El exploit Angler ha causado estragos en los principales sitios de Internet, así lo explican varias firmas de seguridad que detectaron este inconveniente, varios navegadores web podrían haber quedado el riesgo para la entrada de ransomware y otras amenazas después que este exploit se alojara en los sitios web más populares del mundo.

Angler es un exploit que distribuye publicidad maliciosa, dicha publicidad está conectada a servidores que alojan Angler, que es un paquete de software capaz de analizar los equipos en busca de vulnerabilidades con el único fin de ofrecer malware, comentan desde Trend Micro.

Otra firma de seguridad que logró detectar la amenaza fue Trustwave, cuando el lunes pasado realizaba un artículo en su blog informando que habían detectado una gran campaña de publicidad maliciosa que relacionaban con el exploit Angler. Pero no se sabía con exactitud si ambas firmas estaban comentando sobre el mismo tema, porque en ese momento todo era muy incierto. Algo que sí escribieron en común fue que la campaña de publicidad maliciosa era capaz de abrir una backdoor llamada “BEDEP” que dejaba que los atacantes introduzcan malware en los equipos afectados. La firma Trustwave también detectó que TeslaCrypt era otra amenaza que los cibercriminales estaban tratando de introducir a sus víctimas.

Los cibercriminales, lejos de dar un paso sin haber revisado antes el camino a seguir, lograron apoderarse de un dominio llamado “brentsmedia.com”. Este sitio web actualmente fuera de funcionamiento ofrecía diversos tipos de soluciones relacionadas con la publicidad en Internet. “BrentsMedia era probablemente un negocio auténtico y pensamos que no conocían la historia de Angler; seguramente los cibercriminales detrás de Angler intentaban utilizar la reputación del dominio para engañar a las compañías y así introducir publicidad maliciosa en sus campañas”, explicaban desde Trustwave.

Las publicidades de esta campaña eran publicadas en sitios muy visitados desde todo el mundo, los cibercriminales le entregaban a esos sitios un archivo JSON de Javascript de brentsmedia.com, que se trata de un archivo de intercambio de datos, vendría a ser algo que descarga los anuncios que serán mostrados en los equipos de los usuarios. Lo extraño de este archivo es que tenía 12.000 líneas de Javascript no muy claras, y eso se les hacía sospechoso a los investigadores de Trustwave. El método de funcionamiento era el siguiente; el Javascript en gran parte trata de identificar si hay productos o soluciones de seguridad instaladas en el equipo de la víctima, si no los encuentra procede con la carga de una segunda “página de aterrizaje” alojada en otro dominio donde está el exploit Angler.

Luego de los anuncios por parte de Trustwave a las empresas de publicidad, los anuncios maliciosos que se encontraban en una de las empresas fueron borrados, la otra todavía no pudo ser localizada y se está esperando una respuesta. Desde Trustwave insisten en no revelar el listado completo de sitios afectados, pero según se pudo saber algunos de ellos son Answers.com, ZeroHedge, BBC, MSN, Newsweek, New York Times, entre otros.

El hecho que los cibercriminales ubiquen publicidades maliciosas en sitios web de alto tráfico les proporciona poder infectar un mayor número de equipos en un período de tiempo más corto, obteniendo resultados mucho más rápidos en comparación a las cadenas de spam. Si bien la campaña está bajo control, cuando estuvo activa pudo haber infectado a miles y miles de usuarios durante el comienzo de la semana, explicaba Joseph C. Chen, investigador de fraude en Trend Micro. El investigador informa que los principales sitios ya se deshicieron de la publicidad maliciosa, pero la campaña de Angler seguirá trabajando por la red buscando más víctimas y por lo tanto el riesgo aún está latente, los usuarios deberán tener mucho cuidado y tener una solución antivirus actualizada para evitar este tipo de inconvenientes, ya que no solo estaríamos introduciendo malware, nuestros archivos podrían quedar cifrados a causa de TeslaCrypt.

