lunes, 29 de diciembre de 2014
Los códigos maliciosos más peligrosos del 2014
Los códigos maliciosos más peligrosos del 2014
lunes, 28 de abril de 2014
ALERTA: 0-DAY en TODOS los navegadores de internet explorer
A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer
debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo
La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.
Todos los usuarios que estén ejecutando un Windows que no sea de la gama Server están afectados, por lo tanto es muy probable que lo estés si estás leyendo este artículo desde Windows.
El ataque, con mas exactitud, se beneficia de un archivo SWF (Flash) para manipular la memoria que utiliza el navegador.
Lo que significa, que no estaremos expuestos si no tenemos Flash instalado, aunque como el Internet Explorer 10 y 11 lo llevan por defecto ya esta el lio montado.
La empresa FireEye ya ha informado a Microsoft del problema, y en Redmond lo están investigando para encontrar una solución.
No hay aun oficialmente ni fecha ni datos de cómo y cuándo se va a resolver, pero tratándose de un error así no creo que tardemos mucho en recibir una respuesta oficial. De momento ya estánintentando algo aumentando el nivel y siendo más estrictos en los niveles y aumentando las barreras contra el adware.
este es e informe de FireEye, en ingles, explicando el fallo
New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks
FireEye Research Labs identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. The vulnerability affects IE6 through IE11, but the attack is targeting IE9 through IE11. This zero-day bypasses both ASLR and DEP. Microsoft has assigned CVE-2014-1776 to the vulnerability and released security advisory to track this issue.
Threat actors are actively using this exploit in an ongoing campaign which we have named “Operation Clandestine Fox.” However, for many reasons, we will not provide campaign details. But we believe this is a significant zero day as the vulnerable versions represent about a quarter of the total browser market. We recommend applying a patch once available.
According to NetMarket Share, the market share for the targeted versions of IE in 2013 were:
IE 9 13.9%
IE 10 11.04%
IE 11 1.32%
Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market. The vulnerability, however, does appear in IE6 through IE11 though the exploit targets IE9 and higher.
The Details
The exploit leverages a previously unknown use-after-free vulnerability, and uses a well-known Flash exploitation technique to achieve arbitrary memory access and bypass Windows’ ASLR and DEP protections.
Exploitation
• Preparing the heap
The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui. It allocates Flash vector objects to spray memory and cover address 0×18184000. Next, it allocates a vector object that contains a flash.Media.Sound() object, which it later corrupts to pivot control to its ROP chain.
• Arbitrary memory access
The SWF file calls back to Javascript in IE to trigger the IE bug and overwrite the length field of a Flash vector object in the heapspray. The SWF file loops through the heapspray to find the corrupted vector object, and uses it to again modify the length of another vector object. This other corrupted vector object is then used for subsequent memory accesses, which it then uses to bypass ASLR and DEP.
• Runtime ROP generation
With full memory control, the exploit will search for ZwProtectVirtualMemory, and a stack pivot (opcode 0×94 0xc3) from NTDLL. It also searches for SetThreadContext in kernel32, which is used to clear the debug registers. This technique, documented here, may be an attempt to bypass protections that use hardware breakpoints, such as EMET’s EAF mitigation.
With the addresses of the aforementioned APIs and gadget, the SWF file constructs a ROP chain, and prepends it to its RC4 decrypted shellcode. It then replaces the vftable of a sound object with a fake one that points to the newly created ROP payload. When the sound object attempts to call into its vftable, it instead pivots control to the attacker’s ROP chain.
• ROP and Shellcode
The ROP payload basically tries to make memory at 0×18184000 executable, and to return to 0x1818411c to execute the shellcode.
0:008> dds eax
18184100 770b5f58 ntdll!ZwProtectVirtualMemory
18184104 1818411c
18184108 ffffffff
1818410c 181840e8
18184110 181840ec
18184114 00000040
18184118 181840e4
Inside the shellcode, it saves the current stack pointer to 0×18181800 to safely return to the caller.
mov dword ptr ds:[18181800h],ebp
Then, it restores the flash.Media.Sound vftable and repairs the corrupted vector object to avoid application crashes.
18184123 b820609f06 mov eax,69F6020h
18184128 90 nop
18184129 90 nop
1818412a c700c0f22169 mov dword ptr [eax],offset Flash32_11_7_700_261!AdobeCPGetAPI+0x42ac00 (6921f2c0)
18184133 b800401818 mov eax,18184000h
18184138 90 nop
18184139 90 nop
1818413a c700fe030000 mov dword ptr [eax],3FEh ds:0023:18184000=3ffffff0
The shellcode also recovers the ESP register to make sure the stack range is in the current thread stack base/limit.
