Mostrando entradas con la etiqueta banking trojan. Mostrar todas las entradas
Mostrando entradas con la etiqueta banking trojan. Mostrar todas las entradas

sábado, 1 de febrero de 2014

ALERTA: Malware Bootkit para android, un ataque masivo que afecta a mas de 350000 dispositivos por el momento

Android Primera ampliamente distribuido bootkit malware infecta a más de 350.000 dispositivos




En el último trimestre de 2013, la venta de un Smartphone con el sistema operativo ANDROID,  se ha incrementado. pero parce ser que la gente no se conciencia de la falta de seguridad de este sistema. hoy Una firma de seguridad rusa " Doctor Web » a identificado el 1º ataque de malware distribuido con el bootkit para Android llamado ' Android.Oldboot ', una pieza de malware que está diseñada para volver a infectar los dispositivos al iniciar el sistema, incluso si elimina todos los componentes de trabajo de esta.


El bootkit Android.Oldboot ha infectado a más de 350.000 usuarios de Android en China, España, Italia, Alemania, Rusia, Brasil, EE.UU. y algunos países del sudeste asiático. China parece una víctima en masa (la mas extendida) de este tipo de software malicioso que tiene una participación de 92%.
Este Bootkit es una variante del malware rootkit, que infecta el dispositivo en el arranque y puede cifrar el disco o robar datos, eliminar la aplicación, la conexión abierta para el Comando y el controlador.

Realmente usa una tecnica muy peculiar  la que utiliza para inyectar este troyano en un sistema Android, donde un atacante coloca un componente de la misma en la partición de arranque del sistema de archivos y modificar la secuencia de comandos "init" ( inicializar el sistema operativo ) para volver a cargar el software malicioso cada vez que se enciende el dispositivo.

Al iniciar el dispositivo, este script ejecuta la carga de 'el troyano imei_chk '(detecta como Android.Oldboot.1) que extraen dos archivos libgooglekernel.so (Android.Oldboot.2) yGoogleKernel.apk   (Android.Oldboot.1.origin), copiarlos, respectivamente, en / system / lib y / system / app .

El Android.Oldboot actúa como un servicio del sistema y se conecta con el servidor de comando-y-control usandola biblioteca  libgooglekernel.so y recibe órdenes para descargar, eliminar las aplicaciones instaladas, e instalar en su lugar las aplicaciones maliciosas.

Y claro, esta, se convierte en una parte de la partición de arranque, por lo qué el formatear el dispositivo no va a resolver el problema.
Los investigadores creen que los dispositivos tenían de alguna manera el malware pre-cargado en el momento del envío por parte del fabricante o qué  pudiera distribuirse dentro de un firmware de Android modificado. Así, que los usuarios deben tener cuidado con ciertos tipos de firmware de Android modificado, que pueden traer este malware camuflado.

Hace dos semanas, algunos investigadores de seguridad chinas también han detectadoque  un bootkit llamado ' oldboot ', posiblemente el mismo malware o una variante de la misma se esta ejecutando.
" Debido a la particularidad del disco RAM de la partición de arranque de los dispositivos Android ', todos los productos de antivirus móviles actuales en el mundo no pueden eliminar completamente este troyano ni pueden reparar el sistema. "

" Según nuestras estadísticas, a día de hoy, hay más de 500, 000 dispositivos Android infectados por este bootkit en China desde los últimos seis meses.

El Malware Android.Oldboot, es casi imposible de quitar, ni siquiera con el formateo de su dispositivo.
la Buena noticia es que si el dispositivo no es de un fabricante chino, entonces es probable que usted no sea una víctima de ella o por lo menos que tengas muy pocas posibilidades de que ocurra .


Este tipo de bootkit no es la primera vez que se detecta ya que tan solo  Dos años atrás, en el mes de marzo informó, el ​​Centro de Investigación NQ Mobile Security que  descubrió el primer malware bootkit del mundo llamado 'DKFBootKit ', que sustituye a ciertos procesos de arranque y puede empezar a ejecutar incluso antes de que el sistema está completamente arrancado.

