La versión actualizada, denominada “Xenomorph 3rd generation” por Hadoken Security Group, ha recibido nuevas funciones, incluido un motor de ejecución mejorado basado en el Servicio de accesibilidad de Android que utilizan los hackers informáticos para implementar el Servicio de transferencia automatizada (ATS).
Paises más atacados ó con dispositivos infectados por Xenomorph 3rd G.
Conoce Stake Cripto Casino
El Xenomorph se dió a conocer por primera vez en febrero de 2022. Se dirigió a 56 bancos europeos que usaban aplicaciones cuentagotas que se publicaron en Google Play Store. La última versión de Xenomorph apunta a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas. Las muestras detectadas se distribuyen a través de Discord Content Delivery Network (CDN), según ThreatFabric.
“Xenomorph v3 se está implementando utilizando la aplicación cuentagotas Zombinder, que simula un convertidor de moneda, que descarga una aplicación que se hace pasar por Google Play Protect (Google Play Protect) como una actualización. Las aplicaciones de Zombinder se desarrollan utilizando el servicio Google Bound.
El impacto de la campaña descubierta se está expandiendo de las empresas europeas a las instituciones financieras belgas y canadienses.
Xenomorph, como cualquier troyano bancario, abusa del Servicio de Accesibilidad de Android para llevar a cabo ataques de superposición. El troyano también puede completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistemas de Transferencia Automatizados (ATS).
BingX exchange confiable de Criptomonedas
A medida que los bancos pasan de los SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incluye un módulo ATS que le permite ejecutarse para extraer códigos de autenticación de las aplicaciones de autenticación.
Xenomorph v3 también tiene una función de robo de cookies que permite que un hacker se apodere de una cuenta. Las cookies de sesión permiten al usuario mantener una sesión de navegador abierta sin tener que volver a introducir sus credenciales. Al robar la cookie de sesión, el atacante obtiene acceso a la sesión de la víctima que ha iniciado sesión.
Con nuevas funciones, Xenomorph ahora puede automatizar por completo toda la cadena de ataque, desde la infección hasta el robo de fondos, lo que lo convierte en uno de los troyanos de malware más avanzados y peligrosos para Android.
En Resumen, Xenomorph v3 es capaz de realizar toda la cadena de fraude, desde la infección, con la ayuda de Zombinder, hasta la transferencia automatizada mediante ATS, pasando por la exfiltración de PII mediante ataques Keylogging y Overlay. Además, el Threat Actor detrás de esta familia de malware ha comenzado a publicitar activamente su producto, lo que indica una clara intención de expandir el alcance de este malware. ThreatFabric espera que Xenomorph aumente en volumen, con la probabilidad de que se distribuya nuevamente a través de cuentagotas en Google Play Store.
Se sugiere tener extrema precaución con las aplicaciónes que se vayan a descargar, se sugiere utilizar un dispositivo extra o solo para la banca en linea o transferencias de criptomonedas.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
La pandilla de ransomware Black Cat, también conocida como ALPHV, ha confirmado que son ex miembros de la notoria operación de ransomware BlackMatter/DarkSide.
BlackCat/ALPHV es una nueva operación de ransomware rica en funciones lanzada en noviembre de 2021 y desarrollada en el lenguaje de programación Rust, lo cual es inusual para las infecciones de ransomware.
El ejecutable del ransomware es altamente personalizable, con diferentes métodos y opciones de encriptación que permiten ataques en una amplia gama de entornos corporativos.
Mientras que la pandilla de ransomware se hace llamar ALPHV, el investigador de seguridad MalwareHunterTeam nombró al ransomware BlackCat por la imagen de un gato negro que se usa en la página de pago Tor de cada víctima.
Desde entonces, la operación de ransomware se conoce como BlackCat cuando se comenta en los medios o por investigadores de seguridad.
Una breve historia sobre los cambios de marca de ransomware Muchas operaciones de ransomware se ejecutan como Ransomware-as-a-Service (RaaS), donde los miembros principales están a cargo de desarrollar la infección de ransomware y administrar los servidores, mientras que los afiliados (también conocidos como “anuncios”) son reclutados para violar las redes corporativas y realizar ataques. .
Como parte de este acuerdo, los desarrolladores principales ganan entre el 10 y el 30 % del pago del rescate, mientras que el afiliado gana el resto. Los porcentajes cambian según la cantidad de ingresos por rescate que un afiliado en particular aporta a la operación.
Si bien ha habido muchas operaciones de RaaS en el pasado, ha habido algunas pandillas de primer nivel que comúnmente se cierran cuando las fuerzas del orden público les están pisando el cuello y luego cambian de marca con nuevos nombres.
