Lo + Nuevo
Author

Adal Paredes

Browsing

Investigadores de ESET descubren FontOnLake, una familia de malware que utiliza herramientas personalizadas y bien diseñadas para atacar sistemas operativos que funcionan bajo Linux. La naturaleza  de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos

Los investigadores de ESET han descubierto una familia de malware previamente desconocida que utiliza módulos personalizados y bien diseñados para atacar a sistemas que corren Linux. Los módulos utilizados por esta familia de malware, a la cual hemos denominado FontOnLake, están en constante desarrollo y brindan a los operadores acceso remoto, permite recopilar credenciales y sirven como un servidor proxy. En esta publicación, quedan resumidos los hallazgos que explican con más detalle en el whitepaper.

Para recopilar datos (por ejemplo, credenciales ssh) o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que son ajustados para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios como cat, kill o sshd se utilizan comúnmente en sistemas Linux y, además, pueden servir como mecanismo de persistencia.

La naturaleza camaleónica de las herramientas de FontOnLake en combinación con un diseño avanzado y una baja prevalencia sugiere que son utilizadas en ataques dirigidos.

El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo pasado y se cargaron otras muestras a lo largo del año. La ubicación del servidor C&C y los países desde los que se cargaron las muestras en VirusTotal podrían indicar que sus objetivos incluyen el sudeste asiático.

Se cree que los operadores de FontOnLake son particularmente cautelosos, ya que casi todas las muestras analizadas utilizan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C/C ++ y varias bibliotecas de terceros, como BoostPoco, o Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas a VirusTotal estaban activos al momento de escribir este artículo, lo que indica que podrían haberse desactivado debido a la carga.

Componentes conocidos de FontOnLake

Los componentes actualmente conocidos de FontOnLake se pueden dividir en tres grupos que interactúan entre sí:

  • Aplicaciones troyanizadas: binarios legítimos modificados que son utilizados para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
  • Backdoors: componentes en modo usuario que funcionan como el punto de comunicación principal para sus operadores.
  • Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan backdoors de respaldo.

Aplicaciones troyanizadas

Descubren múltiples aplicaciones troyanizadas; se utilizan principalmente para cargar módulos personalizados de backdoor o rootkit. Aparte de eso, también pueden recopilar datos confidenciales. Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales.

Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema. Se desconoce la forma en que inicialmente estas aplicaciones troyanizadas llegan a sus víctimas.

La comunicación de una aplicación troyanizada con su rootkit se ejecuta a través de un archivo virtual, el cual es creado y administrado por el rootkit. Como se muestra en la Imagen 1, los datos pueden leerse/escribirse desde/hacia el archivo virtual y exportarse con su componente de backdoor según solicite el operador.

Search and buy domains from Namecheap. Lowest prices!

Backdoors

Los tres backdoors diferentes que descubrimos están escritos en C++ y todos usan, aunque de forma ligeramente diferente, la misma biblioteca Asio de Boost para redes asíncronas y entradas/salidas de bajo nivel. También utilizan PocoProtobuf y funciones de STL como punteros inteligentes. Lo que es raro en el malware es el hecho de que estos backdoors también presentan una serie de patrones de diseño de software.

La funcionalidad que todos tienen en común es que cada uno exfiltra las credenciales recopiladas y su historial de comandos bash a su C&C.

Teniendo en cuenta la superposición de funciones, lo más probable es que estos diferentes backdoors no se utilicen juntos en un sistema comprometido.

Además, todos los backdoors utilizan comandos de heartbeat personalizados que son enviados y recibidos periódicamente para mantener activa la conexión.

La funcionalidad principal de estos backdoors consta de los siguientes métodos:

  • Exfiltrar los datos recopilados
  • Crear un puente entre un servidor ssh personalizado que se ejecuta localmente y su C&C
  • Manipular archivos (por ejemplo, cargar/descargar, crear/eliminar, listar directorios, modificar atributos, etc.)
  • Actuar como proxy
  • Ejecutar comandos de shell arbitrarios y scripts de Python

Rootkit

Descubrimos dos versiones diferentes del rootkit, utilizadas de a una a la vez, en cada uno de los backdoors. Existen diferencias significativas entre esos dos rootkits, sin embargo, ciertos aspectos de ellos se superponen. Aunque las versiones de rootkit se basan en el proyecto de código abierto suterusu, contienen varias de sus técnicas exclusivas y personalizadas.

