Nuevo scam en Facebook promete “video impactante” pero solo es malware

Los usuarios de Facebook están expuestos a un nuevo engaño que los invita a hacer clic en un falso mensaje. Su contenido es un ‘video impactante’ que supuestamente los dejará boquiabiertos, según informa Hackread.

La publicación trata de atraer a las víctimas con el titular “[Shocking video] When you see what happens to this pregnant lady at the beach, your jaw will drop”, que podríamos traducir como “[Impactante video] Cuando vea lo que pasa con esta señora embarazada en la playa, su mandíbula caerá”. Pero al hacer clic, se lleva a los usuarios a una página falsa de Facebook que les pide compartir el contenido antes de verlo- ¡qué sorpresa!

Si el usuario aún no había caído en la cuenta de que está siendo engañado, el post luego lo redirige a otras páginas falsas que intentan robar su información personal.Además, también se les puede pedir que descarguen actualizaciones a su reproductor de video para ver el clip, que en realidad infecta al navegador con malware que puede mostrar más spam y comprometer la seguridad del equipo.

Como señaló Hoax Slayer, los datos capturados probablemente son vendidos a empresas de marketing, dando lugar a llamadas telefónicas no deseadas, correos electrónicos y cartas promocionales dirigidas a la víctima. Los criminales detrás de la estafa, por su parte, ganarán una comisión sobre cualquier dato capturado como resultado de la entrada.

Al igual que cualquier otro scam en Facebook de este tipo, las víctimas nunca llegan a ver el video, sin importar cuántas páginas intenten sortear. Irónicamente, en este caso, el video real está disponible para ver en YouTube (y libre de malware), aunque puede que se sientan decepcionados: es mucho menos impactante de lo anunciado.

Los scams son moneda corriente en las redes sociales y, según David Harley de ESET, se están volviendo mucho más difíciles de identificar incluso para el ojo entrenado. “Si bien a veces se puede identificar un correo falso a la distancia, algunos son técnicamente más sofisticados. Los bancos y empresas también hacen más fáciles las cosas para los scammers, usando lenguaje que ellos también usarían, y enlaces embebidos que no son claramente identificables con los del propio dominio de la institución. Esto hace más difícil para un lector sin experiencia o conocimiento especializado saber distinguirlos e identificar al legítimo”, explica.

Cuando se trata de detectar enlaces dudosos en las redes sociales, cómo darse cuenta de que una historia es falsa.

Autor Kyle Ellison, ESET

EquationDrug: Sophisticated, stealthy data theft for over a decade

ramnit-header-imagecredsymantec.jpg
Far beyond the capabilities of traditional cybercriminals, The Equation Group’s EquationDrug platform is used to target select victims worldwide.

Kaspersky has published additional details concerning The Equation Group’s toolset, and has revealed the EquationDrug cyberespionage platform as a potent and long-lasting campaign.

Originally revealed at the Kaspersky Labs Security Analyst Summit in February, the security firm said a cybercriminal group dubbed “The Equation Group” surpasses all others in complexity and techniques. Deemed the “ancestor” of Stuxnet and Flame, as Zero Days were used by The Equation Group before other threat actors — and potentially shared by them — additional details concerning the group’s activities now suggest the group may have been in operation since the 1990’s.

According to Kaspersky Lab researchers, The Equation Group uses expensive tools and sophisticated Trojans to steal data from their victims, and they also use “classic” spying techniques to deliver malicious payloads. Tools used by the group include EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny and GrayFish.

The threat actors use a command and control (C&C) center compromising of over 300 domains and more than 100 servers hosted in countries including the US and UK. One part of the network is EquationDrug, a full cyberespionage platform which dates back to 2003. Kaspersky says EquationDrug is the main platform used by the group in cyberespionage. EquationDrug is the main platform used by the group in cyberespionage.

EquationDrug includes a framework which allows specific modules to be deployed on the machines of victims. The platform can be extended through plugins and modules, but is pre-built with a default set of plugins which support basic spying activities — such as file theft and screenshot capture.

