Archivo de la etiqueta: Ciberdelito

Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: – = FreeMan = – y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.

por Rika Joi Gregorio (Threat Response Engineer)

Conforme más países se unen a la búsqueda del desaparecido vuelo de Malaysia Airlines 370, los cibercriminales utilizan esta noticia tan comentada para propagar diferentes amenazas on line.

Una de ellas, que creemos se está extendiendo a través del correo electrónico, contiene un falso video sobre el vuelo. Supuestamente es un video de cinco minutos sobre MH70 llamado Malaysian Airlines MH370 5m video.exe. En realidad, es un backdoor detectado como BKDR_OTOPROXY.WR. Como en la mayoría de los backdoors, este malware permite a un atacante remoto ejecutar varios comandos en el sistema, incluidos los de descargar y ejecutar archivos desde sus servidores y recoger información del sistema.

Este backdoor tiene algo de inusual. Su servidor de comando y control (C & C) www-DPMC dynssl-com (sustituir guiones con puntos) fue observado por otros investigadores de seguridad en octubre del año pasado por estar relacionado con un ataque dirigido. No es habitual que un ataque dirigido comparta la misma infraestructura que una campaña mayor de ciberdelincuencia “convencional”, pero que parece ser que es el caso aquí. Actualmente no tenemos ninguna información de que este backdoor en particular esté siendo utilizado en los ataques dirigidos.

También descubrimos estafas que se aprovechan de la tragedia. Una de estas hace uso de las falsas noticias de que el avión desaparecido ha sido encontrado en el mar. Los usuarios que hacen clic en el enlace son dirigidos a una página web que imita el diseño de Facebook. Este site cuenta con un vídeo embebido, supuestamente del descubrimiento del avión desaparecido. Al hacer clic en cualquier parte de la página se abre otra página con un falso video sobre la secuela de la película Avatar.

1

1. Site malicioso con el “video” embebido
Cuando el usuario hace clic en cualquiera de estos videos, se le pide compartir con sus seguidores de redes sociales antes de poder verlo. El video está restringido a menos que se comparta. Después de compartir, el usuario está obligado a verificar su edad, completando un test. Estas pruebas son en realidad una encuesta estafa. Estas estafas solicitan a los usuarios responder a múltiples encuestas a cambio de algo (en este caso, un supuesto video) que en realidad no existe. El feedback de Trend Micro Smart Protection Network indica que el 32% de los usuarios que accede a esta página se encuentra en América del Norte y más del 40% en Asia-Pacífico.

Otra encuesta estafa consiste en un site que imita el diseño de YouTube para presentar otro video del “descubrimiento” del avión desaparecido. Al igual que el anterior, se requiere que los usuarios compartan el video y completen un  “test” antes de poder verlo. Una vez más, este test lleva a un site de encuesta falso.

2
2. Otro site promocionando un “video” de última hora

La actualidad y la actualización de las noticias se han convertido en un cebo de la ingeniería social de los delincuentes cibernéticos. Lamentablementea esto ocurre con frecuencia– sucesos como el terremoto de Tohoku, la maratón de Boston y el tifón Haiyan han servido ​​para difundir diversas amenazas.

Aconsejamos a los usuarios confiar en los sites de noticias de buena reputación y de confianza para obtener información sobre acontecimientos actuales, en lugar de a través de correos electrónicos o de sites de redes sociales. Trend Micro detecta y bloquea todas las amenazas relacionadas con estos incidentes.

Con ideas adicionales de Maela Angeles, Ruby Santos e Isaac Velásquez.

Los chicos están de vuelta en la ciudad: el regreso de los Marketplaces a la Deep Web

por 

Mientras Ross Ulbricht, el operador acusado de la primera Ruta de la Seda del mercado , sigue en juicio en Nueva York, una nueva versión del sitio Deeep Web profunda, llamada Silk Road 2.0 , se ha puesto en marcha. El lanzamiento fue anunciado a través de la cuenta de Twitter del temible pirata Roberts, el seudónimo que supuestamente Ulbricht utilizó durante el funcionamiento de la web.


Imagen 1. Twitter anuncia la nueva Ruta de la Seda

El nuevo sitio tiene una nueva página de inicio de sesión que parodia la página incautación del FBI del sitio antiguo camino de seda.
Sigue leyendo

Reporte de seguridad Q2 2013

Ya tenemos disponible el report de seguridad que resume las principales amenazas acaecidas durante estos tres últimos meses (abril, mayo y junio de 2013).

Destacamos en este reporte:

  • El número de aplicaciones maliciosas para Android continua batiendo records con un      total de 718.000 amenazas.
  • Las amenazas para banca online ha incrementado en tres, comparado con el último quarter. Los países más afectados son: Estados Unidos, Brasil, Australia y Francia.
  • El decremento del precio de los kits de exploits en el tiempo, tal y como muestra SpyEye, que ahora puede ser adquirido gratis si se compran otros kits.

Puedes leer el reporte en detalle en este enlace.

Los sistemas de control industrial: víctimas de los hackers

Los ciberdelincuentes están, de forma activa, atacando a sistemas de control industrial (ICS), con el propósito de comprometer sus operaciones, de acuerdo a los datos recogidos de una red “cepo” (honeypot) que simula sistemas de bombeo de agua.

La honeypot que simulaba una bomba de agua, fue diseñada para atraer a los atacantes y fue creada por Kyle Wilhoit, un investigador de amenazas de Trend Micro. Él compartió algunos hallazgos encontrados en Marzo, basándose en sistemas originales desplegados en Estados Unidos.

El investigador compartió estos datos relativos a ataques en la conferencia Black Hat el pasado jueves y también puso en conocimiento las herramientas utilizadas para que los dueños de estos sistemas industriales lo tuvieran en cuenta.
Sigue leyendo