroso, porque incluso si se quita todos los componente,sigue trabajando desde su android con éxito,ya que  el componente imei_chk persistirá en un área de memoria de arranque protegido y, por tanto, volverá a instalarse a sí en el próximo arranque y continuamente infectara el Smartphone.

Se recomienda a los usuarios que se instalen aplicaciones en tiendas autorizadas como Google Play , que deshabiliten la instalación de aplicaciones de ' Desconocidos 'y por una mejor seguridad instalar una aplicación de seguridad de renombre. También puede tratar de volver a "flasear" el dispositivo con su ROM original. Después de reiniciar, se quitará definitibamente el bootkit.

fuente: www.doctorweb.com

ALERTA: Malware Bootkit para android, un ataque masivo que afecta a mas de 350000 dispositivos por el momento

Android Primera ampliamente distribuido bootkit malware infecta a más de 350.000 dispositivos




En el último trimestre de 2013, la venta de un Smartphone con el sistema operativo ANDROID,  se ha incrementado. pero parce ser que la gente no se conciencia de la falta de seguridad de este sistema. hoy Una firma de seguridad rusa " Doctor Web » a identificado el 1º ataque de malware distribuido con el bootkit para Android llamado ' Android.Oldboot ', una pieza de malware que está diseñada para volver a infectar los dispositivos al iniciar el sistema, incluso si elimina todos los componentes de trabajo de esta.

lunes, 27 de enero de 2014

ALERTA: Se demuestra que Google Chrome espía tus conversaciones

Se demuestra que  Google Chrome espía tus conversaciones



Ya hace tiempo, en un articulo que publicamos y en varios cursos, una de las preguntas de nuestros usuarios se basaban en por que no usabamos mas el chrome, y mas de una vez, cuando explicabamos sus peligros y que su uso era como vender tu intimidad a google, nos decian que eso era solo por que teniamos un punto de fundamentalismo maquero, pero claro, luego salen a la luz información como esta, nos da cada vez mas la razon, y si, parece que se confirma, El navegador Chrome de Google graba conversaciones sin que el usuario se dé cuenta de ello,
según descubrio una programadora, quien  realizo la denuncia, despues de hacer la denuncia y avisar  a el personal de Mountain View, de este  fallo técnico de manera privada y no recibir una respuesta en 4 meses.
A través de un vídeo publicado en YouTube y un blog, la programadora explica cómo la función de reconocimiento de voz de Google Chrome sigue funcionando incluso después de que el usuario abandone la página web en la que había dado su permiso para que el navegador grabara su voz.
 y claro, lo que ocurre, segun nos cuenta, es lo siguiente:
"Cuando alguien hace clic para iniciar o parar el reconocimiento de voz en la página, lo que no nota es que el sitio también puede tener abierto otro protocolo oculto debajo de su ventana principal. 
Esta ventana escondida puede esperar hasta que el sitio principal quede cerrado y luego empieza a grabar sin pedir autorización. Esto puede ocurrir en una ventana que usted nunca vio, con la que nunca interactuó y probablemente ni siquiera sabía que estaba allí", nos explica.

En el vídeo se ve cómo la ventanilla oculta del navegador graba y escribe las palabras de la programadora mientras ella habla. La ventana puede ser disfrazada como un banner publicitario y el usuario no tiene ninguna indicación de que Chrome está escuchando su voz, ya sea por teléfono, hablando con alguien por Skype o simplemente conversando con alguien al lado del ordenador. otra de las cosas mas peligrosas e inquietantes es que la grabación se activa cuando se pronuncia algunas palabras claves.

"Mientras tengan el Chrome funcionando, nada de lo que se diga cerca de su ordenador quedará en privado", acentúa la programadora e insiste en que esta brecha en la seguridad ha convertido al navegador en una "herramienta de espionaje". 
insiste que avisó a Google sobre este fallo en septiembre del 2013, pidiendo que lo arreglaran lo antes posible. Pero denuncia quea unque , al parecer, arregló el problema durante dos semanas,  nunca entregó la actualización a los usuarios, mientras a ella le envió un correo electrónico en el que le dijo que "todavía nada está decidido sobre la corrección de este fallo".

ALERTA: Se demuestra que Google Chrome espía tus conversaciones

Se demuestra que  Google Chrome espía tus conversaciones



Ya hace tiempo, en un articulo que publicamos y en varios cursos, una de las preguntas de nuestros usuarios se basaban en por que no usabamos mas el chrome, y mas de una vez, cuando explicabamos sus peligros y que su uso era como vender tu intimidad a google, nos decian que eso era solo por que teniamos un punto de fundamentalismo maquero, pero claro, luego salen a la luz información como esta, nos da cada vez mas la razon, y si, parece que se confirma, El navegador Chrome de Google graba conversaciones sin que el usuario se dé cuenta de ello,

