Droppers de Locky Ransomware con extra de anti-Sanboxing

Recientemente un viejo conocido ha vuelto a las andadas. Se trata del Ransomware “Locky”, el cual hace cerca de un año estuvo muy activo a través de campañas de #Malspam (Correo Spam con la finalidad de instalar malware en el sistema de la víctima ) mayoritariamente con ficheros de scripting como “.js”, “.wsf” o “.vbe”. Desde entonces ha seguido manteniendo actividad, aunque en menor medida.
Recientemente han empezado una nueva campaña en la que utilizan ficheros .doc (MSOffice Word) con macros, como el siguiente:


[Read more…]

Facebook y la protección de datos: una de cal y una de arena

Hemos de admitirlo: hace tiempo que se sabe que los datos personales son el petróleo de la sociedad 2.0, y en este sentido Facebook es el emporio de la información de personal; sin duda es la red social que más datos almacena, gestiona y monetiza en la red.

Lo supo hace tiempo y por eso no es casual que en 2014 desembolsaran nada menos que 22.000 millones de dólares para adquirir WhatsApp. Los registros obtenidos con esa adquisición convirtieron a la red social en todo un coloso monopólico en el mercado de la información personal, y hemos de recordar que Facebook también es el dueño de Instagram.

Todos recordamos aquellas vehementes promesas de nuestro ilustre amigo de Palo Alto Marc Zuckerberg, garantizando públicamente que ambas plataformas no intercambiarían los datos de los usuarios ni habría sesiones de datos entre ambas. No sé si coincidirían con el día de los inocentes, pero inocente el que lo creyó. ¿Cómo se justificaría una inversión de 22.000 millones de dólares por una aplicación gratuita sin la explotación de la única fuente clara de ingresos?

También dijeron entonces que no tenían una forma “fiable” y automática de relacionar las cuentas de WhatsApp y Facebook de sus usuarios, y claro, como no le íbamos a creer…

El caso es que WhatsApp no tardó en cambiar las condiciones de uso para que debiéramos aceptar sin rechistar y sin opción al pataleo el intercambio de información con Facebook, no hubo alternativa, ni siquiera, desmarcando la opción de dar permiso a Facebook para obtener nuestros datos. El plazo para aceptar estas nuevas condiciones fue de treinta días, en caso de no ser aceptadas, se desactivaría la cuenta de WhatsApp. Toda una declaración de principios.

Para más inri, el texto legal correspondiente a la cesión de datos a Facebook aparecía junto a una casilla premarcada, algo que contradice de forma flagrante los requisitos del consentimiento legítimo que exige el nuevo reglamento.

[Read more…]

Essential Reading for the Security Professional

Hace ya algún tiempo, desde la cuenta de twitter @securityartwork lanzamos una petición para crear lista de libros imprescindibles en el ámbito de seguridad
(https://www.securityartwork.es/2016/02/12/recopilacion-de-algunos-libros-imprescindibles-para-aprender-seguridad-informatica-secbook)

Ampliando el post original y pensando en los que empiecen ahora sus vacaciones o dispongan de tiempo y ganas de buena lectura, os hacemos partícipes de Cybersecurity Canon, una iniciativa que lleva varios años promoviéndose desde Palo Alto Networks.

Como seguramente todos sabréis, Palo Alto Networks es una empresa de seguridad con sede en California, conocida principalmente, al menos en mi caso, por su firewall de nueva generación y por su equipo de investigación de amenazas UNIT 42 (https://www.paloaltonetworks.com/threat-research).

Como el nombre del post indica, esta iniciativa pretende identificar los libros de lectura obligatoria para todos los profesionales de la ciberseguridad, sean de ficción o no, y en la que cualquier profesional puede involucrarse. Para ello se puede escribir una revisión acerca de un libro relacionado con el ámbito de la ciberseguridad, la cual debe cumplir unos requisitos establecidos. De esta forma,  una vez se valida la revisión del libro, éste pasa a la lista de candidatos publicados en la web.

Todos los años desde Palo Alto, un comité de expertos revisa las publicaciones de la lista de candidatos y organiza un ‘salón de la fama’ donde, finalmente, durante una ceremonia se intenta entrevistar a los autores de los libros seleccionados.

Por ejemplo, dentro de la iniciativa podemos encontrar algunos clásicos como The Cuckoo’s Egg, The Cryptonomicon o la serie de Hacking Exposed.

¿Qué opinan los lectores de esta iniciativa? ¿Encuentran familiares los títulos de los libros nominados? ¿Se atreverían a publicar una revisión de sus libros favoritos? Esperamos vuestros comentarios.

[Read more…]

Tendencias de malware. Agosto 2017

Tras un breve descanso, desde el laboratorio de malware queremos volver a compartir una vez más con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros las siguientes gráficas, las cuales consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después, esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

La CCI rusa (XVIII). Conclusiones

Durante unos meses hemos publicado en SecurityArtWork una serie de posts sobre la ciberinteligencia rusa, que esperamos que os hayan gustado y hayan ayudado a comprender mejor las capacidades, grupos, estructuras, APT… rusas; sin duda, Rusia ha sido y sigue siendo uno de los principales actores en el ámbito de la seguridad, inteligencia y defensa (y obviamente en la ciberseguridad, ciberinteligencia y ciberdefensa… o ciber cosas en general) y, como tal, debemos conocerlo bien si trabajamos en estos temas.