Pero Android.Oldboot malware es Bastante más peligroso, porque incluso si se quita todos los componente,sigue trabajando desde su android con éxito,ya que  el componente imei_chk persistirá en un área de memoria de arranque protegido y, por tanto, volverá a instalarse a sí en el próximo arranque y continuamente infectara el Smartphone.

Se recomienda a los usuarios que se instalen aplicaciones en tiendas autorizadas como Google Play , que deshabiliten la instalación de aplicaciones de ' Desconocidos 'y por una mejor seguridad instalar una aplicación de seguridad de renombre. También puede tratar de volver a "flasear" el dispositivo con su ROM original. Después de reiniciar, se quitará definitibamente el bootkit.

fuente: www.doctorweb.com

ALERTA: Malware Bootkit para android, un ataque masivo que afecta a mas de 350000 dispositivos por el momento

Android Primera ampliamente distribuido bootkit malware infecta a más de 350.000 dispositivos




En el último trimestre de 2013, la venta de un Smartphone con el sistema operativo ANDROID,  se ha incrementado. pero parce ser que la gente no se conciencia de la falta de seguridad de este sistema. hoy Una firma de seguridad rusa " Doctor Web » a identificado el 1º ataque de malware distribuido con el bootkit para Android llamado ' Android.Oldboot ', una pieza de malware que está diseñada para volver a infectar los dispositivos al iniciar el sistema, incluso si elimina todos los componentes de trabajo de esta.

sábado, 11 de enero de 2014

Lo que deberiamos aprender de un ataque de contraseña (Brute force)

uno de las formas de ataque mas extendidas contra servidores son los de fuerza bruta o ataque de contraseña, ya que es uno de los mas faciles de realizar y existen infinidad de herramientas, diccionarios e incluso contraseñas en internet, con lo cual no deberiamos sorprendernos de las
noticias de esos ataquesdebido a lo facil que




Es , por ejemplo con  millones de contraseñas robado a través de la piratería en Facebook, Twitter y cuentas de Gmail: Recientemente sucedió porque el malware se ha descargado sin saberlo, en los ordenadores de todo el mundo que extraen información de registro. Después, la información se dirigio al servidor de los hackers, que alojado en los Países Bajos.



Una contraseña nunca es 100 por ciento seguro,y si te lo dicen, ponlo en cuarentena,  NO EXISTE UNA CONTRASEÑA QUE NO SE PUEDA REVENTAR. Las contraseñas pueden ser descifradas de muchas maneras:

Cracking preguntas de seguridad.
Reconozcamolo,todos nosotros tenemos las mismas costumbres y asi, la mayoría de la gente usa los nombres fácilmente rastreable por su pregunta secreta al registrar una contraseña, como los nombres de los miembros de la familia y las escuelas a las que asistieron.
Esta información está a menudo en sus perfiles de redes sociales y, con un poco de trabajo de campo bien planeado, se puede encontrar. y lo mas grave es que a menudo, las contraseñas son estos nombres también.

Contraseñas demasiados simples. Las contraseñas de 123456, abc123, 11111, etc, son fáciles de escribir y también se encuentran entre los más comunes, y por lo tanto fácilmente descubierto. "Princesa" y "querty" también son palabras de uso común.

Utilizando las mismas contraseñas para diferentes sitios. Una tercio  de las víctimas de violación de datos en un reciente ataque había sido por  la reutilización de contraseñas. La Reutilización contraseña para medios de comunicación social, la banca y el correo electrónico les abre la puerta al robo de identidad.

Los ataques de diccionario. existe software que se ejecutará la palabra que se encuentra en un diccionario (o palabras de uso común mal escritas) en el campo de la contraseña. Si utiliza estas palabras, el software finalmente conseguira reventar el acceso, herramientas como cain & abel, son un calro ejemplo.

La ingeniería social. Esto es cuando un ladrón utiliza la "lavia" para convencer a otro que te de información  de un usuario para que revele la contraseña (a menudo mediante el envío de una "urgente" e-mail informando al usuario a visitar un sitio en el que "debe" escriba su contraseña).