Como dato interesante y quizás relacionado con el gran ataque de Angler, el viernes pasado hubo un ataque muy parecido utilizando un exploit diferente llamado Rig. Desde la firma Malwarebytes comentan que este ataque también atacó a grandes compañías publicitarias, pero no a gran escala, y quizás podría haber sido una prueba de fuego para el gran ataque que afectó a varios sitios el pasado domingo.  Las herramientas de seguridad que utilizan las compañías de publicidad en línea tratan de evitar este tipo de fraudes, pero todavía no son tan perfectas para detectar amenazas de este tipo.

Mucha atención, porque los usuarios que tengan una notebook Samsung, tendrán que actualizar el software de la compañía lo más rápido posible. Se trata de una vulnerabilidad que deja al descubierto un fallo de seguridad en el cual los atacantes podrían enviar programas a una víctima y obtener el control total del equipo. Desde la firma surcoreana han confirmado que ya se encuentra disponible un parche correctivo y es necesario descargarlo para no tener el equipo vulnerable.

La vulnerabilidad se encuentra alojada en la herramienta para actualizar los drivers y el software de la firma, el programa Samsung SW Update Tool 2.2.5.16. El responsable del descubrimiento es un investigador que pertenece a la firma Core Security, detectándola el pasado noviembre de 2015, pero no quiso sacarla a la luz hasta el 4 de marzo, fecha en la que Samsung sacó la actualización que soluciona el inconveniente. A diferencia de otras compañías, este investigador de seguridad avisó a Samsung sobre el fallo y esperó una solución para informar su descubrimiento, así todos tendrían la posibilidad de estar protegidos. Recordemos que firmas como Google avisan a la compañía y si la incidencia no se soluciona luego de un tiempo, la hacen pública para el conocimiento de las personas dejando la puerta abierta a que un cibercriminal se aproveche.

“Esta vulnerabilidad podría ser considerada como una amenaza media o baja para la mayoría de los equipos Samsung”, explica Joaquín Varela, Investigador Senior en Core Security. En cuanto a los modelos que están en riesgo, se informa que todos los que utilicen Windows 7, 8 y 10, si los equipos no tienen la herramienta Samsung SW Update Tool actualizada, se recomienda hacerlo a la brevedad muy a pesar de la versión anterior que se esté utilizando, no obstante desde Core Security afirman que no tuvieron la oportunidad de chequear otras versiones, así que no descartan que esas otras también estén siendo afectadas.

Adentrándonos más en lo que es el fallo de seguridad, permite a los atacantes realizar ataques man-in-the-middle, aprovechándose de que Samsung no hace ningún tipo de conexión cifrada o de autenticar el tráfico entre su herramienta de actualización y sus servidores. Esto hace que cualquier atacante pueda interceptar el tráfico para introducir malware al equipo de la víctima. Para explotar la vulnerabilidad los atacantes deberían hacer una suplantación de DNS enrutando el tráfico web desde la víctima hasta el sistema del atacante, el problema yace en que esta herramienta actualiza el software de Samsung automáticamente y no se enterarían de que están siendo atacados.

El fallo de Samsung es que un atacante mediante un man-in-the-middle puede interceptar la petición de un fichero XML que tiene el modelo ID de cada driver solicitado. Dentro de ese fichero se aloja una etiqueta llamada “FURL” que contiene las URL de los ficheros que se descargarán y serán ejecutados por la herramienta de actualización de Samsung. Lo que preocupa es que no hay ningún paso que verifique que lo que estamos descargando sea directamente desde los servidores de Samsung, y es allí donde el atacante podría modificar ese fichero XML a su gusto para introducir código malicioso en el equipo de su víctima, gracias a la configuración que trae por defecto de actualizar el software automáticamente.

El gigante surcoreano, Samsung, no ha emitido ningún informe sobre lo sucedido, solo se limitó a publicar el 4 de marzo una actualización de software, más específicamente la 2.2.7.20 la que corrige el fallo de seguridad y en adelante no tendrá más problemas. Según el investigador de Core Security, Joaquín Varela, ha podido testear la nueva versión y explica que Samsung ahora encripta el tráfico HTTP entre la herramienta y sus servidores, así como también agrega una autenticación para corroborar que los archivos descargados son los que en definitiva se solicitan mediante la herramienta de actualización. Esto da una total garantía a los usuarios, ahora pueden estar tranquilos que las comunicaciones no serán interceptadas y se descargarán en sus equipos las verdaderas actualizaciones para sus componentes.