jueves, 2 de enero de 2014

Los mandamientos del informático

Cuándo hace mas de 34 años empece a usar y trabajar con ordenadores, lo 1º que aprendías era una reglas de ética de el uso de los equipos, que por aquel entonces no solían tener mucha gente, y por la cual nos comprometíamos a ser unos personajes muy conciencia dos con lo que podía pasar por el mal uso de las herramientas que entonces teníamos, y pese a que algunos años después se recopilaron y se publico como los mandamientos del informático, y se suponía que la mayoría de nosotros por lo menos deberíamos conocerlas, aunque lo de respetarlas era otra historia, veo muy apenado a las nuevas generaciones que ni siquiera conocen estas e igual que la mayoría de las profesiones tienen un código deontologico, los informáticos nuevos ni siquieran conocen estas, así que vamos a publicarlo de nuevo, para que cualquiera de vosotros que lo lea, lo recuerde y a ser posible lo difunda, por el bien de una profesión, donde por desgracia hay demasiados elementos, que no tienen nada que ver con ella y nos hacen mucho daño con su falta de profesionalidad y escrúpulos , ya que nos meten en cosas que la informatica no tiene nada que ver pero que somos los 1º a los que acusan.

 

Los Mandamientos del informático.

No usarás un ordenador para dañar a otros.

No interferirás con el trabajo ajeno.

No dañes en los archivos ajenos.

No utilizarás un ordenador para robar.

No utilizarás la informática para realizar fraudes y/o robos.

No copiarás o utilizarás software que no hayas comprado.

No utilizarás los recursos informáticos ajenos sin la debida autorización.

No te apropiarás de los derechos intelectuales de otros.

Deberás evaluar las consecuencias sociales de cualquier código que desarrolles y/o utilices.

Siempre utilizarás los ordenadores de manera que respetes los derechos de los demás.

Solo resta decir “El que este libre de pecado, que tire el primer Tweet”.

 

Los mandamientos del informático

Cuándo hace mas de 34 años empece a usar y trabajar con ordenadores, lo 1º que aprendías era una reglas de ética de el uso de los equipos, que por aquel entonces no solían tener mucha gente, y por la cual nos comprometíamos a ser unos personajes muy conciencia dos con lo que podía pasar por el mal uso de las herramientas que entonces teníamos, y pese a que algunos años después se recopilaron y se publico como los mandamientos del informático, y se suponía que la mayoría de nosotros por lo menos deberíamos conocerlas, aunque lo de respetarlas era otra historia, veo muy apenado a las nuevas generaciones que ni siquiera conocen estas e igual que la mayoría de las profesiones tienen un código deontologico, los informáticos nuevos ni siquieran conocen estas, así que vamos a publicarlo de nuevo, para que cualquiera de vosotros que lo lea, lo recuerde y a ser posible lo difunda, por el bien de una profesión, donde por desgracia hay demasiados elementos, que no tienen nada que ver con ella y nos hacen mucho daño con su falta de profesionalidad y escrúpulos , ya que nos meten en cosas que la informatica no tiene nada que ver pero que somos los 1º a los que acusan.

 

Los Mandamientos del informático.

No usarás un ordenador para dañar a otros.

No interferirás con el trabajo ajeno.

No dañes en los archivos ajenos.

No utilizarás un ordenador para robar.

No utilizarás la informática para realizar fraudes y/o robos.

No copiarás o utilizarás software que no hayas comprado.

No utilizarás los recursos informáticos ajenos sin la debida autorización.

No te apropiarás de los derechos intelectuales de otros.

Deberás evaluar las consecuencias sociales de cualquier código que desarrolles y/o utilices.

Siempre utilizarás los ordenadores de manera que respetes los derechos de los demás.

Solo resta decir “El que este libre de pecado, que tire el primer Tweet”.

 

sábado, 21 de diciembre de 2013

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".

i2Ninja se vende en un foro de la delincuencia cibernética de Rusia, Y ofrece en un mercado ideal para la compra y venta de códigos maliciosos o para poder ejecutar la personalización y con ello explotar la venta del  conocido como  el malware-as-a-service . En los malware financiero anteriores, como Zeus , Spyeye , Carberp ,Ciudadela y otros, el malware financiero se ofercia en los foros del mercado negro que permite a los autores que siguen siendo de bajo perfil.

i2Ninja es un troyano del tipo peer-to-peer  que puede ser utilizado por los ciberdelincuentes para robar tarjetas de crédito y otra información financiera, presenta las mismas características del malware financiero más popular. El malware i2Ninja toma su nombre de I2P , un sistema de anonimato similar a Tor .






"De acuerdo a un post en el foro ciberdelincuencia ruso, i2Ninja ofrece una serie de capacidades similares a los ofrecidos por otros grandes malware financiero: la inyección de HTML y forma el acaparamiento de todos los principales navegadores (Internet Explorer, Firefox y Chrome), capturador de FTP y un que pronto será liberado VNC (Virtual Network Connection) módulo.Además, el malware también proporciona un módulo PokerGrabber focalización principales sitios de póquer en línea y un capturador de correo electrónico ".