However, the EquationDrug platform does show elements of sophistication through the storage of stolen data inside a custom-encrypted virtual file system before it is sent to the C&C center.

When it comes to platform architecture, EquationDrug includes dozens of executables, configurations and protected storage locations. EquationDrug resembles a “mini operating system,” according to Kaspersky, due to the use of kernel-mode and user-mode components which interact with each other via a custom message-passing interface. The platform also includes a set of drivers, a platform core and individually labeled plugins. Some modules are statically linked to the platform core, while others load on demand, according to the team.

equationdrug1.jpg

To date, Kaspersky has uncovered 30 unique plugin IDs, but admits that up to 86 other modules are still in the wild and have yet to be discovered.

“The plugins we discovered probably represent just a fraction of the attackers’ potential. Each plugin is assigned a unique plugin ID number (WORD), such as 0x8000, 0x8002, 0x8004, 0x8006, etc. All plugin IDs are even numbers and they all start from byte 0x80. The biggest plugin ID we have seen is 0x80CA,” Kasperksky says.

The most interesting modules which have been uncovered to date contain functions such as network traffic interception and rerouting and reverse DNS resolution. In addition, some modules focus on computer management and are able to start and stop processes, load drivers and libraries, and gather information about a victim including OS version, location, keyboard layout and timezone. Other interesting functionalities include:

  • Collection of cached passwords.
  • Enumeration of processes and other system objects.
  • Monitoring live user activity in web browsers.
  • Low-level NTFS filesystem access based on the popular Sleuthkit framework.
  • Monitoring removable storage drives.
  • Passive network backdoor (runs Equation shellcode from raw traffic).
  • HDD and SSD firmware manipulation.
  • Keylogging and clipboard monitoring.
  • Browser history, cached passwords and form auto-fill data collection.

The Equation Group is not the only threat actor to use an espionage platform. Regin and Epic Turla also use the same tactic in their campaigns.

An analysis of the platform suggests that developers are English-speaking. However, as noted by Kaspersky, there is a limit number of text strings so its hard to tell if the developers were native. Kaspersky also says the working hours of Equation developers tend to be within the Monday to Friday bracket, and in the UTC timezone, hours worked appear to relate to the traditional 9-5 working day.

EquationDrug has been in use for at least the past 10 years, but considering the existence of components designed to run on Windows 9x, the security researchers believe The Equation Group may have been in operation since the 1990’s. The platform, potentially used by nation-state attackers considering its sophistication, budget and size, separates itself from traditional cybercriminals due to the groups’ sophisticated framework and selection of particular victims. Kaspersky says:

“It is clear that nation-state attackers are looking for better stability, invisibility, reliability and universality in their cyberespionage tools. You can make a basic browser password-stealer or a sniffer within days. However, nation-states are focused on creating frameworks for wrapping such code into something that can be customized on live systems and provide a reliable way to store all components and data in encrypted form, inaccessible to normal users.

While traditional cybercriminals mass-distribute emails with malicious attachments or infect websites on a large scale, nation-states create automatic systems infecting only selected users. While traditional cybercriminals typically reuse one malicious file for all victims, nation-states prepare malware unique to each victim and even implement restrictions preventing decryption and execution outside of the target computer.”

Fuente: http://www.zdnet.com/

 

Guerra virtual ‘en vivo’: Crean un mapa de ciberataques en tiempo real

Honey Maps

Honey Maps

HoneyNet Project, una organización sin fines de lucro, creó un mapa que muestra en tiempo real una parte de los ciberataques que tienen lugar por todo el mundo.
Llamado ‘HoneyMap’, el mapa se ubica en el portal map.honeynet.org.  Para su funcionamiento utiliza la información obtenida por varios sensores denominados ‘honeypot’ (señalados en amarillo) que simulan ser equipos vulnerables para poder registrar los ataques.

¿Cómo funciona?