Todavía hay esperanza de que un día a la manera de diseñar una contraseña segura al 100 por ciento se desarrollará, quizás a través de una fusión de la biometría, la autenticación de múltiples factores y acceso basado en imágenes. ¿pero.....?







¿Qué puede hacer mientras tanto?

Use palabras no rastreable para las contraseñas y respuestas a preguntas secretas.
Evite el uso de contraseñas que fluyen fácilmente como 67890, asdfg, etc
Nunca reutilices las contraseñas. Las contraseñas para todas las cuentas deben ser muy diferentes unos de otros.
Inventar nombres para tus contraseñas que no se pueden encontrar en cualquier lugar. Evite variaciones fonéticas de palabras comunes o nombres propios. No utilice palabras al revés deletreadas.
Asegúrese de que nadie puede ver que introduzca su contraseña.
Siempre cierre la sesión si otras personas están cerca aunque tenga que abandonar brevemente va a dejar.
Use software de seguridad integral.
Nunca use su contraseña en un ordenador público.

Lo que deberiamos aprender de un ataque de contraseña (Brute force)

uno de las formas de ataque mas extendidas contra servidores son los de fuerza bruta o ataque de contraseña, ya que es uno de los mas faciles de realizar y existen infinidad de herramientas, diccionarios e incluso contraseñas en internet, con lo cual no deberiamos sorprendernos de las
noticias de esos ataquesdebido a lo facil que


sábado, 21 de diciembre de 2013

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".

i2Ninja se vende en un foro de la delincuencia cibernética de Rusia, Y ofrece en un mercado ideal para la compra y venta de códigos maliciosos o para poder ejecutar la personalización y con ello explotar la venta del  conocido como  el malware-as-a-service . En los malware financiero anteriores, como Zeus , Spyeye , Carberp ,Ciudadela y otros, el malware financiero se ofercia en los foros del mercado negro que permite a los autores que siguen siendo de bajo perfil.

i2Ninja es un troyano del tipo peer-to-peer  que puede ser utilizado por los ciberdelincuentes para robar tarjetas de crédito y otra información financiera, presenta las mismas características del malware financiero más popular. El malware i2Ninja toma su nombre de I2P , un sistema de anonimato similar a Tor .






"De acuerdo a un post en el foro ciberdelincuencia ruso, i2Ninja ofrece una serie de capacidades similares a los ofrecidos por otros grandes malware financiero: la inyección de HTML y forma el acaparamiento de todos los principales navegadores (Internet Explorer, Firefox y Chrome), capturador de FTP y un que pronto será liberado VNC (Virtual Network Connection) módulo.Además, el malware también proporciona un módulo PokerGrabber focalización principales sitios de póquer en línea y un capturador de correo electrónico ".

El proceso de infección es el clásico drive-by, un esquema de infección que propone a las víctimas de falsos anuncios y enlaces falsos, pero el malware podría ser utilizado para infectar a los objetivos específicos a través de una caspear phishing campaña.





i2Ninja tiene diferentes capacidades de inyección de HTML y pronto proporcionar una red Virtual Network Computing (VNC) y Módulo para el control remoto, al igual que otras familias de malware más populares.

"Una vez que un malware sea capaz VNC infecta un dispositivo, las opciones del atacante son casi ilimitadas." Dijo Etay Maor, gerente de soluciones de prevención del fraude en Trusteer.

Otra capacidad interesante de i2Ninja es que puede  ser utilizado también para los usuarios de los sitios web de juegos como los sitios de póquer y de correo electrónico que ase objetivo.

Maor sostiene que el uso de I2P es una apuesta ganadora, I2P es el "verdadero Darknet" que ofrece una mejor protección que Tor y lo hace más difícil de investigar y entender la infraestructura y las capacidades del malware, pero el investigador también añadió que es sólo cuestión de tiempo antes de que el cifrado I2P está roto, como sucedió por Tor en el caso de la explotación de una vulnerabilidad de Firefox.