La funcionalidad combinada de estas dos versiones del rootkit que descubrimos incluye:

  • Proceso de ocultación
  • Ocultación de archivos
  • Ocultación de sí mismo
  • Ocultación de conexiones de red
  • Exposición de las credenciales recopiladas a su backdoor
  • Reenvío de puertos
  • Recepción de paquetes mágicos (los paquetes mágicos son paquetes especialmente diseñados que pueden indicar al rootkit que descargue y ejecute otro backdoor)

Tras nuestro descubrimiento y mientras finalizamo el whitepaper sobre este tema, proveedores como Tencent Security Response CenterAvast y Lacework Labs publicaron su investigación sobre lo que parece ser el mismo malware.

Todos los componentes conocidos de FontOnLake son detectados por los productos ESET como Linux/FontOnLake. Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux. Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian.

Fuente (s) :

El Seguro Social y las plataformas Beat, DiDi, Rappi y Uber promoverán que usuarios conductores y usuarios repartidores participen en la Prueba piloto para la incorporación de personas trabajadoras independientes.

¿Una manera de apoyar al trabajador independiente? El Instituto Mexicano del Seguro Social (IMSS)se asoció con las plataformas digitales de servicios de transporte de pasajeros y distribución de alimentos Beat, DiDi, Rappi, y Uber con el objetivo de difundir y promover la participación de usuarios conductores y repartidores en la Prueba piloto para la incorporación voluntaria al Régimen Obligatorio del Seguro Social de personas trabajadoras independientes.

Bajo el esquema de la Prueba piloto, los usuarios conductores y repartidores tendrán acceso a los cinco seguros del Régimen Obligatorio del Seguro Social:  

  • Enfermedades y Maternidad
  • Riesgos de Trabajo 
  • Invalidez y Vida
  • Retiro
  • Cesantía en Edad Avanzada y Vejez
  • Guarderías y Prestaciones Sociales.

Asimismo, podrán registrar a sus beneficiarios legales, tales como cónyuges, padres e hijos.

El presente acuerdo es el inicio de una relación que se ha mantenido durante la pandemia por COVID-19, que establece las bases de colaboración entre el IMSS y las plataformas digitales, a fin de difundir y promover entre repartidores y conductores, la incorporación voluntaria al Régimen Obligatorio del Seguro Social del IMSS, explicó Zoé Robledo, director general del Instituto Mexicano del Seguro Social. 

Por su parte, Isabel Davara, Secretaria General de la Asociación de Internet MX (AIMX), comentó: “Hemos visto cómo las plataformas digitales han sido una fuente de generación de ganancias para las familias de miles de trabajadores independientes, conductores y repartidores, que valoran su flexibilidad y autonomía y que han encontrado oportunidades en el contexto de una pandemia mundial con un enorme impacto económico y social para todas las comunidades del mundo. La forma en la que iniciamos esta relación de colaboración y comunicación es muy positiva y un paso en la dirección correcta”.

Norma Gabriela López Castañeda, Directora de Incorporación y Recaudación del IMSS, invitó a las plataformas firmantes a difundir activamente entre sus usuarios conductores y usuarios repartidores que, a partir de una aportación menor a 40 pesos diarios, ellos y sus beneficiarios pueden gozar de todos los privilegios de la seguridad social, incluyendo ahorro para el retiro.

López Castañeda explicó que tanto la persona trabajadora independiente que participe en la Prueba como los integrantes de su núcleo familiar contarán con protección total de seguridad social, lo que les permitirá acceder a servicios médicos, hospitalarios y medicamentos.

Estos convenios representan el inicio de una colaboración entre el IMSS y las plataformas digitales para acercar un mecanismo flexible de seguridad social a las personas que se autoemplean por medio de aplicaciones tecnológicas.

Representantes de las plataformas firmantes destacaron las ventajas de los esquemas de movilidad, envíos o entrega de alimentos, en beneficio de quienes las utilizan y de la economía de México en su conjunto.

