Encuentran fallas graves en LastPass
Una falla de zero-day en el popular administrador de contraseñas LastPass puede ser activada por usuarios al visitar un sitio malicioso, permitiendo a los atacantes comprometer las cuentas de los usuarios y toda la información sensible en ésta.
El descubrimiento fue hecho por el investigador del Project Zero de Google Tavis Ormandy quien, después de examinar una cantidad de soluciones de antivirus y encontrar serios fallos de seguridad en ellos, aparentemente ha puesto su mira en las ampliamente utilizadas soluciones de administración de contraseñas.
Además de la falla que se menciona, también encontró “un montón de problemas críticos obvios”, pero responsablemente eligió no compartir públicamente más detalles acerca de cualquiera de las fallas hasta que los desarrolladores tengan oportunidad de corregirlas.
El reporte completo de los problemas ha sido enviado a LastPass y ahora sólo falta ver si se apresurarán en corregir estos problemas, como esperan los usuarios.
De acuerdo con The Register, no hay noticias de algún ataque en la red explotando la falla que pudiera llevar a cuentas de LastPass remotamente comprometidas.
Fuente de información original.
69% de ataques contienen Locky
Los primeros cinco meses del 2016 fueron dominados por campañas de correos electrónicos maliciosos, el surgimiento rápido de nuevas variantes de ransomware, el cierre de una de las más grandes botnets en el mundo y del exploit kit Angler, todo llevando a un junio extrañamente silencioso.
Proofpoint ha publicado su resumen de amenazas trimestral, el cual analiza cómo estas amenazas cambian trimestre tras trimestre al capturar tendencias y transformaciones.
Archivos adjuntos de JavaScript lideraron una explosión de mensajes maliciosos en volumen, 230% trimestre con trimestre. Muchos actores de Locky y Dridex cambiaron al uso de archivos de JavaScript adjuntos a mensajes de correos electrónicos para instalar cargas, identificadas como unas de las campañas más grandes jamás observadas.
Más de dos tercios (69%) de los ataques de email usando documentos maliciosos adjuntos, presentaban el nuevo ransomware Locky en el segundo trimestre, contra el 24% en el primer trimestre. Locky le quitó el puesto en la cima de los malware basados en correos electrónicos a Dridex. CryptXXX apareció en escena en el segundo trimestre y dominó el panorama de los exploit kit. Nuevas variantes de ransomware crecieron en un factor de cinco a seis desde el cuarto trimestre del 2015.
Los actores maliciosos condujeron campañas altamente personalizadas en escalas de decenas a cientos de miles de mensajes, un cambio de las campañas mucho más pequeñas previamente usando señuelos personalizados y dirigidos.
Fuente de información original.
Abusan de marca para distribuir malware
Investigadores de Proofpoint advierten que criminales están abusando de cuentas robadas o recientemente creadas de PayPal para enviar correos spam con enlace al troyano bancario Chthonic.
Como parte de esta campaña de distribución relativamente pequeña, algunos criminales fueron observados abusando del servicio de PayPal para “solicitar dinero” a los usuarios. La víctima recibiría un correo electrónico con el asunto “Tienes una solicitud de dinero”, lo cual ciertamente parecería legítimo, ya que es enviado por PayPal.
De acuerdo con Proofpoint, debido a que los mensajes no son falsos, los filtros de spam no los capturan y dichos mensajes fueron vistos cayendo en bandejas de entrada de Gmail, por ejemplo. Mientras que los investigadores no están seguros si el proceso de spamming es manual o automatizado, sí enfatizan el hecho de que el servicio legítimo de transferencia de dinero está siendo abusado para propagar malware.
El mensaje de solicitud de dinero reclama de que una transferencia ilícita de $100 dólares fue hecha a la cuenta de la víctima y que ese dinero debería ser regresado. El correo contiene un enlace de Goo.gl supuestamente llevando a una captura de pantalla que revela detalles de la supuesta transacción errónea y los criminales utilizan tácticas de ingeniería social para comprobar que la víctima haga click en el enlace sin sospecha.
Fuente de información original.
Ataques a la disponibilidad aumentan 83%
Hay malas noticias para los hackers de sombrero blanco en el segundo trimestre, ya que nuevas estadísticas apuntan a un incremento del 83% en ataques de DDoS para alcanzar casi 183,000 en los pasados tres meses.