El proceso de infección es el clásico drive-by, un esquema de infección que propone a las víctimas de falsos anuncios y enlaces falsos, pero el malware podría ser utilizado para infectar a los objetivos específicos a través de una caspear phishing campaña.





i2Ninja tiene diferentes capacidades de inyección de HTML y pronto proporcionar una red Virtual Network Computing (VNC) y Módulo para el control remoto, al igual que otras familias de malware más populares.

"Una vez que un malware sea capaz VNC infecta un dispositivo, las opciones del atacante son casi ilimitadas." Dijo Etay Maor, gerente de soluciones de prevención del fraude en Trusteer.

Otra capacidad interesante de i2Ninja es que puede  ser utilizado también para los usuarios de los sitios web de juegos como los sitios de póquer y de correo electrónico que ase objetivo.

Maor sostiene que el uso de I2P es una apuesta ganadora, I2P es el "verdadero Darknet" que ofrece una mejor protección que Tor y lo hace más difícil de investigar y entender la infraestructura y las capacidades del malware, pero el investigador también añadió que es sólo cuestión de tiempo antes de que el cifrado I2P está roto, como sucedió por Tor en el caso de la explotación de una vulnerabilidad de Firefox.



"Uso de la red I2P, i2Ninja puede mantener comunicaciones seguras entre los dispositivos infectados y el mando y control de servidor. Todo, desde la entrega de actualizaciones de configuración para la recepción de datos robados y envío de comandos se realiza a través de los canales de I2P cifrados. El malware i2Ninja también ofrece a los compradores un proxy para navegar por Internet en el anonimato, prometiendo el anonimato en línea completa. "

No es fácil predecir el impacto de i2Ninja en la banca, pero el malware parece estar en plena producción y actividad.

"El criminal cibernético que ofrece el programa malicioso en el underground, indica que tiene suficiente volumen de negocio debido a la publicidad oculta del malware y ha indicado que él no puede manejar más solicitudes para comprar el malware", "El criminal cibernético que ha publicado la información sobre i2Ninja en un foro conocido es un reconocido y creíble miembro de este. "dijo Maor.

A continuación es una traducción del mensaje de Rusia de que el anuncio de i2Ninja:






las Últimas informaciones sobre el malware están relacionadas con el servicio al cliente ofrecido por los autores, i2Ninja proporciona un servicio de asistencia integral a través de un sistema de venta de accesos al panel de control  del malware. Un comprador potencial puede interactuar con el equipo de apoyo siempre de forma anónima a través de I2P.

"A pesar de algunas ofertas de malware han ofrecido una interfaz con un equipo de apoyo en el pasado (Ciudadela y Neosploit por nombrar dos), 24/7 canal help desk seguro de i2Ninja es la primera vez que lo hace."

las actividades de este Ciberdelincuente están creciendo a un ritmo alarmante, la liberación de varias fuentes  de código de malware y la venta de nuevos agentes maliciosos son la evidencia de la fertilidad del trabajo de estos.

fuente
http://securityaffairs.co/wordpress/19876/cyber-crime/i2ninja-new-financial-malware.html

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".

sábado, 14 de diciembre de 2013

Hackers chinos espian a diplomaticos europeos

Los Hackers chinos espian a diplomáticos europeos

Expertos en seguridad de la empresa FireEye descubrieron una operación de espionaje cibernético realizado por hackers chinos en el equipo de los Ministerios de Relaciones Exteriores de la República Checa, Portugal, Bulgaria, Letonia y Hungría.



Los expertos en seguridad de FireEye han revelado que fueron capaces de realizar un seguimiento de los hackers chinos espían cancillerías de la UE durante una semana.


Segun estos expertos los hackers han atacado a los equipos que pertenecen al menos cinco ministerios de Asuntos Exteriores europeos en la reunión del G-20, y han accedido a un total de nueve equipos.

Aunque FireEye ha omitido revelar la identidad de los ministerios, confirmó la operación de espionaje cibernético  dirigida contra los participantes a la cumbre anual del Grupo de los 20 naciones en San Petersburgo en septiembre.
segun informa The New York Times, se informó a los países víctimas de los ataques ... República Checa, Portugal, Bulgaria, Letonia y Hungría.

El grupo chino que se encuentra detrás de la campaña se le ha llamado "Ke3chang" por el nombre de uno de los archivos que se utilizan en su código malicioso.

El método de ataque es por lo general, un ataque  de spear phishing,  trató de comvencer a las víctimas de usar el archivo adjunto que contiene un malware. Para engañar al destinatario, los atacantes utilizaron adjuntos que pretenden dar detalles sobre una posible intervención militar de EE.UU. en Siria.




En agosto, los investigadores FireEye tuvieron la oportunidad de controlar uno de los 23 servidores utilizados por los hackers chinos para los ataques, durante esa semana los asaltantes operaban sin robar ningún documento, por lo que los expertos en seguridad creen que la incursión fue parte de un reconocimiento de la red, tal y  como fue confirmado por Narottama Villeneuve, un investigador senior FireEye .