"Uso de la red I2P, i2Ninja puede mantener comunicaciones seguras entre los dispositivos infectados y el mando y control de servidor. Todo, desde la entrega de actualizaciones de configuración para la recepción de datos robados y envío de comandos se realiza a través de los canales de I2P cifrados. El malware i2Ninja también ofrece a los compradores un proxy para navegar por Internet en el anonimato, prometiendo el anonimato en línea completa. "

No es fácil predecir el impacto de i2Ninja en la banca, pero el malware parece estar en plena producción y actividad.

"El criminal cibernético que ofrece el programa malicioso en el underground, indica que tiene suficiente volumen de negocio debido a la publicidad oculta del malware y ha indicado que él no puede manejar más solicitudes para comprar el malware", "El criminal cibernético que ha publicado la información sobre i2Ninja en un foro conocido es un reconocido y creíble miembro de este. "dijo Maor.

A continuación es una traducción del mensaje de Rusia de que el anuncio de i2Ninja:






las Últimas informaciones sobre el malware están relacionadas con el servicio al cliente ofrecido por los autores, i2Ninja proporciona un servicio de asistencia integral a través de un sistema de venta de accesos al panel de control  del malware. Un comprador potencial puede interactuar con el equipo de apoyo siempre de forma anónima a través de I2P.

"A pesar de algunas ofertas de malware han ofrecido una interfaz con un equipo de apoyo en el pasado (Ciudadela y Neosploit por nombrar dos), 24/7 canal help desk seguro de i2Ninja es la primera vez que lo hace."

las actividades de este Ciberdelincuente están creciendo a un ritmo alarmante, la liberación de varias fuentes  de código de malware y la venta de nuevos agentes maliciosos son la evidencia de la fertilidad del trabajo de estos.

fuente
http://securityaffairs.co/wordpress/19876/cyber-crime/i2ninja-new-financial-malware.html

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".

jueves, 19 de diciembre de 2013

ALERTA: Nuevo malware usa a Star Wars como reclamo

Malware Taps Tor Red 'Chewbacca'

Un nuevo Troyano malicioso que se usando como reclamos a chewbacca, de  Star Wars utiliza la red de anonimato Tor para ocultar sus comunicaciones de comando y control.






La próxima Star Wars película no puede ser programado para llegar hasta el verano de 2015, pero la comercialización tie-ins ya han comenzado - por lo menos cuando se trata de los cibercriminales tratan de hacer dinero fácil y fraudulenta.

Los investigadores de seguridad han descubierto un troyano bancario, que utiliza la red TOR, y  que ha sido bautizado como "Chewbacca" por sus creadores. Según informa  Kaspersky Lab, que fue la que descubrió el malware en un foro ciberdelincuencia underground, una vez que el malware (detectado como un archivo llamado "Fsysna.fej") infecta con éxito un PC, automaticamente también deja caer una copia de Tor 0.2.3.25, que utiliza el malware para su pathload. El troyano activa un keylogger y envía los datos a los controladores de botnets a través de la red Tor.

Más allá de tomar prestado el nombre del malware de las peliculas de  George Lucas, el acceso a la interfaz de inicio de sesión para la red del malware de comando y control (C & C) muestra que quien construyó el malware también utilizo las imagenes de "Juego de clones", que es gratuito, de  Stars Wars y de Juego de tronos, incluyendo wallpapers creados por el artista Andrew Lanza.

Para acceder al servidor de Chewbacca el (C & C a través de un servicio oculto de Tor) -  - Lo que significa que el servidor de comando es accesible sólo a través de Tor, en lugar de la Internet pública .El servidor C & C ha sido desarrollado usando LAMP (Linux, Apache, MySQL, PHP).



Hasta la fecha, sin embargo, el malware no parece estar muy extendido. "Chewbacca actualmente no se ofrece publicamente en los foros del underground , a diferencia de otros juegos de herramientas tales como Zeus," dijo Kasperksy Lab investigador Marco Preuss en una entrada de blog . "Tal vez sea que esta en desarrollo o el malware es utilizado o compartido en privado."