Recuerda que la versión oficial parcheada es la 2.2.7.20 y puede ser descargada del sitio web oficial de Samsung: http://www.samsung.com/es/support/. Solo tienes que buscar tu producto y modelo para acceder a las descargas correspondientes.

Por suerte ya está todo solucionado, pero otra vez un software proporcionado por el fabricante vuelve a poner en peligro a sus usuarios, algo muy parecido al caso de Lenovo y su adware Superfish. Las herramientas preinstaladas en los equipos suelen tener a menudo vulnerabilidades, y son cada vez más las que vienen por defecto, lo que hace que el equipo se vea en riesgo. Cabe recalcar que las personas que no tengan Windows 7, 8 o 10 instalado de fábrica no tienen este problema, ya que pasaron por un formateo y no cuentan con la herramienta de Samsung, así como los usuarios que utilicen otro sistema operativo se encuentran a salvo.

Hace ya un tiempo que esta novela entre Apple y el FBI ha tomado una repercusión mundial, y es momento de tocar un poco el tema. Todo comenzó durante una investigación policial a causa de un ataque terrorista en California, las autoridades encontraron un iPhone en el lugar de los hechos y al parecer el FBI le pidió a Apple que desbloqueara el dispositivo para recabar más información sobre lo sucedido. Tim Cook, actual director de Apple se ha negado rotundamente a esta petición, la privacidad en estos casos es lo primero y Apple se opone a desbloquear cualquier dispositivo, aunque sea de un criminal.

Es así como se ha generado un gran debate en las redes y líderes de otras empresas en Internet también se han manifestado al respecto, varios de ellos apoyando la decisión de Apple por no violar la privacidad de los usuarios. El problema de fondo aquí es que Apple como empresa está comprometida con la seguridad de sus usuarios, y no quiere descifrar el dispositivo porque estaría dando una mala imagen en cuanto a la privacidad, si cualquier juez pide el desbloqueo de un dispositivo y Apple accediese, la privacidad de la que tanto hace hincapié la compañía se iría debilitando. Recordemos que a diferencia de Android, el sistema operativo que utilizan los iPhone es de código cerrado, por lo que solo Apple tiene el completo control de sus características.

En febrero de 2016, la jueza estadounidense Sheri Pym emitía un pedido de colaboración a Apple para desbloquear un iPhone de un terrorista que estaba involucrado en un atentado en diciembre del año pasado, exactamente en San Bernardino, California. En el incidente murieron 14 personas y lograron capturar un iPhone de uno de los terroristas implicados.

Un comunicado redactado por Tim Cook, actual CEO de Apple tras el fallecimiento de Steve Jobs expresa que, si bien no tienen simpatía por los terroristas y han colaborado siempre con el FBI, este pedido iba demasiado lejos ya que implica crear un backdoor. Su mayor preocupación es que las autoridades utilicen esta herramienta para acceder a cualquier otro iPhone, ya que sería algo así como una llave maestra.

Si Apple accediese a crear un backdoor y entregárselo al FBI estaría poniendo en riesgo su imagen como empresa, porque el FBI tiene grandes acusaciones por violar la privacidad de los ciudadanos de los Estados Unidos. “Desbloquear un iPhone sería malo para el país y para los usuarios”, expresa la compañía, los usuarios estarían expuestos a increíbles vulnerabilidades. Recientemente se han realizado varias encuestas para saber la opinión de los usuarios de Apple y por qué no también de otras personas, los resultados marcan una clara tendencia a que Apple no debe abrir su sistema de seguridad y mantener la privacidad intacta.

Al tratarse de un caso terrorista puede ser discutible la posición de la compañía, pero esta no es la primera vez que reciben órdenes de hackear un iPhone, ya acumulan varios pedidos emitidos por el Departamento de Justicia, que no tiene nada que ver con casos de terrorismo ni seguridad nacional.