"En ese momento parecía estar a punto de reconocimiento de red", "parecían estar dirigidas específicamente a las cancillerías", dijo Villeneuve.

Los investigadores también revelaron que su equipo fue capaz de monitorizar los hackers chinos por un período limitado de tiempo, durante una semana comprobando como  el grupo de hackers actuaban para "cambiar" la arquitectura del sistema.

"Cuando cambian las infraestructuras,dejan los servidores  abiertos.
realizamos varias pruebas para comprobar que los servidores seguian sin estar  aseguradas", dijo.

El principal problema en este caso es la atribución del ataque, a pesar de que es el origen del grupo es muy difícil vincularlo a una forma clara, a un acto de piratería patrocinada un pais.

"Los hackers se basaron en China, en el origen de su ataque, pero es difícil de determinar, desde el punto de vista, de cómo o ​​si está conectado a una tecnología de algun estado-nación ".

El grupo Ke3chang es un viejo conocido para FireEye , en el pasado el grupo dirigido un ataque a las empresas de energia y la industria aeroespacial y ha llevado a cabo ataques basados ​​en software malicioso contra organizaciones gubernamentales y empresas de alta tecnología.

El grupo Ke3chang  adopto en 2012 este mismo método de ataque usando una temática de las Olimpiadas de Londres de correo y un "grupo de correos electrónicos utilizados el año anterior que supuestamente muestran fotos de desnudos de la esposa del entonces presidente francés, Carla Bruni,".

Esto es sólo es uno mas de los actos de la disputa cibernética entre China y Occidente.

fuente: The new york Times

Hackers chinos espian a diplomaticos europeos

Los Hackers chinos espian a diplomáticos europeos

Expertos en seguridad de la empresa FireEye descubrieron una operación de espionaje cibernético realizado por hackers chinos en el equipo de los Ministerios de Relaciones Exteriores de la República Checa, Portugal, Bulgaria, Letonia y Hungría.



Los expertos en seguridad de FireEye han revelado que fueron capaces de realizar un seguimiento de los hackers chinos espían cancillerías de la UE durante una semana.

martes, 10 de diciembre de 2013

Encuentran mas de 2 millones de contraseñas robadas por la botnet pony


Hallan mas de dos millones de contraseñas robadas por todo el mundo por la botnet pony







   - Un grupo de expertos de seguridad desmantelaron un sitio que almacenaba cerca de unos dos millones de contraseñas robadas de páginas como Facebook, Google, Twitter o Yahoo que pertenecen a internautas de todo el mundo.

  Los  Investigadores de Trustwave's SpiderLabs anunciaron que descubrieron estas credenciales mientras investigaban un servidor en los Países Bajos que los cibercriminales utilizan para controlar una red masiva de computadores conocida como "Pony botnet".

   Segun las declaraciones  a Reuters, el pasado  miércoles que ya informó de sus descubrimientos a los más de 90.000 sitios web y servicios proveedores de Internet cuyas credenciales de usuarios fueron halladas en el ese servidor.





   Los datos incluyen más de 326.000 cuentas de Facebook , unas 60.000 de Google, más de 59.000 cuentas de Yahoo y cerca de 22.000 de Twitter, según SpiderLabs.

   Las principales víctimas fueron de Estados Unidos, Alemania, Singapur y Tailandia, entre otros países.

   Tanto los Representantes de Facebook y Twitter, comunicaron que las compañías han cambiado las contraseñas de los usuarios afectados.
Sin  enbargo, Una portavoz de Google se a negó a comentar el asunto y los representantes de Yahoo no han podido ser localizados y preguntados por el tema.

   SpiderLabs dijo que ya a contactado con las autoridades de los Países Bajos y se les pidió que cerraran el servidor Pony botnet.

  Segun un análisis publicado en el blog de SpiderLabs demostró que la contraseña más común era "123456", usada en casi 16.000 cuentas. Otras contraseñas comunes eran "contraseña", "admin", "123" y "1".

   Segun declaraciones de Graham Cluley, un experto de seguridad independiente, dijo que era extremadamente común que la gente use contraseñas tan simples e incluso las usen repetidamente en varias cuentas, a pesar de que sea tan fácil 'crackearlas'.

   "La gente está usando contraseñas muy tontas. Es totalmente inútil", dijo.
vamos que la gente no escarmienta y "Contra la idiotez humana hasta los dioses luchan en vano "



fuente: Reuters

Encuentran mas de 2 millones de contraseñas robadas por la botnet pony


Hallan mas de dos millones de contraseñas robadas por todo el mundo por la botnet pony







   - Un grupo de expertos de seguridad desmantelaron un sitio que almacenaba cerca de unos dos millones de contraseñas robadas de páginas como Facebook, Google, Twitter o Yahoo que pertenecen a internautas de todo el mundo.