Chewbacca es el último de una serie de malware que los investigadores de seguridad han descubierto que tocar la red de anonimato Tor. Tal como se detalla en Kaspersky Lab, durante  la semana pasada, el malware financiero Zeus consiguió realizar un lavado de cara a principios de este año, moviéndose hacia la compatibiliad con sistemas de 64 bits para los navegadores Internet Explorer, así como añadir la compatibilidad Tor. A principios de este año, por su parte, cuatro hombres fueron arrestados por la policía holandesa por cargos de utilización de este  malware contra la  banca Torrat,  robando aproximadamente 1,4 millones de dólares de sus clientes, dinero que supuestamente blanqueaban, convirtiendo este dinero en bitcoins.

El uso de la red TOR sirve para ocultar las conexiones entre los nodos infectados de botnets - . "Esto protege la localización de un servidor, así como la identidad del propietario en la mayoría de los casos," dijo Preuss.




"Todavía hay algunas desventajas que impiden a muchos criminales la utilización  de sus servidores dentro de Tor", añadió. "Debido a la superposición y la estructura, Tor es más lento y los tiempos de espera para una posible actividad de las  botnet masiva puede influir en toda la red, como se ha visto con Mevade." -
mevade es un tipo de  malware que, después de haber añadido la compatibilidad Tor, fue culpado de un aumento masivo en el tráfico de Tor que se inicio en agosto - ". y por lo tanto permiten investigadores detectar estos con más facilidad, Además, la implementación de Tor añade más complejidad al proceso de detección."

Pero, por otro lado, gracias al uso de Tor, Chewbacca pueden prescindir de la típica táctica de malware bancario que utiliza un servidor de terceros legítimos, que ha sido comprometido por atacantes para almacenar datos robados, que se realiza para hacer que el robo  de datos relacionados sea más difícil de detectar . "Con Chewbacca, todos los datos ( grabaciones de keylogger, y la extracción de los datos de la memoria ). Se envía de vuelta al servidor TOR de forma organizada",  "Así que no es como otros casos en la zona de descarga y control, son sistemas separados."Gracias a Tor, no lo necesita.



Con El uso de Tor, el propósito principal de Chewbacca es registrar las pulsaciones del teclado y transmitirlas a los atacantes. Al igual que con Torrat, Zeusy el troyano  i2Ninja, y casi todos los otros kit de herramientas de crimeware, su principal objetivo es robar las credenciales de acceso de sitios web de la línea financiera de los usuarios, por lo que los atacantes pueden vaciar sus cuentas.

Resumiendo, el objetivo de los criminales es simple ( robar dinero ) las estrategias de ataque que utiliza el malware bancario pueden ser complejos, según un estudio reciente realizado por Symantec de más de 1.000 archivos de configuración utilizados por ocho troyanos bancarios diferentes, que objetivo colectivamente 1.486 organizaciones diferentes en los primeros nueve meses de este año. "Estos archivos de configuración que definen las direcciones URL que el troyano debe atacar y qué estrategia de ataque de usar", dijo el investigador de seguridad de Symantec información Candid Wueest en un martes blog . Por ejemplo, Symantec encontró que las técnicas de ataque ejercidas sobre los objetivos variaron "desde el Redireccionamiento de usuario complejas en la Web los inyecta, que pueden conducir automáticamente las transacciones en el fondo", declararon.

pero Lo realmente importante, estas estrategias de ataque están funcionando. De acuerdo con Symantec, la tasa de infecciones exitosas por los troyanos financieros más comunes se incrementó este año un 337% entre enero y septiembre, infectando a cerca de 500.000 PC por mes.
FUENTE: Karpesky Labs

ALERTA: Nuevo malware usa a Star Wars como reclamo

Malware Taps Tor Red 'Chewbacca'

Un nuevo Troyano malicioso que se usando como reclamos a chewbacca, de  Star Wars utiliza la red de anonimato Tor para ocultar sus comunicaciones de comando y control.






La próxima Star Wars película no puede ser programado para llegar hasta el verano de 2015, pero la comercialización tie-ins ya han comenzado - por lo menos cuando se trata de los cibercriminales tratan de hacer dinero fácil y fraudulenta.