Fuente (s) :

En Resumen:
Una billetera de hardware de criptomonedas mantiene sus claves privadas almacenadas en un entorno seguro fuera de línea.
Las carteras de hardware se consideran ampliamente como el estándar de oro para proteger Bitcoin y otras criptomonedas.
Las principales marcas de carteras de hardware incluyen Ledger y Trezor.
Cuando se trata de almacenar criptomonedas de forma segura, las carteras de hardware se consideran ampliamente el estándar de oro.

Las carteras de hardware mantienen las claves privadas de su cripto almacenadas en un entorno seguro fuera de línea, lo que significa que, a diferencia de las carteras de software, son completamente inmunes a los ataques en línea. Las mejores carteras de hardware también son resistentes a la manipulación física.

Las carteras de hardware son ideales para cualquiera que busque almacenar de forma segura una cartera sustancial de criptomonedas o llevar su cartera consigo en movimiento. También son una excelente opción para cualquiera que busque almacenar sus activos criptográficos a largo plazo, con poca necesidad de acceder a ellos con regularidad.

Actualmente hay docenas de opciones en el mercado, cada una con sus pros y sus contras, y su base de usuarios objetivo; hemos reunido a algunos de los principales contendientes.

Ledger Nano X

Lanzado por primera vez en 2019, el Ledger Nano X es una de las últimas entradas al mercado de carteras de hardware. Un paso adelante del antiguo Ledger Nano S, el Nano X presenta una memoria interna mejorada, lo que le permite almacenar hasta 100 aplicaciones en lugar de las dos o tres que el Nano S puede administrar. También tiene un diseño renovado con una pantalla más grande y compatibilidad con Bluetooth, lo que le permite usar el dispositivo para sincronizar de forma inalámbrica con la aplicación de teléfono inteligente Ledger Live.

Al igual que su predecesor, el Nano X admite una gran variedad de criptomonedas y es una de las carteras más portátiles disponibles, por lo que es ideal para quienes se desplazan regularmente.

Una serie de actualizaciones de firmware desde el lanzamiento de Nano X han agregado características que incluyen agilizar el proceso de actualización para el dispositivo y agregar soporte completo para Ethereum 2.0.

Trezor Model T

El Trezor Model T es la última incursión de SatoshiLabs en el mercado de hardware. El Model T tiene un diseño similar al anterior Trezor Model One, aunque con una interfaz de pantalla táctil más grande y soporte para una gama mucho más amplia de criptomonedas.

Aunque caro, el Trezor Model T está considerado como una de las mejores carteras de hardware del mercado, especialmente para aquellos preocupados por las implicaciones de seguridad de la conectividad Bluetooth con la que vienen equipadas muchas carteras emblemáticas recientes.

Julio de 2021 vio el lanzamiento de Trezor Suite, una aplicación de escritorio completa que reemplazó a la anterior aplicación web Trezor Wallet como la interfaz principal para las billeteras Trezor. Ofrece una experiencia de usuario más optimizada y segura, con características que incluyen la integración de Tor con un solo clic y la opción de comprar cripto y enviarlo directamente a su billetera de hardware.

Ledger Nano S

Una de las carteras de hardware de criptomonedas más populares del mercado, Ledger Nano S es una cartera atractiva y fácil de usar que es adecuada para aquellos que buscan una seguridad sólida con un presupuesto limitado.

El Ledger Nano S cuenta con soporte para más de 1,000 criptomonedas y contiene un elemento seguro integrado de grado bancario.

Una importante actualización de firmware en mayo de 2021 agiliza el proceso de incorporación, brindándole una opción de cuatro palabras al confirmar su frase de recuperación en lugar de forzarlo a recorrer las 24 palabras. También agrega la función Centro de control del Nano X; una pulsación larga de ambos botones le lleva a un menú que le permite ajustar la configuración y eliminar aplicaciones en el dispositivo, sin tener que utilizar el software de escritorio Ledger Live.

Trezor Model One

Lanzado por primera vez por SatoshiLabs en 2014, el Trezor Model One fue una de las primeras carteras de hardware en llegar al mercado. A pesar de su edad, el Trezor One todavía impresiona con sus características de seguridad, soporte para una amplia gama de criptomonedas y compatibilidad con docenas de billeteras externas.

Como una de las carteras más antiguas del mercado, la Trezor One tiene un precio atractivo, pero aún tiene algunas de las mejores características.

Al igual que su primo más caro, el Model T, el Model One también se beneficia de poder emplear la nueva aplicación Trezor Suite como una interfaz de billetera.