  Los  Investigadores de Trustwave's SpiderLabs anunciaron que descubrieron estas credenciales mientras investigaban un servidor en los Países Bajos que los cibercriminales utilizan para controlar una red masiva de computadores conocida como "Pony botnet".

miércoles, 27 de noviembre de 2013

ALERTA: SAP, software empresarial atacado por un troyano

Alertan de un troyano que ataca al software empresarial SAP





Esta aplicación maliciosa, Perteneciente la familia de troyanos bancarios Trojan.PWS.Ibank,  roban contraseñas introducidas por los usuarios e información confidencial. Segun Doctor Web  el malware aún no ha llevado a cabo acción destructiva alguna contra el software de SAP.



La empresa de antivirus rusa Doctor Web está notificando a los usuarios acerca de un programa malicioso que ataca el software empresarial de SAP, y que pertenece a la familia de troyanos bancarios Trojan.PWS.Ibank.
Comparado con otros programas maliciosos de la familia Trojan.PWS.Ibank, este presenta la arquitectura modificada de un bot, sus rutinas IPC (Comunicación Entre Procesos) han sido modificadas, y sus subrutinas SOCKS5 han sido eliminadas, mientras que la rutina de cifrado interno del troyano se mantiene sin cambios. 
Al igual que otros programas Trojan.PWS.Ibank, la carga útil del malware está empaquetada en una librería de enlace dinámico separada, y utiliza el mismo protocolo para comunicarse con el servidor de comando y control de los atacantes.
una forma de detectar al instalador del troyano es si se está lanzando en una máquina virtual, y si se está ejecutando bajo sistema Sandboxie. 
El troyano funciona en las versiones de 32 bits y 64 bits de Windows y utiliza diferentes métodos para comprometer diferentes plataformas.
 El módulo principal del troyano puede ejecutar dos comandos nuevos, uno de los cuales activa y desactiva la función que bloquea el funcionamiento del software del cliente bancario, mientras que el otro se utiliza para proporcionar al programa un archivo de configuración desde el servidor de comando y control.
La versión actualizada también tiene rutinas adicionales para verificar los nombres de las aplicaciones en ejecución, incluidos los programas SAP.
 La suite SAP incorpora numerosos componentes para gestionar los impuestos, las ventas, y, por lo tanto, maneja grandes volúmenes de información sensible. 
La primera versión del troyano, que comprueba la disponibilidad del software SAP en un sistema infectado, ya comenzo a extenderse este pasado verano, en la que se añadió a la base de datos de virus de Dr.Web como Trojan.PWS.Ibank.690. La última modificación del malware es Trojan.PWS.Ibank.752.

Los Investigadores de Doctor Web señalan que, si bien los troyanos de la familia Trojan.PWS.Ibank aún no han iniciado ninguna acción destructiva con el software SAP, es posible que sus autores tengan la intención de realizar el daño potencial muy pronto.

fuente: doctorweb.com

ALERTA: SAP, software empresarial atacado por un troyano

Alertan de un troyano que ataca al software empresarial SAP





Esta aplicación maliciosa, Perteneciente la familia de troyanos bancarios Trojan.PWS.Ibank,  roban contraseñas introducidas por los usuarios e información confidencial. Segun Doctor Web  el malware aún no ha llevado a cabo acción destructiva alguna contra el software de SAP.

miércoles, 6 de noviembre de 2013

Historia de la informatica: 1º condenado por Crear botnets

El 9 de mayo de 2006, Jeanson James Ancheta (nacido en 1985) se convirtió en la primera persona en ser cobrado por el control de un gran número de ordenadores secuestrados o botnets 



ese día fue arrestado por el FBI y acusado de conspiración, acceso a computadoras protegidas sin autorización para cometer fraude, intentar causar daño a computadoras protegidas, causando daños a los equipos utilizados por el gobierno federal en la defensa nacional y lavado de dinero. 



Fue arrestado en un montaje preparado por los agentes del FBI para atraerlo a su oficina local, con el pretexto de recoger material informático como parte de la Operación Bot. 

Ancheta es la primera persona que condenarán por tomar control de un gran número de ordenadores secuestrados ("botnets"). 

Los cargos habilitan a una pena máxima de cincuenta años de prisión, sin embargo la condena fue de 57 meses en una prisión federal por uso de software malicioso, que utilizó para tomar el control de más de 400.000 ordenadores y utilizarlos en forma de red "botnets ", vendiendo luego el acceso a esta red a spammers y hackers. 

Ancheta admitió también haber obtenido más de 107.000 dólares con la maniobra, aunque se le decomisaron más de 60.000 dólares en efectivo y un BMW. 

Entre los miles de infectados se encontraban los ordenadores de la División de Armas de la Fuerza Aérea Naval y la Agencia de Sistemas de Información del Departamento de Defensa de Estados Unidos. 

El 24 de enero de 2006, Ancheta se declaró culpable de violar la Ley de Fraude Informático de abuso y así se convierte en la primera persona que juzgada por este tipo de delitos. 