En cuanto el atacante ve un ordenador miembro de una red convencional desprotegido, aprovecha la oportunidad de realizar el ciberataque e ingresa o envía ‘malware’ al ordenador. Debido a que el último está especialmente preparado para ello, detecta el origen del paquete, analizando las IP atacantes.

En unos instantes las señales capturadas se envían al mapa mostrando en color rojo su procedencia.

Mucho por hacer

La mayoría de las personas ni siquiera sospechan que sus equipos están infectados”

El proyecto, que muestra actividad constante en Rusia, América Latina, EE.UU. y Europa, está integrado tanto por el trabajo de los ‘hackers’ a cargo de HoneyNet Project, así como por miembros voluntarios que participan en el proyecto.

Sus creadores, Florian Weingarten y Mark Schloesser, residentes de Alemania, afirman que su proyecto es “altamente experimental” y que por ahora no es muy representativo, ya que de momento sólo se publica una pequeña parte de todos los ciberataques.

“La mayoría de las personas ni siquiera sospechan que sus equipos están infectados”, aseguró Weingarten. “Atacan a otros sistemas sin saberlo. Así que la lección a aprender es: ¡mantengan su propio sistema seguro!”.

Prueba de Penetración (PenTest)

La Prueba de Penetración (Penetration Test o PenTest en Inglés) consiste en una evaluación activa de las medidas de seguridad de la información. El propósito es detectar los puntos débiles que puedan ser capitalizados para violar cualquiera de las tres condiciones necesarias de la información: confidencialidad, integridad y disponibilidad.

Generalmente, las vulnerabilidades potenciales resultan de: fallas en el software, de configuraciones inapropiadas de los sistemas,  de la operación deficiente en los procesos o protecciones técnicas y del factor humano.

La Prueba de Penetración se realiza desde la posición de un atacante potencial de manera remota y local, buscando explotar activamente las vulnerabilidades de seguridad para obtener información relevante. Tal como lo intentaría un intruso con propósitos adversos para la organización, pero sin dañar la información, sistemas e infraestructura informática.

En código verde nos distinguimos por realizar las Pruebas de Penetración evaluando la gente, procesos, tecnología, controles técnicos y administrativos. Nuestro método es exhaustivo y por lo tanto más certero.

¿Qué beneficios aporta una Prueba de Penetración?

  • Se determina la factibilidad real de un ataque y su impacto en el negocio.
  • Provee la información necesaria para enfocar la implementación de controles de seguridad y mitigar los riesgos descubiertos.
  • Eleva la conciencia de la alta gerencia acerca de la seguridad de la información.

Entregables

  1. Clasificación y priorización de las vulnerabilidades encontradas
  2. Crónica del ataque
  3. Evidencias obtenidas durante la penetración
  4. Plan de remediación
  5. Recomendaciones para elevar el nivel de Seguridad Informática
  6. Presentación para la Alta Dirección
  7. Presentación Técnica

Principales razones para realizar una Prueba de Penetración:

  1. Es el método más efectivo para determinar el nivel real de seguridad de la información. Sólo con un ataque simulado es posible identificar las vulnerabilidades que plantean riesgos significativos para la organización, tales como:
    • Pérdidas financieras por fraude (hackers, extorsión o empleados molestos) o debido a sistemas de información y procesos poco confiables.
    • Pérdida de confianza de los clientes o cualquier otra parte interesada.
    • Crisis de relaciones públicas si el caso trasciende a los medios masivos.
  2. Ofrece un punto de vista independiente y analítico por un tercero, enriqueciendo la labor del equipo interno responsable de la seguridad de la información.

5 Mejores Herramientas – Seguridad y Hacking

En general, todas estas herramientas que describiremos a continuación son herramientas de seguridad y hacking. Estas se utilizan para fines tanto legales como ilegales, y por lo tanto, la mayoría de las personas piensan que estas herramientas son solo utilizadas por hackers maliciosas (algo totalmente fuera de la realidad), cuando en realidad están diseñadas para ayudar a los administradores y profesionales de seguridad a asegurar las redes y los sistemas de información.