CoolWallet S

CoolWallet S es una billetera de hardware delgada que está diseñada para caber en su billetera junto con sus tarjetas de débito y crédito. CoolWallet S es compatible con la mayoría de las principales criptomonedas y es una de las pocas carteras de hardware a prueba de agua disponibles.

El CoolWallet S también viene con conectividad Bluetooth, lo que le permite administrar su cartera desde casi cualquier dispositivo compatible con Bluetooth.

Fuente (s):

GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.

  •  GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas

 Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.

Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.

La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses

Search and buy domains from Namecheap. Lowest prices!

“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.

30€ al mes por usuario infectado

El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM. 

La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.

200 aplicaciones disponibles en la Play Store

Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store. 

¿Tienes alguna de estas apps? Bórrela de inmediato

Esta es la lista de apps que esconden GriftHorse.

Listado de Aplicaciones

Package NameApp Name
com.tra.nslat.orpro.htpHandy Translator Pro
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker
com.geospot.location.gltGeospot: GPS Location Tracker
com.icare.fin.lociCare – Find Location
my.chat.translatorMy Chat Translator
com.bus.metrolis.sBus – Metrolis 2021
com.free.translator.photo.amFree Translator Photo
com.locker.tul.ltLocker Tool
com.fin.gerp.rint.fcFingerprint Changer
com.coll.rec.ord.erCall Recoder Pro
instant.speech.translationInstant Speech Translation
racers.car.driverRacers Car Driver
slime.simu.latorSlime Simulator
keyboard.the.mesKeyboard Themes
whats.me.stickerWhat’s Me Sticker
amazing.video.editorAmazing Video Editor
sa.fe.lockSafe Lock
heart.rhy.thmHeart Rhythm
com.sma.spot.loca.torSmart Spot Locator
cut.cut.proCutCut Pro
com.offroaders.surviveOFFRoaders – Survive
com.phon.fin.by.cl.apPhone Finder by Clapping
com.drive.bus.bdsBus Driving Simulator
com.finger.print.defFingerprint Defender
com.lifeel.scanandtestLifeel – scan and test
com.la.so.uncher.ioLauncher iOS 15
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c
com.scan.asdnScanner App Scan Docs & Notes
com.chat.trans.almChat Translator All Messengers
com.hunt.contact.roHunt Contact
com.lco.nylcoIcony
horoscope.fortune.comHoroscope : Fortune
fit.ness.pointFitness Point
com.qub.laQibla AR Pro
com.heartrateandmealtrackerHeart Rate and Meal Tracker
com.mneasytrn.slatorMine Easy Translator
com.phone.control.blockspamxPhoneControl Block Spam Calls
com.paral.lax.paper.threParallax paper 3D
com.photo.translator.sptSnapLens – Photo Translator
com.qibl.apas.dirQibla Pass Direction
com.caollerrrexCaller-x
com.cl.apClap
com.eff.phot.oproPhoto Effect Pro
com.icon.nec.ted.trac.keriConnected Tracker
com.smal.lcallrecorderSmart Call Recorder
com.hor.oscope.palDaily Horoscope & Life Palmestry
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor
com.qibla.ultimate.quQibla Ultimate
com.truck.roud.offroad.zTruck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator
com.call.recorder.criCall Recorder iCall
com.pikcho.editorPikCho Editor app
com.streetprocarsracingssStreet Cars: pro Racing
com.cinema.hallCinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucdLive Wallpaper & Background
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro
com.aceana.lyzzerFace Analyzer
com.tueclert.ruercder*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo
com.puls.rat.monikPulse App – Heart Rate Monitor
com.vidphoremangerVideo & Photo Recovery Manager 2
online.expresscredit.comБыстрые кредиты 24\7
fit.ness.trainerFitness Trainer
com.clip.buddyClipBuddy
vec.tor.artVector arts
ludo.speak.v2Ludo Speak v2.0
battery.live.wallpaperhdBattery Live Wallpaper 4K
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor
com.locatorqiafindlocationLocatoria – Find Location
com.gtconacerGetContacter
ph.oto.labPhoto Lab
com.phonebosterAR Phone Booster – Battery Saver
com.translator.arabic.enEnglish Arabic Translator direct
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy
com.projector.mobile.phone100% Projector for Mobile Phone
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phoneClap To Find My Phone
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast
com.frcallworwidFree Calls WorldWide
locator.plus.myMy Locator Plus
com.isalamqciqciSalam Qibla Compass
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X
com.chat.live.stream.pvcPony Video Chat-Live Stream
com.zodiac.handZodiac : Hand
com.lud.gam.eclLudo Game Classic
com.locx.findx.locxLoca – Find Location
com.easy.tv.show.etsEasy TV Show
com.qiblaquranQibla correct Quran Coran Koran
com.dat.ing.app.sw.mtDating App – Sweet Meet
com.circ.leloca.fi.nderR Circle – Location Finder
com.taggsskconattcTagsContact
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtviQibla Compass
com.soul.scanner.check.yhSoul Scanner – Check Your
com.chat.video.live.ciaoCIAO – Live Video Chat
com.plant.camera.identifier.pciPlant Camera Identifier
com.call.colop.chan.ccColor Call Changer
com.squishy.pop.itSquishy and Pop it
com.keyboard.virt.projector.appKeyboard: Virtual Projector App
com.scanr.gdp.docScanner Pro App: PDF Document
com.qrrea.derproQR Reader Pro
com.f.x.key.bo.ardFX Keyboard
photoeditor.frame.comYou Frame
call.record.provCall Record Pro
com.isl.srick.ersFree Islamic Stickers 2021
com.qr.code.reader.scanQR Code Reader – Barcode Scanner
com.scan.n.rayBag X-Ray 100% Scanner
com.phone.caller.scrennPhone Caller Screen 2021
com.trnsteito.nneappTranslate It – Online App
com.mobthinfindMobile Things Finder
com.piriufffcaerProof-Caller
com.hones.earcy.laofPhone Search by Clap
com.secontranslaproSecond Translate PRO
cal.ler.idsCallerID
com.camera.d.plan3D Camera To Plan
com.qib.find.qib.diQibla Finder – Qibla Direction
com.stick.maker.wapsStickers Maker for WhatsApp
com.qbbl.ldironwachQibla direction watch (compass)
com.bo.ea.lesss.pianoPiano Bot Easy Lessons
com.seond.honen.umberCallHelp: Second Phone Number
com.faspulhearratmonFastPulse – Heart Rate Monitor
com.alleid.pam.lofhysCaller ID & Spam Blocker
com.free.coupon2021Free Coupons 2021
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons
com.skycoach.ggSkycoach
com.live.chat.meet.hooHOO Live – Meet and Chat
easy.bass.boosterEasy Bass Booster
com.coupongiftsnstashopCoupons & Gifts: InstaShop
com.finnccontatFindContact
com.aunch.erios.drogLauncher iOS for Android
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.ivemobiberckerLive Mobile Number Tracker