Estas operaciones de Ransomware-as-a-Service de primer nivel y sus cambios de marca son:
GandCrab to REvil: la operación de ransomware GandCrab se lanzó en enero de 2018 y se cerró en junio de 2019 después de afirmar haber ganado $ 2 mil millones en pagos de rescate. Se relanzaron como REvil en septiembre de 2019, que finalmente cerraron en octubre de 2021 después de que las fuerzas del orden secuestraran su infraestructura. Maze to Egregor: el ransomware Maze comenzó a operar en mayo de 2019 y anunció formalmente su cierre en octubre de 2020. Sin embargo, se cree que los afiliados, y probablemente los operadores, cambiaron su nombre en septiembre a Egregor, que luego desapareció después de que los miembros fueran arrestados en Ucrania.
DarkSide a BlackMatter: la operación de ransomware DarkSide se lanzó en agosto de 2022 y se cerró en mayo de 2021 debido a las operaciones policiales impulsadas por el ataque ampliamente publicitado de la pandilla en Colonial Pipeline. Regresaron como BlackMatter el 31 de julio, pero pronto cerraron en noviembre de 2021 después de que Emsisoft explotara una debilidad para crear un descifrador y se incautaran los servidores. Algunos creen que Conti fue un cambio de marca de Ryuk, pero las fuentes le dicen a BleepingComputer que ambas son operaciones discretas dirigidas por TrickBot Group y que no están afiliadas entre sí.
Si bien algunos afiliados tienden a asociarse con una sola operación de RaaS, es común que los afiliados y los evaluadores de penetración se asocien con varias pandillas a la vez.
Por ejemplo, un afiliado de ransomware le dijo a BleepingComputer que trabajaba con las operaciones de ransomware Ragnar Locker, Maze y REvil simultáneamente.
BlackCat resurge de las cenizas de BlackMatter Desde que se lanzó el ransomware BlackCat en noviembre, el representante de la pandilla de ransomware LockBit ha declarado que ALPHV/BlackCat es un cambio de marca de DarkSide/BlackMatter.
Representante de LockBit afirmando que ALPH es un cambio de marca de DarkSide
The Record publicó una entrevista con la pandilla ALPHV/BlackCat, quienes confirmaron las sospechas de que estaban afiliados a la pandilla DarkSide/BlackMatter.
“Como anuncios de materia oscura [DarkSide / BlackMatter], sufrimos la intercepción de las víctimas para su posterior descifrado por parte de Emsisoft”, dijo ALPHV a The Record, refiriéndose al lanzamiento del descifrador de Emsisoft.
Si bien los operadores de ransomware BlackCat afirman que solo fueron afiliados de DarkSide/BlackMatter que lanzaron su propia operación de ransomware, algunos investigadores de seguridad no lo creen.
El analista de amenazas de Emsisoft, Brett Callow, cree que BlackMatter reemplazó a su equipo de desarrollo después de que Emsisoft explotara una debilidad que permitía a las víctimas recuperar sus archivos de forma gratuita y perdía a la banda de ransomware millones de dólares en rescates.
“Aunque Alphv afirma ser antiguos afiliados de DS/BM, es más probable que sean DS/BM pero intenten distanciarse de esa marca debido al golpe reputacional que recibió después de cometer un error que costó a los afiliados varios millones de dólares, Callow tuiteó ayer.
En el pasado, era posible probar que diferentes operaciones de ransomware estaban relacionadas buscando similitudes de código en el código del cifrador.
Como el encriptador BlackCat se creó desde cero en el lenguaje de programación Rust, Fabian Wosar de Emsisoft le dijo a BleepingComputer que estas similitudes de codificación ya no existen.
Sin embargo, Wosar dijo que hay similitudes en las características y los archivos de configuración, lo que respalda que es el mismo grupo detrás de las operaciones de ransomware BlackCat y DarkSide/BlackMatter.
Independientemente de si son afiliados anteriores que decidieron lanzar su propia operación de ransomware o un cambio de marca de DarkSide/BlackMatter, han demostrado ser capaces de llevar a cabo grandes ataques corporativos y están acumulando víctimas rápidamente.
BlackCat va a ser una operación de ransomware que todas las fuerzas del orden, los defensores de la red y los profesionales de la seguridad deben vigilar de cerca.
Gang repite sus errores Irónicamente, lo que condujo a la caída de las operaciones de DarkSide/BlackMatter puede ser, en última instancia, lo que cause una rápida desaparición de BlackCat/ALPHV.