El juez Klausner le dijo: “Tu peor enemigo fue tu propia arrogancia intelectual cuando pensabas que nadie en el mundo te podía tocar”.

Ancheta estudiaba en el instituto  Downey High School en California hasta 2001, cuando abandonó estos.Más tarde entró en un programa alternativo para los estudiantes con problemas académicos o de comportamiento. 
Él trabajó en un café Internet y de acuerdo con su familia quería para unirse a el cuerpo de  la reserva militar de Estados Unidos. 
Alrededor de junio 2004 comenzó a trabajar con botnets después de descubrir rxbot, un gusano informático común que podría extender su red de ordenadores infectados.
Pero ¿que es una Botnet?

Botnet es un término que define una colección de  robots de software o " bots ", que gestiona de forma autónoma y automática, a menudo con fines maliciosos. 
Los Hackers tenian  desde hacia  tiempo Botnets que eran utilizadas  para diversos fines, siempre de manera  oculta y lo mas discreta posible, pero Ancheta se coloco a las vista de todos por la publicidad de forma activa su red de bots en los canales de chat de Internet.
Creo un sitio Web donde Ancheta publico una lista de precios que cobraba a  la gente que quería alquilar las máquinas, junto con directrices sobre cuántos bots estaban obligados a contratar para derribar a un determinado tipo de sitio web.

"
Él secuestrado en algún lugar en el área de medio millón de sistemas informáticos. Esto no sólo los ordenadores afectados como el de su casa, pero permitió a él ya otros para orquestar ataques a gran escala.
"
 texto  
 de la La oficina del fiscal de EE.UU. en Los Angeles, Thom Mrozek 
Arresto y condena
En noviembre de 2005 fue capturado en una operación encubierta elaborada cuando los agentes del FBI lo atrajo a su oficina local, con el pretexto de recoger material informático.  El arresto fue parte de la Operación Bot asado .
El 09 de mayo 2006 Ancheta se declaró culpable de cuatro cargos de delito grave de violación de Código de Estados Unidos Sección 1030, Fraude y Actividad relacionada en relación con ordenadores, en concreto los apartados (a) (5) (A) (i), 1030 (a) (5 ) (B) (i), y 1030 (b). la condena a Ancheta fue de  60 meses en la cárcel, perder un BMW 1993 y más de $ 58.000 en ganancias. También tuvo que  pagar una indemnización de 15.000 dólares EE.UU. al gobierno federal de los EE.UU. por la  infecc robotsión de  los ordenadores militares. 


Fuente Wikipedia

Historia de la informatica: 1º condenado por Crear botnets

El 9 de mayo de 2006, Jeanson James Ancheta (nacido en 1985) se convirtió en la primera persona en ser cobrado por el control de un gran número de ordenadores secuestrados o botnets 



ese día fue arrestado por el FBI y acusado de conspiración, acceso a computadoras protegidas sin autorización para cometer fraude, intentar causar daño a computadoras protegidas, causando daños a los equipos utilizados por el gobierno federal en la defensa nacional y lavado de dinero. 

sábado, 12 de octubre de 2013

ALERTA!!!¡¡¡ Whasapp de nuevo en entredicho(y van.....)

Alertan de un nuevo fallo en la seguridad de WhatsApp

Vamos que no hay forma, luego nos criticais en el foro y en el blog de que tenemos mania a whatsapp, pero es que se lo ganan a pulso y aunque sus directivos le restan importancia, no hay manera.



Un experto en seguridad alerta de que el sistema de cifrado de mensajes adolece de un fallo conocido, y que puede poner en riesgo las comunicaciones de los usuarios



Un investigador de la Universidad de Utrech ha publicado un artículo en el que denuncia un nuevo problema de seguridad en WhatsApp. En esta ocasión, el fallo estaría en el sistema de cifrado de mensajes de la red de mensajería instantánea. Thijs Alkemade, el responsable del descubrimento, ha avisado de que es un error conocido y que pone potencialmente en riesgo la privacidad de las comunicaciones de los usuarios.
«Deberías asumir que cualquiera capaz de ‘pinchar’ la conexión desde la que usas Whatsapp es capaz de descifrar tus mensajes si le pone el suficiente empeño», sentencia el holandés. Recalca, además, que en el peor de los casos todas las conversaciones que ya se hayan tenido podrían haber sido espiadas. «No hay nada que un usuario de WhatsApp pueda hacer para remediar esto, excepto dejar de usarlo hasta que los desarrolladores lo actualicen».
Desde la «app» le restan importancia
Según la web «Ars Technica», el CEO de WhatsApp les ha asegurado que las afirmaciones de Alkemade son «una exageración». «Afirmar que todas las conversaciones pasadas deberían considerarse comprometidas es impreciso», citan. No confirman ni desmienten oficialmente si el fallo de seguridad realmente existe, sino que matizan las palabras del investigador.
Entre los problemas que ha encontrado Alkemade –y que supuestamente han validado otros expertos en seguridad– es que se usan la misma clave de cifrado y autentificación en las dos direcciones de comunicación. Entre el usuario y el servidor de WhatsApp, y entre el servidor y el teléfono del usuario. Esto permitiría, supuestamente,desvelar los mensajes sin cifrar a un atacante con los conocimientos suficientes.