Fuente (s) :

El presidente de la Reserva Federal, Jerome Powell, dijo hoy al Congreso que “no tiene intención de prohibir” las criptomonedas como lo ha hecho China.

La respuesta de Powell se produjo después de un interrogatorio del representante Ted Budd (R-NC) durante una audiencia del Comité de Servicios Financieros de la Cámara de Representantes sobre la respuesta del Departamento del Tesoro y la Reserva Federal a la pandemia de COVID.

“¿Es su intención prohibir o limitar el uso de criptomonedas, como estamos viendo en China?” Budd preguntó al principal regulador del banco central, antes de citar los comentarios de julio de Powell de que la creación de un dólar digital podría hacer que las monedas estables sean irrelevantes.

“No”, respondió Powell, aclarando que se había referido a las monedas estables en su testimonio anterior, no a todas las criptomonedas.

“No hay intención de prohibirlos”, dijo hoy, en referencia a las criptomonedas. “Pero las monedas estables son como fondos del mercado monetario, son como depósitos bancarios, pero hasta cierto punto están fuera del perímetro regulatorio. Y es apropiado que estén reguladas. Misma actividad, misma regulación”.

Stablecoins, como Tether y USDC, son activos digitales diseñados para mantener un valor de 1: 1 con una moneda fiduciaria. Powell ha expresado su preocupación por las operaciones de Tether en el pasado, y señaló que el USDT no está respaldado completamente por dólares estadounidenses en un banco, sino por una combinación de dólares reales y otros activos, incluida la deuda en forma de papel comercial.