Después de que DarkSide atacara el Oleoducto Colonial, el oleoducto de combustible más grande de los Estados Unidos, comenzó a sentir toda la presión de las fuerzas del orden internacionales y del gobierno de los Estados Unidos.
Esta presión continuó después de que cambiaron su nombre a BlackMatter, y las fuerzas del orden confiscaron sus servidores y provocaron que se apagaran nuevamente.
Lo que puede haber llevado al ransomware BlackCat al centro de atención es, irónicamente, otro ataque a los proveedores de petróleo y las empresas de distribución, lo que lleva a problemas en la cadena de suministro.
Esta semana, BlackCat atacó a Oiltanking, un distribuidor alemán de gasolina, ya Mabanaft GmbH, un proveedor de petróleo.
Estos ataques volvieron a afectar la cadena de suministro de combustible y provocaron escasez de gas.
Sin embargo, los operadores de BlackCat le dijeron a The Record que no podían controlar a quién atacan sus afiliados y prohibir a aquellos que no cumplen con las políticas de la pandilla. Estas políticas establecen que los afiliados no deben apuntar a agencias gubernamentales, entidades de salud o educativas.
Sin embargo, parece que la pandilla Darkside no aprendió de sus errores anteriores y una vez más atacó la infraestructura crítica, lo que probablemente los colocará firmemente en la mira de las fuerzas del orden.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.
Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.
Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.
La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.
Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.
Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.
“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Estados Unidos había ofrecido una recompensa de hasta $ 10 millones (£ 7,3 millones) por información que conduzca a los pandilleros, luego de ataques de ransomware.
La oficina de inteligencia de Rusia FSB dijo que el grupo había “dejado de existir”.
Sin embargo, no parece que ningún miembro ruso de la pandilla sea extraditado a Estados Unidos.
La agencia dijo que había actuado después de que Estados Unidos le proporcionara información sobre la pandilla REvil.
Las autoridades en Rusia dicen que han desmantelado el grupo criminal de ransomware REvil y acusado a varios de sus miembros.
Según el servicio de noticias estatal ruso Tass, REvil “desarrolló software malicioso” y “organizó el robo de dinero de las cuentas bancarias de ciudadanos extranjeros”.
El FSB dijo que había incautado más de 426 millones de rublos (4 millones de libras esterlinas), incluidas alrededor de 440 000 libras esterlinas en criptomonedas.
También incautó más de 20 “automóviles premium” que habían sido comprados con el producto del delito.
“La asociación criminal organizada ha dejado de existir y la infraestructura de información utilizada con fines delictivos fue neutralizada”, dijo el FSB en un comunicado.
El anuncio de Rusia se produce durante un enfrentamiento entre Estados Unidos y Rusia.
Moscú exige garantías occidentales, incluida la de que la OTAN no se expandirá más. También ha acumulado sus tropas cerca de la frontera con Ucrania.
Estos arrestos son un momento monumental en el cibercrimen y las ciberrelaciones entre EE. UU. y Rusia.
Durante años, Rusia ha ignorado y negado las acusaciones de que a los piratas informáticos de ransomware rusos se les permite un puerto seguro en el país para atacar objetivos occidentales.
En su Cumbre de Ginebra del verano pasado, el presidente de Rusia, Putin, y el presidente de los Estados Unidos, Biden, acordaron abrir debates sobre cómo combatir el flagelo del ransomware, pero incluso los expertos más optimistas se dieron por vencidos al ver que las conversaciones fructificaban.
Que las autoridades rusas arresten a la pandilla REvil en suelo ruso es un gran resultado que pocos hubieran previsto.
Aunque en gran parte se disolvió desde septiembre del año pasado, REvil fue una de las pandillas de ransomware más prolíficas, y este arresto envía un gran mensaje a los equipos rusos de ciberdelincuencia: la fiesta ha terminado.
La operación también es la primera vez en años que EE. UU. y Rusia colaboran en una operación de ciberdelincuencia.
Puede apuntar a un deshielo de las relaciones, que ya se celebra ampliamente en el mundo de la seguridad cibernética.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
El FBI ahora cree que los hackers rusos del grupo FIN7, que están detrás de las operaciones de ransomware Darkside y BlackMatter, son responsables de la operación.
Según la agencia estadounidense, los paquetes del grupo se enviaban a través del Servicio Postal de los Estados Unidos o United Parcel Service y aparecían como empresas oficiales.
Agregaron que los hackers (piratas informáticos) generalmente fingían ser del Departamento de Salud y Servicios Humanos de EE. UU. O de Amazon como un medio para engañar a sus objetivos de ransomware.
