Lo + Nuevo
Noticias – Entretenimiento
Tag

hackers

Browsing
ciberseguridad

‘SIM swapping’, qué es y como prevenir ser victima de este fraude

Cuidado, si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que hackers duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentique en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se demostró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jackaparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque —que no es el único que afecta a las tarjetas SIM— es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

El primero está en quienes manejan esa información, las operadoras, que deberían ser mucho más exigentes a la hora de proporcionar duplicados de una tarjeta SIM. Las verificaciones de identidad aquí deben ser exhaustivas para evitar los problemas que se han producido con estos casos.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Search and buy domains from Namecheap. Lowest prices!

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By
ciberseguridad

Hackers Consiguen Ocultar Malware en la VRAM de tarjetas de video (GPUs)

Escucha la noticia dando click en el audio 🙂

Un grupo de cibercriminales están vendiendo información muy valiosa referente a instalar malware en los sistemas, y es que este nuevo método esconde el malware en la memoria VRAM de las GPUs, siendo el mayor de los problemas que es imposible de detectar por los antivirus actuales, por lo que es imposible intentar averiguar si un sistema está infectado o no. Concretamente, el malware se oculta el buffer de la GPU para evitar la inspección de los antivirus, requiriendo para su funcionamiento “estaciones de trabajo Windows que soporten OpenCL 2.0 y superior”.


Venden herramienta para ocultar malware en GPU de AMD y NVIDIA

El malware utiliza el espacio de asignación de memoria gráfica para ejecutar el código malicioso. La tecnología utiliza la API OpenCL 2.0 en el sistema operativo Windows, ningún otro sistema es compatible con el código malicioso.

Eso sí, el mayor de los problemas es que todas las gráficas que puedan hacer uso de dicha API son vulnerables, ya que el hacker en cuestión que está vendiendo los conocimientos confirmó que es posible añadir el malware en la memoria de GPUs modernas como la AMD Radeon RX 5700 o la Nvidia GeForce GTX 1650, o modelos antiguos como la GeForce GTX 740M o las iGPUs Intel UHD 620/630.

Este método de ocultación habría sido probado exitosamente con tarjetas Intel UHD 620 y 630, Radeon RX 5700 y GeForce GTX 740M y 1650.

Encuentran la forma de añadir código malicioso empleando la VRAM de la GPU

El uso de la memoria gráfica para ejecutar código malicioso no es un tema totalmente nuevo. Ya en 2015 los investigadores demostraron una prueba de concepto de un keylogger basado en la GPU y troyanos de acceso remoto para Windows. El autor del nuevo malware afirma que su método es nuevo y no está asociado a esos métodos.

Se espera que en breve se revele más información, ya que los responsables de vx-underground, la mayor colección de código fuente de malware, muestras y documentos en Internet, ya ha asegurado que la GPU está ejecutando los binarios del malware desde el espacio de memoria VRAM de la GPU.

Si bien el método no es nuevo y el código de demostración se ha publicado antes, los proyectos hasta ahora provenían del mundo académico o estaban incompletos y sin refinar.

A principios de este mes, una prueba de concepto (PoC) se vendió en un for, lo que podría marcar la transición de los ciberdelincuentes a un nuevo nivel de sofisticación para sus ataques.

Código probado en GPU Intel, AMD y Nvidia

En una breve publicación, alguien ofreció vender la prueba de concepto (PoC) para una técnica que, según ellos, mantiene el código malicioso a salvo de las soluciones de seguridad que escanean la RAM del sistema.

El vendedor proporcionó solo una descripción general de su método, diciendo que usa el búfer de memoria de la GPU para almacenar código malicioso y ejecutarlo desde allí.

Según el anunciante, el proyecto funciona solo en sistemas Windows que admiten las versiones 2.0 y superiores del marco OpenCL para ejecutar código en varios procesadores, incluidas las GPU.

La publicación también mencionó que el autor probó el código en tarjetas gráficas de Intel (UHD 620/630), Radeon (RX 5700) y GeForce (GTX 740M (?), GTX 1650).

VX-Underground dijo que el código malicioso permite la ejecución binaria por parte de la GPU en su espacio de memoria. También agregaron que demostrarán la técnica en un futuro próximo.

Los mismos investigadores detrás del rootkit JellyFish también publicaron PoC para un keylogger basado en GPU y un troyano de acceso remoto basado en GPU para Windows. Los tres proyectos se publicaron en mayo de 2015 y han estado a disposición del público.

El vendedor rechazó la asociación con el malware JellyFish diciendo que su método es diferente y no depende de la asignación de código al espacio de usuario.

No hay detalles sobre el trato, quién lo compró y cuánto pagaron. Solo la publicación del vendedor de que vendió el software malicioso a un tercero desconocido.

Si bien la referencia al proyecto JellyFish sugiere que el malware basado en GPU es una idea relativamente nueva, la base para este método de ataque se estableció hace unos ocho años.

En 2013, investigadores del Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grecia y de la Universidad de Columbia en Nueva York demostraron que las GPU pueden albergar el funcionamiento de un registrador de pulsaciones de teclas y almacenar las pulsaciones de teclas capturadas en su espacio de memoria [documento PDF aquí].

Anteriormente, los investigadores demostraron que los autores de malware pueden aprovechar la potencia computacional de la GPU para empaquetar el código con esquemas de cifrado muy complejos mucho más rápido que la CPU. 

Fuente (s) :

Créditos Música :

Endless Summer by Loxbeats | https://soundcloud.com/loxbeats
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License
https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By