“La mayoría de las veces son muy líquidos, todo está bien”, dijo Powell en una audiencia en julio. Pero durante una crisis, “el mercado simplemente desaparece. Y ahí es cuando la gente querrá su dinero”.

Considera que las regulaciones asegurarán que los consumidores puedan sacar su dinero en caso de una crisis. Y sus puntos de vista no son del todo diferentes a los de la senadora pro-Bitcoin Cynthia Lummis (R-WY), quien ayer dijo en el Senado: “Puede darse el caso de que las monedas estables solo deban ser emitidas por instituciones depositarias o a través de fondos del mercado monetario o vehículos similares “. Añadió:” Las monedas estables deben estar respaldadas al 100% por efectivo y equivalentes de efectivo, y esto debe ser auditado con regularidad “.

Powell ha estado trabajando con la secretaria del Tesoro, Janet Yellen, en un borrador de las regulaciones de las monedas estables, que se espera para las próximas dos semanas. No se espera que toque otras criptomonedas, incluidas Bitcoin y Ethereum, que son activos más volátiles.

El Banco Popular de China no ha tenido tal escrúpulo, recientemente intensificó sus esfuerzos para reducir el uso de criptomonedas incluso cuando experimenta con su propia moneda digital del banco central: un yuan digital. Eso ha llevado a intercambios como el de Huobi que ha cerrado el acceso a los mil millones de clientes en China continental, así como a poderosos grupos de minería chinos que han cerrado sus operaciones.

El profesor de derecho Rohan Gray, quien ayudó a redactar la Ley de Aplicación de Licencias Bancarias y Anclaje de Stablecoin (STABLE), dijo a Decrypt que la Fed de EE. UU. Tiene un ámbito diferente al del PBoC.

Cuando se le preguntó qué poder tenían Powell y el banco central de EE. UU. Para prohibir las criptomonedas, Gray dijo: “Por su cuenta, no necesariamente mucho, pero, por supuesto, si la Fed adoptara su posición de que deberían prohibirse, eso establecería un marcador y una dirección claros. para el debate regulatorio y del Congreso más amplio “.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!

Escucha la noticia dando click en el audio 🙂

Desde el 7 de Septiembre del 2021 El Salvador se convierte en el primer país del mundo en aceptar el bitcoin como moneda de curso legal. Un movimiento aprobado el pasado mes de junio a propuesta de Nayib Bukele, presidente del país y principal impulsor de esta iniciativa.

Para poner en marcha el uso del bitcoin, El Salvador ha desarrollado una billetera electrónica propia y ha anunciado la adquisición de 200 bitcoins adicionales. Un total de 400 bitcoins que servirán para poder dar a cada ciudadano un bono del equivalente a 30 dólares en la criptomoneda a través de Chivo, la aplicación oficial del Gobierno salvadoreño.

Search and buy domains from Namecheap. Lowest prices!

El Salvador abraza el bitcoin como contrapeso de su debilitado sistema financiero

El objetivo de aceptar el bitcoin como método de pago opcional servirá para “abrir más oportunidades de negocio para todo tipo de negocios, reducir costos y atraer turistas de cualquier parte del mundo”, según explica el propio Gobierno.

Aquellos ciudadanos que quieran utilizar el bitcoin podrán hacerlo a través de Chivo Wallet, la billetera creada para tal tarea. Según explican, podrán convertir sus criptomonedas a efectivo de manera inmediata y libre de comisiones.

“Como toda innovación, el proceso del bitcoin en El Salvador tiene una curva de aprendizaje. Todo camino hacia el futuro es así y no se logrará todo en un día, ni en un mes”, ha explicado Bukele.

Desde la comunidad de criptomonedas se ha dado la bienvenida a este movimiento, como es el caso de billeteras como Binance.

Una iniciativa que permitirá que los 6,4 millones de habitantes de El Salvador se una al Bitcoin. Sin embargo, no parece que sea una tarea fácil, pues según apunta CNNmás del 70% de su población activa no posee una cuenta bancaria.

La compra de 400 bitcoins suponen el equivalente a unos 17,3 millones de euros, según la cotización actual. En total, esto supone el 0,28% de los Presupuestos Generales de El Salvador para 2021, que ascienden a 7.453,2 millones de dólares. El gobierno de El Salvador planea crear un fondo de 150 millones de dólares como medida de seguridad para garantizar la convertibilidad.