1.-Nmap

nmap

Nmap (“Network Mapper”) es una herramienta gratuita de código abierto para la exploración de la red o la auditoría de seguridad. Fue diseñado para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y la versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) se están ejecutando, qué tipo de filtros de paquetes o cortafuegos están en uso, y docenas de otras características. Nmap se ejecuta en la mayoría de los ordenadores y la consola y versiones gráficas están disponibles. Nmap es libre y de código abierto.

Clic aquí descargar la versión de Linux

Clic aquí para descargar la versión de Windows

2.-John the Ripper

jhonthe ripper

John the Ripper es esencialmente una herramienta de descifrado de contraseñas que se desarrolló para sistemas tipo UNIX. También sus desarrolladores han extendido su apoyo a los sistemas Windows y MAC.

El software es utilizado por muchos usuarios para probar la fortaleza de la contraseña elegida. Obviamente, esta herramienta también puede ser usada para descifrar las contraseñas y entrar en un sistema. Es compatible tanto con ataque de diccionario (probando todas las palabras en el diccionario, de ahí que nunca se debe elegir una palabra que se ha encontrado en el diccionario) y ataque de fuerza bruta (en este caso todas las posibles combinaciones son juzgados – por lo tanto, si usted elige una contraseña que es alfanumérico y largo plazo, será difícil romperlo).

Clic aquí para descargar la versión de Linux

Clic aquí para descargar la versión de Windows

3.-Wireshark

wireshark

Wireshark es un programa analizador de protocolos de red o sniffer, que le permite capturar y navegar de forma interactiva por los contenidos de los paquetes capturados en la red. El objetivo del proyecto fue crear un analizador de calidad comercial para Unix. Funciona muy bien en Linux y Windows (con una interfaz gráfica de usuario), fácil de utilizar y puede reconstruir flujos TCP / IP y VoIP!

Clic aquí para descargar la versión de Linux

Clic aquí para descargar la versión de Windows

4.-NetStumbler

netstunbler

NetStumbler es una herramienta de detección de redes inalámbricas para Windows. NetStumbler es una herramienta para Windows que permite detectar redes de área local (WLAN), usando 802.11b, 802.11ay 802.11g.

Algunos de los usos de esta herramienta son:

  • Verificar que su red esta configurada de la manera segura.
  • Buscar lugares con baja cobertura en su WLAN.
  • Detectar otras redes que puedan estar causando interferencias en la red.
  • Detectar AP no autorizados “rogue” en su lugar de trabajo.
  • Ayudar a apuntar antenas direccionales para enlaces de larga distancia WLAN.

El equivalente de NetStumbler para Linux se llama Kismet.

Clic aquí para descargar la versión de Linux (Kismet)

Clic aquí para descargar la versión de Windows

5.-Metasploit

metasploit_logo

El Proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre las vulnerabilidades, ayuda en las pruebas de penetración y en la ejecución de la explotación de vulnerabilidades de seguridad. Metasploit representa un conjunto de herramientas que ayuda a los profesionales de seguridad y hacker a llevar a cabo ataques informáticos de manera sistematizada y automatizada.

Su más conocido sub-proyecto es el marco de código abierto Metasploit, una herramienta para el desarrollo y ejecución de código de explotación en contra de un equipo o sistema de información destino remoto. Otros importantes sub-proyectos son la base de datos Opcode, archivo shellcode, e investigaciones de seguridad.

Clic aquí para descargar la versión de Linux

Click aquí para descargar la versión de Windows

Recuerda que para prevenir estos ataques no basta con el conocimiento teórico sino ponerlo en practica, para prevenir ser victima de algun metodo de hacking te recomendamos tomes tus medidas de seguridad. Si consideras que este articulo agrega valor a tu vida, te invito a compatirlo con todas aquellas personas que les pueda interesar ser mejores profesionales.