Desde entonces, el FBI ha emitido una advertencia a las empresas de que estos paquetes fueron certificados como falsos y peligrosos.
Su declaración decía: “Desde agosto de 2021, el FBI ha recibido informes de varios paquetes que contienen estos dispositivos USB, enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa”.
“Los paquetes se enviaron a través del Servicio Postal de los Estados Unidos y el Servicio United Parcel.
“Hay dos variaciones de paquetes: los que imitan al HHS suelen ir acompañados de cartas que hacen referencia a las pautas de COVID-19 adjuntas a un USB; y los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y un USB “.
El FBI también confirmó que todos los paquetes contenían USB de la marca LilyGO que, si se conectaban al dispositivo, podrían ejecutar un ataque “BadUSB” e infectarlo con el software malicioso peligroso.
The Record agregó que, en la mayoría de los casos investigados por la agencia estadounidense, el grupo obtendría acceso administrativo y luego “se movería lateralmente a otros sistemas locales”.
La última advertencia se produce después de que un malware ruso similar se infiltrara en una gran cantidad de empresas en los EE. UU. En julio pasado.
La violación, que es el ataque de ransomware más grande registrado, supuestamente afectó los sistemas de TI de hasta un millón de empresas en todo el mundo durante un período de 24 horas, al apuntar a los sistemas de la empresa de software con sede en EE. UU. Kaseya.
Dos días después, los piratas informáticos rusos REvil exigieron un pago de $ 70 millones en Bitcoin por una clave de descifrado.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
En unas declaraciones realizadas a la Comisión de Bolsa y Valores norteamericana, la empresa de registro y alojamiento web GoDaddy ha revelado que ha descubierto que ha sido hackeada. La empresa dice que descubrió que un «tercero no autorizado» había accedido a su entorno de alojamiento de WordPress gestionado.
GoDaddy, una de las plataformas de hosting y registro de dominios más importantes del mundo, ha sido víctima de un incidente de seguridad El problema ha salido a la luz este lunes en una presentación de GoDaddy ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía dijo que una persona no autorizada utilizó una contraseña comprometida para acceder a su entorno de alojamiento de WordPress el 6 de septiembre de este año. Sin embargo, GoDaddy descubrió el incidente de seguridad el pasado 17 de noviembre tras detectar actividad sospechosa e iniciar una investigación que aún está en curso. Una vez identificadas las contraseñas de acceso comprometidas, fueron renovadas, pero los datos habrían sido filtrados. La presentación habla de la filtración de direcciones de correo electrónico y números de cliente de 1,2 millones de usuarios de GoDaddy que usan el sistema WordPress administrado. Esto puede presentar un mayor riesgo de ataques de phishing para las víctimas de la violación de datos.
La filtración de datos de GoDaddy dada a conocer este lunes afecta a 1,2 millones de clientes que utilizan WordPress administrado.
Hasta 1,2 millones de usuarios han visto expuestos su dirección de correo electrónico y su número de cliente, así como las contraseñas de administrador de los dos sitios de WordPress alojados en la plataforma, además de las contraseñas de los sFTP, las bases de datos y las claves privadas SSL.
El documento dice que GoDaddy cree que la brecha se produjo por primera vez el 6 de septiembre de 2021, y la investigación está actualmente en curso.
Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, we reset those passwords.
For active customers, sFTP and database usernames and passwords were exposed. We reset both passwords.
For a subset of active customers, the SSL private key was exposed. We are in the process of issuing and installing new certificates for those customers.
Demetrius Comes, Director de Seguridad de la Información, reconoce que GoDaddy está trabajando actualmente con las fuerzas de seguridad y con una empresa forense privada. Además, dice que ha restablecido las credenciales pertinentes y trabajará con los usuarios para emitir nuevos certificados SSL. Comes finaliza su declaración diciendo que la empresa, quizás demasiado tarde, «aprenderá de este incidente» y tomará medidas para evitar que se produzca una brecha de este tipo en el futuro.
Esta no es ni mucho menos la primera vez que se habla de GoDaddy en la misma frase que de una brecha de seguridad en los últimos años. En 2018, un error de AWS expuso los datos de los servidores de GoDaddy, y en 2020, 28.000 cuentas de usuarios fueron vulneradas por un individuo no autorizado. Más tarde, el año pasado, GoDaddy también fue mencionado como parte de un hack que derribó una serie de sitios en el espacio de la criptomoneda.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Según comunicaron desde la agencia de investigación estadounidense, el hardware afectado fue apagado en cuanto se descubrió lo que estaba ocurriendo.