La firma de mitigación de DDoS Nexusguard recolectó datos para su reporte de amenazas de dicho tipo de ataques de su colección de dispositivos vulnerables conectados a Internet y sus honeypots “híbridos darknet”.
NTP continuó liderando el montón en términos de vectores de reflección de ataques, al que se le atribuyen más de 85,000 ataques de DDoS. DNS no estuvo tan atrás con sólo más de 80,000 y juntos estos dos comprendieron la vasta mayoría de los ataques en este trimestre.
El ataque singular más grande fue dirigido a una compañía de telecomunicaciones rusa en la red Starlink, con más de 51,000 direcciones IP apuntadas a un “asalto implacable de dos días”, de acuerdo con el vendedor.
El ataque también logró afectar a una compañía de energía, un banco, un fabricante de dispositivos de salud, una clínica y los servicios de comunicación interna de la red Starlink, explicó Nexusguard.
Fuente de información original.
Descifran algoritmo de botnet
Investigadores de Arbor Networks, la división de seguridad de Netscout, recientemente lograron descifrar el altamente ofuscado algoritmo de generación de dominio (DGA) de Mad Max, un troyano que ha creado una botnet de máquinas infectadas en dieciséis países.
El malware en sí no ha sido detallado al momento, pero los investigadores lograron encontrar todos los dominios a los que se ha conectado desde inicios del 2015, así como los que supuestamente usará hasta finales del 2017. El análisis del troyano reveló algunos detalles de sus características, ciclo de vida de instalación y otras características, pero los investigadores de Arbor planean publicar estos detalles más adelante.
La familia de malware de Mad Max tiene detecciones genéricas en VirusTotal y fue observado dejando varios DLLs en las computadoras infectadas, las cuales son después ejecutadas por rundll32.exe. El malware usa ofuscación pesada para ocultar sus intenciones maliciosas, según los investigadores, revelando que el código del troyano consiste principalmente de instrucciones falsas, con sólo pequeñas secuencias de instrucciones reales insertadas en ciertos intervalos.
Fuente de información original.
Posible fuga de datos de tarjetas
Kimpton Hotels & Restaurants ha lanzado una investigación después de saber que cargos no autorizados han sido identificados en tarjetas de pago utilizados en sus propiedades.
Kimpton es una compañía basada en San Francisco que opera más de 60 hoteles boutique y más de 70 restaurantes, bares y lounges en 30 ciudades a través de los Estados Unidos.
El blogger de seguridad Brian Krebs supo a inicios de este mes de fuentes en la industria financiera que tarjetas usadas en casi dos docenas de hoteles Kimpton han estado involucradas en transacciones fraudulentas. La compañía publicó una declaración en su sitio web el sábado para informar a sus clientes de que ha iniciado una investigación y contratado a una firma de seguridad para proveer soporte.
Hasta que la investigación concluya, Kimpton ha aconsejado a sus clientes monitorear de manera cercana el estado de sus tarjetas de pago e inmediatamente notificar a su banco en caso de cargos no autorizados.
Fuente de información original.
Corrigen vulnerabilidades críticas
Siemens ha liberado actualizaciones de software para varios de sus productos de automatización industriales para corregir vulnerabilidades de severidad media y alta descubiertas por investigadores de varias compañías.
ICS-CERT y Siemens cada uno ha publicado tres comunicados separados para describir las fallas encontrados en los productos SIMATIC y SINEMA.
Antonio Morales Maldonado de InnoTec System, y Alexander Van Maele y Tijl Deneut de Howest han sido acreditados por encontrar una vulnerabilidad de cross-site scripting (XSS) en el servidor web integrado de SINEMA Remote Connect Server, una plataforma de administración de red remota.
La falla puede ser explotada por un atacante remoto al engañar al usuario para hacer que de click en un enlace especialmente creado. El problema afecta a las versiones previas a la 1.2, la cual resuelve el problema de seguridad.
Siemens también informó a sus clientes acerca de las tres vulnerabilidades encontradas en algunos de sus productos SIMATIC. Los sistemas SIMATIC WinCC SCADA y sistemas de control distribuido (DSC) PCS7 son afectadas por dos vulnerabilidades de alta severidad de validación inadecuada de entrada.
Recent Comments