La ley establece que los ciudadanos podrán pagar impuestos en bitcoin y las tiendas mostrarán también los precios en esta moneda.

Por parte del Instituto Centroamericano de Estudios Fiscales se han mostrado críticos con esta iniciativa, considerando que “uno de los primeros riesgos que habíamos advertido es que los costes de este experimento quien lo paga es la población“. En el caso del Fondo Monetario Internacional (FMI) se ha alertado que la adopción de esta criptodivisa podría incrementar los riesgos regulatorios y avisan que “tiene una serie de cuestiones financieras y jurídicas que requieren de un análisis muy cuidado”.

200 cajeros Chivo para poder operar

Una de las herramientas para acompañar esta apuesta por el bitcoin es Chivo. El gobierno salvadoreño ha instalado unos 200 cajeros Chivo en todo el país para poder operar con estas criptomonedas y realizar cambios.

Chivo puede entenderse como una palabra designada para hablar de algo que es “guay”. Es el nombre de esta billetera digital oficial. Una aplicación ya disponible en la Huawei App Gallery y por el momento se encuentra en revisión dentro de Google Play y la App Store. Pese a haberse puesto en funcionamiento legal durante el día de hoy, la aplicación todavía no está disponible en las principales tiendas de aplicaciones para móvil.

El Gobierno de Bukele tiene trabajo por delante para la adopción de esta herramienta. Según varias encuestas del Instituto Universitario de Opinión Pública de la Universidad Centroamericana, el 78,3% indicó que no estaban interesados en descargarla, pese a los 30 dólares de recompensa inicial.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

chill. by sakura Hz | https://soundcloud.com/sakurahertz
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Escucha la noticia dando click en el audio 🙂

Un completo informe publicado por la firma de seguridad Fortinet, afirma que el ransomware se ha multiplicado por diez en el último año. Hace ya cerca de una década, la llegada del precursor llamado CryptoLocker cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos

Search and buy domains from Namecheap. Lowest prices!

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Modelo de Secuestro + Extorsión

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

Objetivos Favoritos

 Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

 Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de correo Microsoft Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

Never Say Always by Audionautix | http://audionautix.com
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Microsoft advierte sobre un nuevo grave fallo de día cero explotada activamente que afecta a Internet Explorer y que se utiliza para secuestrar sistemas Windows vulnerables al aprovechar documentos de Office dañinos. La vulnerabilidad funciona en Office 2019 y Office 365 en Windows 10. De momento no hay parche disponible, pero si algunas mitigaciones como abrir documento vista protegida o deshabilitar componente ActiveX.

Nuevo ataque 0-day dirigido a usuarios de Windows con documentos de Microsoft Office


Rastreado como CVE-2021-40444 (puntuación de gravedad CVSS: 8.8), la falla de ejecución remota de código tiene sus raíces en MSHTML (también conocido como Trident), un motor de navegador patentado para Internet Explorer ahora descontinuado y que se usa en Office para representar contenido web en su interior. Documentos de Word, Excel y PowerPoint.

“Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft está al tanto de ataques dirigidos que intentan explotar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados”,ha dicho Microsoft


“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de procesamiento del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas estén configuradas para tener menos derechos de usuario en el sistema podría verse menos afectado que los usuarios que operan con derechos de usuario administrativo “, agregó.

El fabricante de Windows dio crédito a los investigadores de EXPMON y Mandiant por informar sobre la falla, aunque la compañía no reveló detalles adicionales sobre la naturaleza de los ataques, la identidad de los adversarios que explotan este día cero o sus objetivos a la luz de los ataques del mundo real. .

EXPMON, en un tweet, señaló que encontró la vulnerabilidad después de detectar un “ataque de día cero altamente sofisticado” dirigido a los usuarios de Microsoft Office, y agregó que transmitió sus hallazgos a Microsoft el domingo. “El exploit utiliza fallas lógicas, por lo que la explotación es perfectamente confiable (y peligrosa)”, dijeron los investigadores de EXPMON.