No es la primera vez que WhatsaApp recibe críticas por la seguridad de su red. Aunque con el paso del tiempo han implementado mejoras que dificultan que una tercera persona pueda leer los mensajes privados de otro usuario, parece que aún quedan fallos por resolver.

ALERTA!!!¡¡¡ Whasapp de nuevo en entredicho(y van.....)

Alertan de un nuevo fallo en la seguridad de WhatsApp

Vamos que no hay forma, luego nos criticais en el foro y en el blog de que tenemos mania a whatsapp, pero es que se lo ganan a pulso y aunque sus directivos le restan importancia, no hay manera.



Un experto en seguridad alerta de que el sistema de cifrado de mensajes adolece de un fallo conocido, y que puede poner en riesgo las comunicaciones de los usuarios



Un investigador de la Universidad de Utrech ha publicado un artículo en el que denuncia un nuevo problema de seguridad en WhatsApp. En esta ocasión, el fallo estaría en el sistema de cifrado de mensajes de la red de mensajería instantánea. Thijs Alkemade, el responsable del descubrimento, ha avisado de que es un error conocido y que pone potencialmente en riesgo la privacidad de las comunicaciones de los usuarios.
«Deberías asumir que cualquiera capaz de ‘pinchar’ la conexión desde la que usas Whatsapp es capaz de descifrar tus mensajes si le pone el suficiente empeño», sentencia el holandés. Recalca, además, que en el peor de los casos todas las conversaciones que ya se hayan tenido podrían haber sido espiadas. «No hay nada que un usuario de WhatsApp pueda hacer para remediar esto, excepto dejar de usarlo hasta que los desarrolladores lo actualicen».
Desde la «app» le restan importancia
Según la web «Ars Technica», el CEO de WhatsApp les ha asegurado que las afirmaciones de Alkemade son «una exageración». «Afirmar que todas las conversaciones pasadas deberían considerarse comprometidas es impreciso», citan. No confirman ni desmienten oficialmente si el fallo de seguridad realmente existe, sino que matizan las palabras del investigador.
Entre los problemas que ha encontrado Alkemade –y que supuestamente han validado otros expertos en seguridad– es que se usan la misma clave de cifrado y autentificación en las dos direcciones de comunicación. Entre el usuario y el servidor de WhatsApp, y entre el servidor y el teléfono del usuario. Esto permitiría, supuestamente,desvelar los mensajes sin cifrar a un atacante con los conocimientos suficientes.

No es la primera vez que WhatsaApp recibe críticas por la seguridad de su red. Aunque con el paso del tiempo han implementado mejoras que dificultan que una tercera persona pueda leer los mensajes privados de otro usuario, parece que aún quedan fallos por resolver.

lunes, 30 de septiembre de 2013

SEGURIDAD INFORMÁTICA: ¿Que es una red zombie ?

Parece que la gente sigue sin tener muy claro que es una red zombie y los daños que esta puede producir, y en vista que nuestros socios y visitantes no paran de preguntar, vamos a ver si lo podemos explicar un poco





¿ QUE SON LAS REDES ZOMBIES Y CÓMO COMBATIRLAS?

Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas de las más dañinas y peligrosas son las denominadas redes botnet, más conocidas por su nombre coloquial: ‘Redes zombi’. Estas redes son las causantes del envío de gran parte de correos de Spam que circula por Internet, y son capaces de dejar sin funcionamiento una web durante varias horas.




Este tipo de redes está formado por un elevado número de ordenadores zombis, es decir, equipos infectados con un tipo de software malicioso que permite que el equipo sea controlado por un usuario no autorizado o remoto. Una vez que el equipo ha sido convertido en zombi, el atacante lo conecta a una red de miles de ordenadores infectados y lo utiliza para cometer una gran variedad de delitos informáticos.
Una vez que el hacker controla el ordenador, intentará extenderse a otros equipos para multiplicar la red zombi a gran velocidad, buscando conseguir la mayor cantidad de potencia posible para llevar a cabo sus delitos: ataques DDoS, romper encriptaciones, infectar más ordenadores, etc. En la actualidad nos podemos encontrar redes que van desde unos pocos equipos informáticos hasta redes compuestas por millones de ordenadores.
Para que las máquinas que forman parte de la red se pongan a realizar la tarea con la que fueron infectadas, sólo hace falta que reciban la orden por parte del hacker.