Los gigantes de Internet están unidos con Apple y se suman a la lucha para que los iPhone no sean desbloqueados. La firma de seguridad McAfee, Facebook, Google y Microsoft son algunos nombres que están defendiendo la postura.

«La industria está alineada en este tema y Facebook está participando en una presentación conjunta con otras empresas de tecnología», señalaba un  portavoz de la red social. Se dice que más adelante también se puedan sumar Twitter y Amazon en la lucha por la seguridad.

El presidente de Microsoft, Bill Gates y el director de asuntos legales, Brad Smith, anunciaron durante una audiencia del Comité Judicial en la Cámara de Estados Unidos que Microsoft apoya a Apple en el caso con el FBI y presentarán un escrito legal apoyándolos la semana que viene. Por su parte, Apple había dicho que en caso de tener que crear un backdoor para acceder a un iPhone, quieren que primero se discuta la postura en la Cámara de Representantes y el Senado de Estados Unidos, los políticos tendrán la última palabra sobre el caso, decisión que Microsoft apoyó.

Dentro del marco de la junta Information Technology Industry Council (ITI), un sector tecnológico que se compone por las compañías Apple, Dell, Facebook, Google, Microsoft, IBM, Inter o Twitter, salió un comunicado en respuesta a las voces que piden un debilitamiento de las herramientas de cifrado para luchar contra el terrorismo o la delincuencia. El escrito expresa que aunque en este caso la colaboración de Apple sería para comprobar datos y movimientos de un asesino, ya se ha visto que no se trata solo de eso, el debilitar el cifrado de los iPhone o crear backdoors deja graves vulnerabilidades que pueden ser explotadas por los cibercriminales, lo que causaría un problema más grande en la sociedad y la economía misma.

La asociación ITI dejó una frase para analizar y reflexionar: “El debilitamiento de la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido”.

El caso sigue en proceso y es el próximo 22 de marzo cuando Apple y el FBI deberán reunirse en una audiencia en la corte federal de California. El FBI no la tendrá fácil con todos los gigantes de Internet defendiendo la postura de Apple, de su parte está el CEO de Google, Sundar Pichai, Edward Snowden, Facebook, Samsung, Amazon, Yahoo!, Dropbox, Cisco, WhatsApp, Evernote, entre otros.

Carole Adams es la madre de una de las víctimas del ataque terrorista en California el pasado diciembre y explica que apoyaba la postura de Apple, el derecho a la privacidad es lo que magnifica a Norteamérica, comentó. En una entrevista publicada en el New York Post, dijo que el FBI debería revisar el iPhone del terrorista sin poner a los demás usuarios en riesgo.

Un troyano se logró acceder a la tienda oficial de Android, Google Play, está ahora infectando a los dispositivos con sus aplicaciones. El informe elaborado por la firma de seguridad ESET indica que ya son 307 aplicaciones las afectadas por Porn Clicker, el troyano que está catalogado de “alto riesgo” por sus técnicas para ocultarse y las tácticas para cambiar su código base.

Si bien el troyano en cuestión no es tan reciente, el número de infecciones es lo que ha llevado a poner en alerta a los investigadores de seguridad, Porn Clicker fue detectado por primera vez hace 7 meses, y desde entonces, las aplicaciones maliciosas infectadas continúan en crecimiento. Con un total de 307 aplicaciones identificadas, se estima de se están viendo afectadas 10 aplicaciones por semana. Este troyano es un dolor de cabeza para la tienda oficial de Google Play, ya que desde allí es donde supuestamente los usuarios bajan sus aplicaciones libres de peligros, pero en este caso, podrían estar descargando malware a sus dispositivos sin ser detectado.