Como hemos visto en esta serie, Rusia es una potencia mundial en muchos campos (como en su día lo fue la URSS) y sigue manteniendo reminiscencias soviéticas; el “Modo Guerra Fría”, al que hemos hecho referencia en diferentes posts, define a la perfección su estrategia actual en el ámbito ciber y en el manejo de la información que históricamente ha hecho el país, que se aplican en ese amplio concepto de information warfare al que también nos hemos referido en múltiples ocasiones, significativamente diferente al occidental y que incluye propaganda o decepción, por poner sólo unos ejemplos. Si Rusia es tu madre y tu madre está en peligro harás todo lo necesario para salvarla. Punto. No hay discusión posible.

  [Read more…]

Análisis de TrumpBot

(Este año no hemos publicado la habitual imagen de la playa como aviso de vacaciones, aunque creo que es evidente que no hemos estado mucho por aquí. Sea como fuere, ya estamos aquí de nuevo).... Leer Más

Security On Air (Episodio III)

Nuestro Episodio III ya está aquí, y parece que fue ayer cuando empezamos, nos estamos haciendo mayores… Vale, vale, tenéis razón, tener 3 episodios igual no es para ponerse así, toda la razón, pero estamos contentos con que el proyecto haya salido adelante y eso nos emociona. Bueno, eso y que el calor no ayuda a escribir con claridad.

En fin, que queríamos contaros que ya tenéis disponible nuestro Episodio III y que esperamos que os guste.

¿Qué os vais a encontrar en él?

[Read more…]

La CCI rusa (XVII): objetivos. España

La Primera Dirección General del KGB era la responsable de todas las operaciones del servicio fuera de la URSS; esta Dirección incluía departamentos focalizados en diferentes áreas geográficas del mundo, que constituían el núcleo operativo de la Dirección General, y que eran responsables entre otros cometidos de casi todas las empresas ligadas al KGB que operaban fuera de territorio soviético. Y dentro de estos departamentos geográficos, el Quinto se ocupaba de Francia, Italia, Países Bajos, Irlanda… y España. Sin duda no llegábamos al nivel de Estados Unidos y Canadá (Primer Departamento, ocupado en exclusiva por estos dos países) pero tampoco andábamos muy lejos, quizás en un segundo nivel. Por diferentes motivos que obviamente han ido cambiando a lo largo de los años, desde la Guerra Civil hasta nuestros días España ha sido un objetivo histórico (no el más prioritario, pero sí relevante) para la inteligencia soviética y ahora lo sigue siendo para la inteligencia rusa: desde el NKVD durante su tiempo de vida hasta los servicios actuales, pasando obviamente por el KGB desde mediados hasta finales del pasado siglo. Exactamente igual que la URSS, o Rusia en la actualidad, también es y ha sido un objetivo importante para Occidente: por ejemplo, no tenemos más que leer algo sobre la operación Mari, en los años 60 ([2]). ... Leer Más

Sobre galletas y biscochos

Una cookie es un pequeño conjunto de datos enviados desde un sitio web que se almacena en el navegador web del usuario, al navegar el usuario por ese sitio web.

Cuando un usuario accede a un sitio web que hace uso de las cookies por vez primera, se genera una cookie y se envía desde el servidor al navegador del equipo local donde se almacena (se almacena en el sitio del PC donde establezca el navegador que debe guardarse).

Más tarde, cuando el usuario vuelve a la misma página web, el sitio web reconoce al usuario por la cookie que almacena la información de dicho usuario, y que el navegador del usuario envía al servidor web a instancias de éste.

Las cookies fueron diseñadas para ser un mecanismo fiable para los sitios web a la hora de recordar la información de estado (tales como elementos de una cesta de la compra) o para registrar la actividad de navegación del usuario.

Aunque las cookies no son portadoras de virus y no pueden instalar malware en el equipo del usuario, representan un riesgo potencial para la intimidad de las personas, al poder acumular información de los hábitos de un usuario durante un período de tiempo grande, tales como qué tipo de artículos compra, las contraseñas, cuántas veces accede a su banco, número de tarjeta de crédito, una dirección, etc.
[Read more…]

Linux.Bew: un backdoor para el minado de Bitcoin

En el siguiente artículo vamos a analizar una muestra del binario catalogado por varias firmas antivirus como Linux.Bew. (Virustotal), malware de tipo ELF del cual hemos detectado actividad durante este último mes.

sha256: 80c4d1a1ef433ac44c4fe72e6ca42395261fbca36eff243b07438263a1b1cf06

Lo primero que podemos detectar es la extracción de información intrínseca del proceso haciendo uso del archivo /proc/self/exe, cuya información será remitida más tarde hacia el servidor C&C.

[Read more…]