Características de una red zombi

Este tipo de redes tienen características muy determinadas, destacando la potencia que ofrecen al hacker para ejecutar sus acciones delictivas. algunas de estas características son:
  • Anonimato: El ataque se realiza desde muchos ordenadores a la vez, por lo que localizar estos ordenadores es una tarea muy complicada, ya que están en distintos puntos de la geografía terrestre. Descubrir a la persona que los maneja requiere de muchos recursos técnicos, y en muchas ocasiones no se consigue dar con él. 
  • Coste: La inversión para el atacante es muy baja, ya que para el atacante es únicamente el tiempo que tarda en crear el programa. Y a la hora de ejecutar las acciones, hace uso de equipos y líneas que pagan los usuarios infectados. 
  • Número de equipos que forman parte de ella: Es ilimitado. A mayor número mayor será el poder que tenga la red para llevar a cabo su misión. 
  •  Actualización: Como todo software, los hackers trabajan para mejorar sus programas y de esta forma sacar más partido a la red. 

Ciclo de vida de una red zombi



las distintas fases por las que pasa el programa infeccioso hasta que lleva a cabo su objetivo, se clasifican en:
  • Desarrollo: Es la primera fase a la hora de crear una botnet. En este caso el atacante define la forma de trabajar del software malicioso y de la red, comenzando a crear el virus. 
  • Fase de infección: Esta fase comienza una vez se infecta el primer equipo y continúa mientras el software malicioso no es detectado por los antivirus, propagándose a otros equipos. 
  •  Explotación: Es en esta fase cuando la red lleva a cabo las actividades para la que fue creada. 
  • Declive: La fase de declive tiene lugar cuando el número de equipos infectados alcanza un número
    tan bajo que ya no resulta operativa. 
  • Inactividad: Se produce cuando la red deja de utilizarse o ya no es efectiva. 
  • Modificación: En esta fase el atacante realiza modificaciones en el software malicioso para añadir funcionalidades extras, evitar su detección o aumentar la velocidad de propagación. 

¿Que Usos tiene una Botnet?


Los usos que se le pueden dar a una red de equipos zombis son muchos y variados, aunque el conocido y  habitual suele ser para hacer envíos de millones de mensajes de correo de spam, hay otros muchos. por ejemplo:
  • Ataques de denegación de servicios (DDoS), ataques con los que bloquean un servidor enviando miles de peticiones en un corto periodo de tiempo. Se puede ver más sobre este tipo de ataques en el White Paper “Definición y métodos de Ataque DoS” que elaboramos en acens hace tiempo. 
  • Localizar e infectar otros equipos informáticos con programas malware. 
  • Actuar como servicio que puede comprarse, venderse o alquilarse. 
  • Rotar direcciones IP bajo uno o más nombres de dominio. 
  • Envío de spam. Se utiliza la red para hacer envíos de millones de correos electrónicos con algún tipo de fraude o publicidad. 
  • Robo de información. Sustraer de cada equipo que forma parte de la red algún tipo de información confidencial. 
  • Descarga de ficheros. Se utilizan como servidores réplica, para descargar grandes archivos, que consumen mucho ancho de banda y que generalmente son ilícitos o ilegales. 

¿ Cómo protegerse de este tipo de redes?






realmente es bastante sencillo, siempre que se sigan una serie de pasos:

  • Hacer uso de programas antivirus y antispyware. Es recomendable hacer uso de este tipo de aplicaciones y tener siempre actualizada la base de datos de virus, para detectar cualquier amenaza que intente atacarnos. 

  • Hacer uso de cortafuegos. Por medio de los firewall se bloquea el acceso no autorizado mientras el equipo esté conectado a Internet. 
  • No abrir ficheros adjuntos que provengan de contactos no conocidos. Es recomendable que este tipo de correos sean eliminados según lleguen a nuestro buzón, o al menos analizarlos con el antivirus. 
  • Cambiar contraseñas. Si pensamos que hemos sido infectados es aconsejable realizar el cambio de contraseña de nuestra cuenta de email, cuentas bancarias y demás sitios de Internet. Las contraseñas que se utilicen tienen que suficientemente robustas para que no puedan ser adivinadas con facilidad. 
  • Desconectarse de Internet cuando no estemos delante del equipo. De esta forma evitamos que accedan a nuestra información y recursos privados.
    Las redes zombis siguen siendo uno de los mayores peligros que nos podemos encontrar por la red, por eso es fundamental que tomemos las medidas necesarias para no acabar dentro de estas redes y colaborar, sin saberlo, en los actos delictivos de los hackers.
fuentes: wikipedia 

SEGURIDAD INFORMÁTICA: ¿Que es una red zombie ?

Parece que la gente sigue sin tener muy claro que es una red zombie y los daños que esta puede producir, y en vista que nuestros socios y visitantes no paran de preguntar, vamos a ver si lo podemos explicar un poco





¿ QUE SON LAS REDES ZOMBIES Y CÓMO COMBATIRLAS?

Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas de las más dañinas y peligrosas son las denominadas redes botnet, más conocidas por su nombre coloquial: ‘Redes zombi’. Estas redes son las causantes del envío de gran parte de correos de Spam que circula por Internet, y son capaces de dejar sin funcionamiento una web durante varias horas.