Desde la firma ESET explican que las aplicaciones se encuentran instaladas como si fueran legítimas, pero de alguna manera están infectadas con alguna variante del malware Android/Clicker, una amenaza que ha cobrado una gran repercusión estos últimos meses. Seguramente te has hecho la pregunta de por qué este troyano es una amenaza tan difícil de detectar, tanto así que ni siquiera los controles de seguridad de Google logran detectarla. La respuesta es fácil, Porn Clicker se destaca por estar en constante desarrollo, lo que significa que siempre está renovando su código para no ser detectada. Una vez que un desarrollador termina una aplicación y la envía a Google Play, debe ser analizada para verificar su seguridad, y Porn Clicker salta esa barrera fácilmente.

¿Cuáles son las consecuencias de ser infectado por Porn Clicker? Básicamente el troyano se dedica al robo de datos, robo a anunciantes y daño a las plataformas publicitarias, por ejemplo, una vez instalado provoca falsos clicks sobre anuncios específicos, lo que genera ingresos para los creadores del troyano. Hasta aquí solo vemos anuncios molestos e ingresos para los cibercriminales, pero otra de sus características es el incremento del consumo de datos móviles mientras se navega por Internet, lo que causará que tu plan mensual se gaste mucho más rápido en caso de tener un tráfico limitado, algo que a la larga podría verse reflejado como dinero extra en tu factura a fin de mes.

Es prácticamente imposible identificar todas las aplicaciones que contienen este u otro malware, porque los cibercriminales siempre están buscando introducirlo en las tiendas oficiales, pero algo es seguro: “las calificaciones de las aplicaciones falsas dentro de la tienda de Google son una buena muestra de las malas experiencias de los usuarios, por lo que aconsejamos a todos los usuarios que presten atención a los comentarios de otros antes de comenzar una descarga”, explica Lukas Stefanko, especialista en malware para Android en ESET.

Una de las principales aplicaciones que los atacantes utilizan como gancho para atraer a sus víctimas es Dubsmash, aplicaciones que ya fue eliminada en numerosas ocasiones por los encargados de seguridad de la tienda de Google Play por estar infectada. Dubsmash fue eliminada por lo menos 24 veces en únicamente tres meses, según los expertos, contenía en su código base diferentes variantes del troyano.

Es increíble como aplicaciones que son legítimas a simple vista pueden ser infectadas de un momento a otro, lo cierto es que a pesar de leer las calificaciones positivas de los usuarios a la hora de bajar aplicaciones, también tenemos que contar con una protección antivirus como segunda opción, de lo contrario estaremos dejando la puerta abierta a la entrada de malware. Como podemos ver, no todo es totalmente seguro en Internet, y mucho menos en la tienda de Google Play, que a pesar de tener un control de calidad sobre sus aplicaciones muchas veces falla como en estos casos, es allí donde debe actuar la solución de seguridad.

Mazar Bot es una nueva amenaza de la que habrá que tener cuidado en adelante, se trata de un malware que, en caso de infectar a nuestro dispositivo, puede tener un control total de los archivos, puede borrar, mover, editar y además interceptar las llamadas y mensajes de texto.

La empresa responsable de este descubrimiento es Heimdal Security, dedicada a la investigación de seguridad informática. En una reciente entrada en su blog, los responsables explican que el fin de semana pasado habían descubierto una amenaza, que por lo que dicen, es una de las más peligrosas de las descubiertas hasta el momento en Android. La principal amenaza es su diseño bien trabajado, Mazar Bot puede poner a sus víctimas en serios problemas si así lo desea, el usuario afectado puede perder dinero, ya que puede controlar el dispositivo a su gusto, y si hay algún tipo de información vinculada con cuentas bancarias o tarjetas de crédito, estaría en peligro, inclusive es capaz de interceptar datos personales.

Su método de propagación es el siguiente; Mazar Bot es enviado a través un fichero con extensión APK (la extensión por defecto de las aplicaciones instalables en Android) mediante un mensaje de texto con un enlace en su interior. Si el usuario ingresa al vínculo proporcionado en el mensaje estaría descargando e instalando el malware en su dispositivo. En principio la amenaza solo se encuentra en inglés, pero no se descarga que evolucione y se expanda a más idiomas.

El mensaje de texto dice algo así como: “You have received a multimedia message from +(country code) (sender number) Follow the link hxxp: //***.mmsforyou.***/mms.apk to view the message.”