18184140 8be5 mov esp,ebp
18184142 83ec2c sub esp,2Ch
18184145 90 nop
18184146 eb2c jmp 18184174
The shellcode calls SetThreadContext to clear the debug registers. It is possible that this is an attempt to bypass mitigations that use the debug registers.
18184174 57 push edi
18184175 81ece0050000 sub esp,5E0h
1818417b c7042410000100 mov dword ptr [esp],10010h
18184182 8d7c2404 lea edi,[esp+4]
18184186 b9dc050000 mov ecx,5DCh
1818418b 33c0 xor eax,eax
1818418d f3aa rep stos byte ptr es:[edi]
1818418f 54 push esp
18184190 6afe push 0FFFFFFFEh
18184192 b8b308b476 mov eax,offset kernel32!SetThreadContext (76b408b3)
18184197 ffd0 call eax
The shellcode calls URLDownloadToCacheFileA to download the next stage of the payload, disguised as an image.
Mitigation
Using EMET may break the exploit in your environment and prevent it from successfully controlling your computer. EMET versions 4.1 and 5.0 break (and/or detect) the exploit in our tests.
Enhanced Protected Mode in IE breaks the exploit in our tests. EPM was introduced in IE10.
Additionally, the attack will not work without Adobe Flash. Disabling the Flash plugin within IE will prevent the exploit from functioning.
Threat Group History
The APT group responsible for this exploit has been the first group to have access to a select number of browser-based 0-day exploits (e.g. IE, Firefox, and Flash) in the past. They are extremely proficient at lateral movement and are difficult to track, as they typically do not reuse command and control infrastructure. They have a number of backdoors including one known as Pirpi that we previously discussed here. CVE-2010-3962, then a 0-day exploit in Internet Explorer 6, 7, and 8 dropped the Pirpi payload discussed in this previous case.
As this is still an active investigation we are not releasing further indicators about the exploit at this time.
Acknowledgement: We thank Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve and Yichong Lin for their support, research, and analysis on these findings.
enlace a technet donde dan informacion desde microsoft https://technet.microsoft.com/es-es/library/security/2963983
ALERTA: 0-DAY en TODOS los navegadores de internet explorer
A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer
debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo
La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.
miércoles, 26 de febrero de 2014
Alerta: Un rootkit afecta a los servidores con sistema operativo Linux
Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.
Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.
Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.
En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.
Funcionamiento de esta amenaza
Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.
El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.
Algunas conclusiones extraídas
A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.
Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.
Alerta: Un rootkit afecta a los servidores con sistema operativo Linux
Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.
Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.
Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.
En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.
Funcionamiento de esta amenaza
Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.
El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.
Algunas conclusiones extraídas
A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.
Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.
jueves, 13 de febrero de 2014
Frankenmalware, nuevos virus a la vista
Aunque parezca ciencia ficción, Los virus están infectando accidentalmente a diversos gusanos en los equipos de las víctimas, creando un malware híbrido al que se le designa ‘FrankenMalware’ que se propaga más rápidoy lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera que ni siquiera imaginadan los propios creadores de malware.
intentemos explicar esto un poco, para ello, hagamos un ejercicio de imaginación:
Imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema operativo, Como cuenta Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre este tipo de malware híbrido. ”Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.
Segun un análisis realizado por la empresa Bitdefender se encontrraron más de 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.
“Cuando un usuario recibe uno de estos híbridos en su sistema, se enfrenta a la pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam que puede ser lanzada desde su equipo”, señala Botezatu.
“La llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será
más difícil de predecir”, añade.
Aunque no hay datos antiguos que puedan dar mas información sobre este tipo de malware, lo cierto es que el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. segun el estudio de la empresa de antivirus Bitdefender, el Frankenware crecerá un 17 por ciento este año.
Todos losarchivos híbridos de este malware, analizados hasta el momento, se han creado de forma accidental. Pero lo cierto es que el riesgo que representan este nuevo hibrido podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios ficheros, o que alguno lanze una nueva generación de malware específicamente creado para provocar esta infección.
La empresa Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. El virus Rimecud, entre otras funciones, roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico. El virus Virtob, realiza la siguientes actividades:
permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.
todo esto hace que tengamos que estar muy atento al desarrollo de este nuevo tipo de malware
Fuente: Bitdefender
Frankenmalware, nuevos virus a la vista
Aunque parezca ciencia ficción, Los virus están infectando accidentalmente a diversos gusanos en los equipos de las víctimas, creando un malware híbrido al que se le designa ‘FrankenMalware’ que se propaga más rápidoy lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera que ni siquiera imaginadan los propios creadores de malware.
sábado, 21 de diciembre de 2013
ALERTA: i2ninja, malware financiero
investigadores de la empresa Trusteer han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de ciberdelincuencia ruso.
Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".
i2Ninja se vende en un foro de la delincuencia cibernética de Rusia, Y ofrece en un mercado ideal para la compra y venta de códigos maliciosos o para poder ejecutar la personalización y con ello explotar la venta del conocido como el malware-as-a-service . En los malware financiero anteriores, como Zeus , Spyeye , Carberp ,Ciudadela y otros, el malware financiero se ofercia en los foros del mercado negro que permite a los autores que siguen siendo de bajo perfil.
i2Ninja es un troyano del tipo peer-to-peer que puede ser utilizado por los ciberdelincuentes para robar tarjetas de crédito y otra información financiera, presenta las mismas características del malware financiero más popular. El malware i2Ninja toma su nombre de I2P , un sistema de anonimato similar a Tor .
"De acuerdo a un post en el foro ciberdelincuencia ruso, i2Ninja ofrece una serie de capacidades similares a los ofrecidos por otros grandes malware financiero: la inyección de HTML y forma el acaparamiento de todos los principales navegadores (Internet Explorer, Firefox y Chrome), capturador de FTP y un que pronto será liberado VNC (Virtual Network Connection) módulo.Además, el malware también proporciona un módulo PokerGrabber focalización principales sitios de póquer en línea y un capturador de correo electrónico ".
El proceso de infección es el clásico drive-by, un esquema de infección que propone a las víctimas de falsos anuncios y enlaces falsos, pero el malware podría ser utilizado para infectar a los objetivos específicos a través de una caspear phishing campaña.
i2Ninja tiene diferentes capacidades de inyección de HTML y pronto proporcionar una red Virtual Network Computing (VNC) y Módulo para el control remoto, al igual que otras familias de malware más populares.
"Una vez que un malware sea capaz VNC infecta un dispositivo, las opciones del atacante son casi ilimitadas." Dijo Etay Maor, gerente de soluciones de prevención del fraude en Trusteer.
Otra capacidad interesante de i2Ninja es que puede ser utilizado también para los usuarios de los sitios web de juegos como los sitios de póquer y de correo electrónico que ase objetivo.
Maor sostiene que el uso de I2P es una apuesta ganadora, I2P es el "verdadero Darknet" que ofrece una mejor protección que Tor y lo hace más difícil de investigar y entender la infraestructura y las capacidades del malware, pero el investigador también añadió que es sólo cuestión de tiempo antes de que el cifrado I2P está roto, como sucedió por Tor en el caso de la explotación de una vulnerabilidad de Firefox.
"Uso de la red I2P, i2Ninja puede mantener comunicaciones seguras entre los dispositivos infectados y el mando y control de servidor. Todo, desde la entrega de actualizaciones de configuración para la recepción de datos robados y envío de comandos se realiza a través de los canales de I2P cifrados. El malware i2Ninja también ofrece a los compradores un proxy para navegar por Internet en el anonimato, prometiendo el anonimato en línea completa. "
No es fácil predecir el impacto de i2Ninja en la banca, pero el malware parece estar en plena producción y actividad.
"El criminal cibernético que ofrece el programa malicioso en el underground, indica que tiene suficiente volumen de negocio debido a la publicidad oculta del malware y ha indicado que él no puede manejar más solicitudes para comprar el malware", "El criminal cibernético que ha publicado la información sobre i2Ninja en un foro conocido es un reconocido y creíble miembro de este. "dijo Maor.
A continuación es una traducción del mensaje de Rusia de que el anuncio de i2Ninja:
las Últimas informaciones sobre el malware están relacionadas con el servicio al cliente ofrecido por los autores, i2Ninja proporciona un servicio de asistencia integral a través de un sistema de venta de accesos al panel de control del malware. Un comprador potencial puede interactuar con el equipo de apoyo siempre de forma anónima a través de I2P.
"A pesar de algunas ofertas de malware han ofrecido una interfaz con un equipo de apoyo en el pasado (Ciudadela y Neosploit por nombrar dos), 24/7 canal help desk seguro de i2Ninja es la primera vez que lo hace."
las actividades de este Ciberdelincuente están creciendo a un ritmo alarmante, la liberación de varias fuentes de código de malware y la venta de nuevos agentes maliciosos son la evidencia de la fertilidad del trabajo de estos.
fuente
http://securityaffairs.co/wordpress/19876/cyber-crime/i2ninja-new-financial-malware.html
ALERTA: i2ninja, malware financiero
investigadores de la empresa Trusteer han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de ciberdelincuencia ruso.
Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".
-
Carta abierta de Google, Apple, Facebook, Microsoft, Twitter y demás han enviado a Obama En el blog de Google han publicado la car...
-
El análisis de los archivos PDF maliciosos Los archivos PDF se han convertido en muy común en el trabajo diario. Es difícil imaginar q...
-
30 sentimientos informáticos 1. Cuando el informático le diga que acude en su ayuda, puede desconectarse de la red e irse a por un c...