Hackean sistema de correos del FBI para enviar advertencias falsas sobre ciberataques
Los servidores de correos electrónicos del FBI fueron hackeados para distribuir spam. Las advertencias fraudulentas avisaban al recipiente de una supuesta brecha de datos en su red.
El FBI confirmó que los correos electrónicos enviados este sábado desde su servidor que alertaban de un posible ataque cibernético son falsos.
Horas antes, la organización Spamhause Project, que rastrea actividades de ‘spam’ y ‘malware’, advirtió en su cuenta de Twitter que piratas informáticos habían hackeado el sistema de correos electrónicos del FBI para enviar a través de este múltiples ‘emails’ con alertas.
“Hemos sido notificados de correos electrónicos ‘alarmantes’ enviados en las últimas horas que pretenden parecer haber llegado desde el FBI o el DHS [Departamento de Seguridad Nacional de EE.UU.]”, escribió Spamhause Project, señalando que los mensajes se estaban enviando realmente desde los sistemas de ambos organismos, pero se trataba de notificaciones “falsas”.
Según la organización, las alertas se enviaron a los contactos indicados en la base de datos del Registro Norteamericano de Números de Internet (ARIN, por sus siglas en inglés). “Causan perturbación porque los encabezamientos son reales, de verdad llegan desde la infraestructura del FBI”, agregaron.
We have been made aware of “scary” emails sent in the last few hours that purport to come from the FBI/DHS. While the emails are indeed being sent from infrastructure that is owned by the FBI/DHS (the LEEP portal), our research shows that these emails *are* fake.
En un tuit separado, Spamhause indicó que es posible que el alcance del ataque no se limitara al ARIN. La organización publicó asimismo un gráfico que muestra los drásticos aumentos de tráfico provocados por las alertas falsas.
From what other people are reporting, this was not limited to the ARIN database. Other, non-ARIN related harvested emails were included in the spam run.
Por su parte, el FBI confirmó que estaba al tanto del envío de correos falsos desde su dirección @ic.fbi.gov.
“Es una situación en curso y de momento no podemos proporcionar ninguna información. El ‘hardware’ afectado fue apagado en cuanto se descubrió el asunto”, señaló en un comunicado la agencia de investigación estadounidense.
La Oficina Federal de Investigaciones (FBI) confirmóque su nombre de dominio fbi.gov y su dirección de Internet se utilizaron para enviar miles de correos electrónicos falsos sobre una investigación de delito cibernético. Según una entrevista con la persona que se atribuyó la responsabilidad del engaño, los mensajes de spam se enviaron abusando de un código inseguro en un portal en línea del FBI diseñado para compartir información con las autoridades policiales estatales y locales.
A última hora de la noche del 12 de noviembre ET, decenas de miles de correos electrónicos comenzaron a fluir desde la dirección del FBI eims@ic.fbi.gov, advirtiendo sobre ciberataques falsos.
Según el Departamento de Justicia, “CJIS administra y opera varios sistemas nacionales de información sobre delitos utilizados por la comunidad de seguridad pública con fines tanto penales como civiles. Los sistemas CJIS están disponibles para la comunidad de justicia penal, incluidas las fuerzas del orden, las cárceles, los fiscales, los tribunales, así como los servicios de libertad condicional y antes del juicio “.
“El FBI y CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad] están al tanto del incidente de esta mañana que involucra correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov”, se lee en el comunicado del FBI. “Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. El hardware afectado se desconectó rápidamente al descubrir el problema. Continuamos alentando al público a ser cauteloso con los remitentes desconocidos y lo instamos a informar cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov ”.
“Podría haber usado esto al 1000% para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo Pompompurin. “Y esto nunca lo habría encontrado nadie que lo divulgara responsablemente, debido al aviso que los federales tienen en su sitio web”.
Pompompurin dice que el acceso ilícito al sistema de correo electrónico del FBI comenzó con una exploración de su Portal Empresarial de Aplicación de la Ley (LEEP), que la oficina describe como “una puerta de entrada que proporciona a las agencias de aplicación de la ley, grupos de inteligencia y entidades de justicia penal acceso a recursos beneficiosos”.
Portal empresarial de aplicación de la ley del FBI (LEEP).
“¡Estos recursos fortalecerán el desarrollo de casos para los investigadores, mejorarán el intercambio de información entre agencias y serán accesibles en una ubicación centralizada!”, Dice entusiasmado el sitio del FBI.