Sin embargo, vale la pena señalar que el ataque actual se puede evitar si Microsoft Office se ejecuta con configuraciones predeterminadas, donde los documentos descargados de la web se abren en Vista protegida o Application Guard for Office, que está diseñado para evitar que archivos no confiables accedan a recursos confiables. en el sistema comprometido.

Mitigaciones


Se espera que Microsoft, una vez finalizada la investigación, publique una actualización de seguridad como parte de su ciclo de lanzamiento mensual del martes de parches o emita un parche fuera de banda “según las necesidades del cliente”. Mientras tanto, el fabricante de Windows insta a los usuarios y organizaciones a deshabilitar todos los controles ActiveX en Internet Explorer para mitigar cualquier posible ataque.  

Deshabilitar ActiveX 

Deshabilitar la instalación de todos los controles ActiveX en Internet Explorer mitiga este ataque. Esto se puede lograr para todos los sitios actualizando el registro. Los controles ActiveX instalados anteriormente seguirán ejecutándose, pero no exponen esta vulnerabilidad.


Para deshabilitar los controles ActiveX en un sistema individual:

     Para deshabilitar la instalación de controles ActiveX en Internet Explorer en todas las zonas, pegue lo siguiente en un archivo de texto y guárdelo con la extensión de archivo .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

Microsoft está investigando informes de una vulnerabilidad de ejecución remota de código en MSHTML que afecta a Microsoft Windows. Microsoft tiene conocimiento de los ataques dirigidos que intentan aprovechar esta vulnerabilidad mediante el uso de documentos de Microsoft Office especialmente diseñados.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Microsoft Defender Antivirus y Microsoft Defender for Endpoint proporcionan detección y protección para la vulnerabilidad conocida. Los clientes deben mantener actualizados los productos antimalware. Los clientes que utilizan actualizaciones automáticas no necesitan realizar ninguna acción adicional. Los clientes empresariales que administran actualizaciones deben seleccionar la compilación de detección 1.349.22.0 o más reciente e implementarla en sus entornos. Las alertas de Microsoft Defender para Endpoint se mostrarán como: “Ejecución sospechosa de archivo Cpl”.

Una vez finalizada esta investigación, Microsoft tomará las medidas adecuadas para ayudar a proteger a nuestros clientes. Esto puede incluir proporcionar una actualización de seguridad a través de nuestro proceso de publicación mensual o proporcionar una actualización de seguridad fuera de ciclo, según las necesidades del cliente.

Fuente (s) :

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Escucha la noticia dando click en el audio 🙂

La escasez global de chips no solo se pone cada vez peor sino que también se extenderá más tiempo. Anticipada a durar hasta 2022, ahora la escasez de chips durará un año más y terminará hasta 2023, advierte Toshiba.

Boomberg recoge la declaración de Toshiba. Según la compañía, la alta demanda y escasez de materiales hace difícil que pueda cumplir con los pedidos de componentes y según Takeshi Kambuchi, uno de los directores del área de semiconductores de Toshiba, la escasez durará al menos hasta septiembre de 2023:

El suministro de chips seguirá siendo muy escaso al menos hasta septiembre del próximo año.

En algunos casos, es posible que algunos clientes no reciban servicios completos hasta 2023.

Por otro lado, The Wall Street Journal explica que un aumento de casos de COVID-19 en Malasia, uno de los eslabones críticos en la cadena de suministro de semiconductores, ha retrasado -más- la producción de chips y también amenaza con empeorar la situación de la industria.

Las afectaciones de la falta de chips ya se han dejado notar de manera importantes, desde el retraso en la producción de iPad y Macbook, según Nikkei, hasta la conocida escasez de consolas de nueva generación. Sin embargo, la industria automotriz es la más afectada hasta ahora.

A nivel internacional, Mitsubishi ha recortado de manera importante su producción mensual de autos y GM ha optado por eliminar funciones de algunos de sus autos. Pero, las consecuencias no se detienen ahí y también hay fuertes afectaciones en México, sobre todo de GM, fabricante que ha tenido que cerrar tres de sus fábricas en nuestro país, mismo caso con Volkswagen en Puebla.

Por si todo esto fuera poco, la escasez y alta demanda de chips también aumentará notablemente sus precios, y TSMC es uno de los principales productores que ha confirmado este aumento de precio para los usuarios finales. Con todo esto, ya veremos cómo evoluciona la situación del ecosistema tecnológico global en los próximos meses.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US