Lo que en español sería: “Has recibido un mensaje multimedia del número +(código del país) (número de teléfono). Accede al enlace hxxp: //***.mmsforyou.***/mms.apk para ver el mensaje.”

Si el usuario comete el error de descargar e instalar esta aplicación maliciosa, le concederá al cibercriminal el control total del dispositivo. La aplicación se camufla con el nombre “MMS Messaging”, para despistar al usuario y hacerle creer que necesita descargar una aplicación de MMS para ver el contenido, pero la sorpresa está en los permisos que pide para su instalación, cosa que nunca leen las personas. Una vez instalado y como se explica en los permisos, el malware podrá realizar llamadas, compras con tarjetas de crédito (en caso de tenerlas vinculadas al dispositivo), enviar mensajes, acceder a Internet, e inclusive borrar archivos del almacenamiento interno.

Otra característica importante de Mazar Bot es la de poder leer los códigos que pertenecen a la autenticación en dos pasos utilizados por el usuario, los hackers serán capaces de descifrar este tipo de seguridad y podrán enviar mensajes a los números de los canales usados por los cibercriminales. La razón por la cual este malware se cataloga como el más peligroso hasta el momento, es porque los datos que recoge de sus infecciones son enviados a un servidor de control alojado en la red Tor, esto le garantiza a los cibercriminales un total anonimato para poder operar. Al contrario de otras amenazas que tienen sus bases en países de todo el mundo, alojar sus servidores en la red Tor es una medida de seguridad extra para protegerse, ya que es una red anónima donde nuestra identidad es desconocida.

¿Mazar Bot es un malware reciente? La respuesta es no, por lo menos no es de lo que va del 2016, la primera pieza detectada de esta amenaza se registró en noviembre de 2015, pero en aquellos tiempos únicamente circulaba por el mercado negro de malware ruso, y ahora está expandiéndose por todo el mundo y puede ser una amenaza para cualquier usuario, según Recorded Future.

Más datos interesantes, a pesar haber circulado en el mercado negro ruso, el malware no se encuentra en ese idioma, y cuando infecta a un dispositivo, envía un mensaje de texto a un número ubicado en Irán con el mensaje “thank you”, incluyendo información sobre la localización de la víctima infectada, sin lugas a dudas, muy sospechoso. Por último se destaca la posibilidad de hacer ataques man-in-the-middle, un tipo de ataque que permite a Mazar Bot interceptar el tráfico que generan sus víctimas sin su consentimiento, con el fin de desviar la información y realizar transacciones fraudulentas en caso de utilizar la banca online.

Hasta ahora es lo único que se sabe sobre Mazar Bot, y no debería tardar en expandirse a todo el mundo en el correr de los meses. Sin dudas tratar de infectar a un usuario utilizando la ingeniería social es un método que aún sigue siendo efectivo y lo seguirá siendo, hay que tener mucho cuidado porque si bien el malware se distribuye por mensajes de texto, no sería descabellado que se pase a WhatsApp u otro servicio de mensajería.

La mejor manera de protegerse de este tipo de amenaza es tener mucho cuidado con el tipo de mensajes que recibimos. Los vínculos que se incluyen en los mensajes nunca deben ser abiertos, a menos que el remitente sea un amigo de confianza, porque en muchos casos, sus dispositivos pueden estar infectados y enviar mensajes automáticos.

Hay una opción fundamental en los dispositivos Android que debe estar desactivada por defecto, solo aquellos usuarios avanzados que saben a qué se enfrentan la activan en determinada ocasión. Se trata del apartado “Permitir la instalación de aplicaciones de origen desconocido”, se encuentra en Ajustes > Seguridad, allí está la opción “Orígenes desconocidos” que deberá estar desactivada para evitar que cualquier aplicación que no sea procedente del Play Store sea instalada en el equipo. Si bien no todas las aplicaciones por fuera del Play Store son un malware, es recomendable tener mucho cuidado con su instalación, ya que podría en riesgo la seguridad del dispositivo.