Hasta en algún momento de esta mañana, el portal LEEP permitía a cualquier persona solicitar una cuenta. De manera útil, las instrucciones paso a paso para registrar una nueva cuenta en el portal LEEP también están disponibles en el sitio web del DOJ. [Cabe señalar que el “Paso 1” de esas instrucciones es visitar el sitio en Internet Explorer de Microsoft, un navegador web obsoleto que incluso Microsoft ya no anima a las personas a usar por razones de seguridad.]
Gran parte de ese proceso implica completar formularios con la información personal y de contacto del solicitante y la de su organización. Un paso crítico en ese proceso dice que los solicitantes recibirán una confirmación por correo electrónico de eims@ic.fbi.gov con un código de acceso único, aparentemente para validar que el solicitante puede recibir correo electrónico en el dominio en cuestión.
Pero según Pompompurin, el propio sitio web del FBI filtró ese código de acceso único en el código HTML de la página web.
Pompompurin dijo que pudieron enviarse un correo electrónico desde eims@ic.fbi.gov editando la solicitud enviada a su navegador y cambiando el texto en los campos “Asunto” y “Contenido de texto” del mensaje.
“Básicamente, cuando solicitó el código de confirmación, se generó en el lado del cliente y luego se le envió a través de una solicitud POST”, dijo Pompompurin. “Esta solicitud de publicación incluye los parámetros para el asunto del correo electrónico y el contenido del cuerpo”.
Pompompurin dijo que un script simple reemplazó esos parámetros con su propio asunto y cuerpo del mensaje, y automatizó el envío del mensaje falso a miles de direcciones de correo electrónico.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Un mes después del ataque informático del ransomware Pysa a la Universidad Autónoma de Barcelona, y del reciente ataque ransomware Hive a la multinacional MediaMarkt. de este jueves hay una nueva víctima: la cervecera Damm víctima del ransomware Conti. El fabricante de cerveza tiene todos los centros de trabajo parados y los pedidos se están sirviendo gracias al stock, pero ya avisan de que si los problemas se alargan la principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días.
Un ataque informático obliga a detener la producción de cerveza Damm
El fabricante de cerveza tiene todos los centros de trabajo parados
La principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días
El Prat, donde trabajan alrededor de 400 personas
Los atacantes pidieron un rescate para dejar que la compañía vuelva a la normalidad. Aparte de la fábrica de El Prat, Damm también produce cerveza, en menor cantidad, en las otras dos plantas que tiene en España, en Murcia y en Alicante.
Un ataque informático ha obligado a detener la producción de cerveza Damm en la fábrica que tiene en El Prat de Llobregat, la más importante de la compañía. Fuentes cercanas a la empresa han explicado que si la situación se alarga la planta puede quedarse sin stock en cuestión de días. Para librarse del ataque la compañía debe pagar un rescate por importe que este diario no ha podido confirmar.
Las mismas fuentes explican que si el ataque se hubiera producido en los meses de verano las consecuencias aún hubieran sido más catastróficas, ya que debido al aumento del consumo de cerveza el stock suele durar escasamente tres días.
Portavoces de Damm se han limitado a decir este diario que desde el miércoles por la mañana tienen una “incidencia informática en el sistema operativo” pero sin especificar las causas. “Se están investigando”, aseguraron añadiendo que no descartan ninguna hipótesis. Los propios portavoces explicaron que desde el primer momento se ha activado el protocolo establecido ante “este tipo de incidencia” y que se está trabajando para “restablecer” toda la producción. También insistieron en que de momento se está haciendo con “normalidad” la distribución a los canales alimentación y de horeca (hoteles, restaurantes y cafeterías) y que desconocen cuándo se volverá a la normalidad.
Aparte de la fábrica de El Prat, que es la más importante tanto en dimensiones como en producción, Damm también produce cerveza, pero en menor cantidad, en las otras dos plantas que tiene en España: una ubicada en Murcia y otra en Alicante .
Los técnicos de la empresa están trabajando para restablecer todo el sistema y analizar el grado de afectación de este problema informático. El objetivo es reanudar la operativa diaria “lo antes posible”, según fuentes de la compañía. La compañía tendría asegurado el stock de sus productos durante los siguientes días, pero si la incidencia se prolongara podría haber dificultades en la distribución a partir de la semana que viene.
Ciberataques de ransomware
El goteo de ataques informáticos a empresas e instituciones es cada vez más constante. Dos de los últimos que se han producido han afectado a la Universidad Autónoma de Barcelona (UAB) o a la multinacional germánica MediaMarkt. En el caso de la UAB los autores inutilizó hace un mes los servicios informáticos creando un caos en el campus, afectando a más de 650.000 archivos y pidiendo un rescate de 3 millones de euros. De hecho esta misma semana han amenazado con hacer pública la información conseguida de empresas y entidades gracias al ciberataque. En cuanto a MediaMarkt afectó de forma directa a sus tiendas de Alemania, Bélgica y Países Bajos y, en menor medida, a las de otros países como algunas de España. Concretamente el ataque afectó a 3.100 servidores y provocó que las cajas registradoras funcionaran mal.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.
Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.
Cuidado, esta historia de terror te podría ocurrir a ti
En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.
Ayer me quedé sin línea móvil de repente. Llamé a @vodafone_es y no me solucionaron nada: "Hay una incidencia en la red", "Su línea funciona perfectamente", insistí en el problema y nada. Al salir del cine, seguía sin línea. Al llegar a casa me habían vaciado la cuenta corriente.
Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.
Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.
Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.
Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.
El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter
Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.
We’re temporarily turning off the ability to Tweet via SMS, or text message, to protect people’s accounts.
Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jack) aparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.
El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.
La solución está en nuestras manos (pero también en la de las operadoras y los bancos)
Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.
El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.
También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.
Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.
Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.
GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas
Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.
Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.
La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses
“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.
30€ al mes por usuario infectado
El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM.
La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.
200 aplicaciones disponibles en la Play Store
Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store.
¿Tienes alguna de estas apps? Bórrela de inmediato
Esta es la lista de apps que esconden GriftHorse.
Listado de Aplicaciones
Package Name
App Name
com.tra.nslat.orpro.htp
Handy Translator Pro
com.heartratteandpulsetracker
Heart Rate and Pulse Tracker
com.geospot.location.glt
Geospot: GPS Location Tracker
com.icare.fin.loc
iCare – Find Location
my.chat.translator
My Chat Translator
com.bus.metrolis.s
Bus – Metrolis 2021
com.free.translator.photo.am
Free Translator Photo
com.locker.tul.lt
Locker Tool
com.fin.gerp.rint.fc
Fingerprint Changer
com.coll.rec.ord.er
Call Recoder Pro
instant.speech.translation
Instant Speech Translation
racers.car.driver
Racers Car Driver
slime.simu.lator
Slime Simulator
keyboard.the.mes
Keyboard Themes
whats.me.sticker
What’s Me Sticker
amazing.video.editor
Amazing Video Editor
sa.fe.lock
Safe Lock
heart.rhy.thm
Heart Rhythm
com.sma.spot.loca.tor
Smart Spot Locator
cut.cut.pro
CutCut Pro
com.offroaders.survive
OFFRoaders – Survive
com.phon.fin.by.cl.ap
Phone Finder by Clapping
com.drive.bus.bds
Bus Driving Simulator
com.finger.print.def
Fingerprint Defender
com.lifeel.scanandtest
Lifeel – scan and test
com.la.so.uncher.io
Launcher iOS 15
com.gunt.ycoon.dle
Idle Gun Tycoo\u202an\u202c
com.scan.asdn
Scanner App Scan Docs & Notes
com.chat.trans.alm
Chat Translator All Messengers
com.hunt.contact.ro
Hunt Contact
com.lco.nylco
Icony
horoscope.fortune.com
Horoscope : Fortune
fit.ness.point
Fitness Point
com.qub.la
Qibla AR Pro
com.heartrateandmealtracker
Heart Rate and Meal Tracker
com.mneasytrn.slator
Mine Easy Translator
com.phone.control.blockspamx
PhoneControl Block Spam Calls
com.paral.lax.paper.thre
Parallax paper 3D
com.photo.translator.spt
SnapLens – Photo Translator
com.qibl.apas.dir
Qibla Pass Direction
com.caollerrrex
Caller-x
com.cl.ap
Clap
com.eff.phot.opro
Photo Effect Pro
com.icon.nec.ted.trac.ker
iConnected Tracker
com.smal.lcallrecorder
Smart Call Recorder
com.hor.oscope.pal
Daily Horoscope & Life Palmestry
com.qiblacompasslocatoriqez
Qibla Compass (Kaaba Locator)
com.proo.kie.phot.edtr
Prookie-Cartoon Photo Editor
com.qibla.ultimate.qu
Qibla Ultimate
com.truck.roud.offroad.z
Truck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocator
GPS Phone Tracker – Family Locator
com.call.recorder.cri
Call Recorder iCall
com.pikcho.editor
PikCho Editor app
com.streetprocarsracingss
Street Cars: pro Racing
com.cinema.hall
Cinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucd
Live Wallpaper & Background
com.in1.tel.ligent.trans.lt.pro
Intelligent Translator Pro
com.aceana.lyzzer
Face Analyzer
com.tueclert.ruercder
*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.pht
iTranslator_ Text & Voice & Photo
com.puls.rat.monik
Pulse App – Heart Rate Monitor
com.vidphoremanger
Video & Photo Recovery Manager 2
online.expresscredit.com
Быстрые кредиты 24\7
fit.ness.trainer
Fitness Trainer
com.clip.buddy
ClipBuddy
vec.tor.art
Vector arts
ludo.speak.v2
Ludo Speak v2.0
battery.live.wallpaperhd
Battery Live Wallpaper 4K
com.heartrateproxhealthmonitor
Heart Rate Pro Health Monitor
com.locatorqiafindlocation
Locatoria – Find Location
com.gtconacer
GetContacter
ph.oto.lab
Photo Lab
com.phoneboster
AR Phone Booster – Battery Saver
com.translator.arabic.en
English Arabic Translator direct
com.vpn.fast.proxy.fep
VPN Zone – Fast & Easy Proxy
com.projector.mobile.phone
100% Projector for Mobile Phone
com.forza.mobile.ult.ed
Forza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nws
Amazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phone
Clap To Find My Phone
com.mirror.scree.n.cast.tvv
Screen Mirroring TV Cast
com.frcallworwid
Free Calls WorldWide
locator.plus.my
My Locator Plus
com.isalamqciqc
iSalam Qibla Compass
com.lang.tra.nslate.ltef
Language Translator-Easy&Fast
com.wifi.unlock.pas.pro.x
WiFi Unlock Password Pro X
com.chat.live.stream.pvc
Pony Video Chat-Live Stream
com.zodiac.hand
Zodiac : Hand
com.lud.gam.ecl
Ludo Game Classic
com.locx.findx.locx
Loca – Find Location
com.easy.tv.show.ets
Easy TV Show
com.qiblaquran
Qibla correct Quran Coran Koran
com.dat.ing.app.sw.mt
Dating App – Sweet Meet
com.circ.leloca.fi.nder
R Circle – Location Finder
com.taggsskconattc
TagsContact
com.ela.salaty.musl.qibla
Ela-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtvi
Qibla Compass
com.soul.scanner.check.yh
Soul Scanner – Check Your
com.chat.video.live.ciao
CIAO – Live Video Chat
com.plant.camera.identifier.pci
Plant Camera Identifier
com.call.colop.chan.cc
Color Call Changer
com.squishy.pop.it
Squishy and Pop it
com.keyboard.virt.projector.app
Keyboard: Virtual Projector App
com.scanr.gdp.doc
Scanner Pro App: PDF Document
com.qrrea.derpro
QR Reader Pro
com.f.x.key.bo.ard
FX Keyboard
photoeditor.frame.com
You Frame
call.record.prov
Call Record Pro
com.isl.srick.ers
Free Islamic Stickers 2021
com.qr.code.reader.scan
QR Code Reader – Barcode Scanner
com.scan.n.ray
Bag X-Ray 100% Scanner
com.phone.caller.screnn
Phone Caller Screen 2021
com.trnsteito.nneapp
Translate It – Online App
com.mobthinfind
Mobile Things Finder
com.piriufffcaer
Proof-Caller
com.hones.earcy.laof
Phone Search by Clap
com.secontranslapro
Second Translate PRO
cal.ler.ids
CallerID
com.camera.d.plan
3D Camera To Plan
com.qib.find.qib.di
Qibla Finder – Qibla Direction
com.stick.maker.waps
Stickers Maker for WhatsApp
com.qbbl.ldironwach
Qibla direction watch (compass)
com.bo.ea.lesss.piano
Piano Bot Easy Lessons
com.seond.honen.umber
CallHelp: Second Phone Number
com.faspulhearratmon
FastPulse – Heart Rate Monitor
com.alleid.pam.lofhys
Caller ID & Spam Blocker
com.free.coupon2021
Free Coupons 2021
com.kfc.saudi.delivery.coupons
KFC Saudi – Get free delivery and 50% off coupons
com.skycoach.gg
Skycoach
com.live.chat.meet.hoo
HOO Live – Meet and Chat
easy.bass.booster
Easy Bass Booster
com.coupongiftsnstashop
Coupons & Gifts: InstaShop
com.finnccontat
FindContact
com.aunch.erios.drog
Launcher iOS for Android
com.blo.cced.als.pam.rzd
Call Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzd
Call Blocker-Spam Call Blocker
com.ivemobibercker
Live Mobile Number Tracker
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Donate Via Wallets
MetaMask
Trust Wallet
Binance Wallet
WalletConnect
