Pazera, un troyano para entidades chilenas

Los creadores de malware no descansan, por tanto les comento que me llegó un correo con un nuevo malware bancario especialmente dirigido a múltiples entidades Chilenas, que llega a través de un correo que suplanta la Policía de Investigaciones de Chile y en un fichero comprimido.

El correo que recibe el usuario se hace pasar por el PDI (Policía de Investigaciones de Chile), con un mensaje alarmante: 

"Atencion Ciudadano, Citacion para comparecimiento ante el tribunal de justicia. - ( 82495995797  )
Atencion!
Citacion para comparecimiento ante el tribunal de justicia de la comunidad de maipu, en Audiencia publica No.005481101-2017 el Dia 13/01/2017. Numero de proceso N. 58118026 - 2017
Para mas informacion vea el anexo online en el siguiente sitio.
datos sobre citacion:: Vea_Aqui_Su_citacion_2017.zip
Copyright Policia De Investigaciones de Chile -PDI,
Departamento de Tecnologia e Informacion –"

En un principio, el archivo comprimido incluido contiene un archivo JavaScript ofuscado, de manera que es complejo entender su funcionamiento. Tras observar con detenimiento se tiene una idea clara de su comportamiento.

Fragmento de código ofuscado del Downloader (JS)

Lo primero de todo, es que se conecta a distintos puntos para obtener los archivos necesarios, siendo en este caso un archivo comprimido de nombre aleatorio y protegido con contraseña. Paralelamente, se descarga un archivo binario que en principio no presenta maldad alguna, concretamente un portable de 7-Zip. Este extractor se utiliza para descomprimir el binario final utilizando la contraseña “pazera2012”.

Rutas de descarga de los archivos (Downloader)

Al desofuscar un poco el código, también podemos ver las rutas utilizadas para guardar el binario final.

El modus operandi de este malware o “pazera”, por llamarlo de alguna forma, es el de inyectarse en Internet Explorer para obtener las credenciales que busca. En este caso, observa constantemente el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.  Podemos ver un ejemplo de lo que captura, en este caso se probó a buscar Santander Chile en Bing, sabiendo que Santander es una de las entidades afectadas, y vemos que la información es capturada por el malware...

Fragmento de capturas obtenidas por el Malware

Entre las entidades afectadas, se encuentran:

• ScotiaBank
• Banco Falabella (Chile)
• Corpbanca
• BBVA Chile
• Santander Chile

Con todo esto, los accesos remotos a los que conecta son de origen chino, por lo que es muy posible que un atacante de dicho país esté detrás de esta campaña.

Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.

Cómo y por qué revisar los permisos de las aplicaciones en Android

Para sacarle partido a nuestros teléfonos y tabletas instalamos un sinfín de aplicaciones con funciones de lo más diversas. Los permisos que necesitan las aplicaciones para funcionar nos dan una idea de lo que son capaces de realizar cuando las instalamos.

A menudo estas aplicaciones, a través de esos permisos, extraen de nosotros más información de la estrictamente necesaria para cumplir con la función que desarrollan.

Los usuarios somos “utilizados” por los programadores de las aplicaciones para recopilar información valiosa como nuestra agenda de contactos, las páginas que visitamos, la ubicación en la que nos encontramos, etc.

Hasta la versión 5 de Android, los usuarios podíamos ver esos permisos concedidos pero no podíamos limitarlos uno a uno. Es decir, podíamos instalar una determinada aplicación con todos sus permisos o renunciar a hacerlo si considerábamos que alguno no nos convenía.

Pero desde la versión 6 de Android, podemos revisarlos y decidir cuáles queremos mantener activos o y cuáles no.

¿Por qué revisar los permisos?

Si solo instalamos aplicaciones procedentes de la tienda oficial Google Play, podemos suponer que no traen ocultas funciones maliciosas ya que pasan por controles de seguridad para evitarlo. En ese caso, la razón principal para realizar esta comprobación sería la privacidad de nuestros datos.

• Privacidad. Muchas aplicaciones, aunque no lleguen a ser maliciosas, aprovechan para recoger toda la información posible del usuario y el dispositivo. Las razones pueden ser varias, como la venta a terceros de listas válidas de contactos que luego utilizarán para el envío de correos masivos o el rastreo de nuestra posición para conocer hábitos y focalizar la publicidad.

Pero si además somos de los que nos arriesgamos instalando aplicaciones procedentes de tiendas no oficiales, las razones por las que revisar los permisos que concedemos aumentan. Como por ejemplo:

• Robos de archivos. Si concedemos permisos para acceder a nuestros archivos a una aplicación malintencionada, incluidas nuestras fotos, podría robarlas y utilizarlas con cualquier fin.
• Cámara y micrófono. Una aplicación podría utilizar nuestra cámara y micrófono para espiarnos de forma indetectable y transmitir la información a cualquier lugar.
• SMS y teléfono. Dar permisos para acceder al teléfono y SMS puede ser muy arriesgado. Podría realizar llamadas o enviar mensajes con coste económico para nosotros sin ni siquiera advertirlo, además del problema que supone que puedan suplantar nuestra identidad. Son conocidos los casos en que aplicaciones maliciosas envían mensajes en nuestro nombre para suscribirnos a servicios de SMS Premium.

¿Cómo limitar los permisos en Android?

1. Podemos revisarlos aplicación por aplicación. Para ello seguiremos la secuencia ‘Ajustes > Aplicaciones > APP requerida > Permisos’.
   
   Por ejemplo, para la aplicación Instagram, sería suficiente con autorizar tres de los siete permisos que solicita. Nos permitiría usarla, aunque con limitaciones en la identificación de nuestros contactos.
   
   Y en el caso de MyTaxi, podemos prescindir de autorizar también “Contactos” sin ningún problema.
   

2. O revisarlos por tipo de permiso
   Desde ‘Ajustes > Aplicaciones’ pulsaremos sobre el icono de configuración y después sobre Permisos de aplicaciones.
   
   Veremos una pantalla donde aparecen todos los permisos mostrando el número de aplicaciones a las que se los hemos concedido frente al número de las que lo han solicitado.
   
   Si pulsamos en uno de los tipos de permisos, accederemos a una pantalla donde revisar todas las aplicaciones que lo solicitan y desde la cual podemos activarlo o desactivarlo.
   Este último modo resulta interesante para comprobar el número de aplicaciones instaladas que solicitan permisos más arriesgados, como la cámara, el teléfono, SMS, etc. y seleccionar con facilidad si se lo queremos conceder o no.

Para saber más sobre todos los permisos de Android y lo que implican, podemos revisar la información que proporciona Google al respecto.

Los tres mayores peligros a los que se enfrenta Internet según el creador de la Web

Tim Berners-Lee, el científico británico conocido como el padre de la Web, ha enunciado tres peligrosas tendencias actuales de la Red y señala que su futuro depende de nososotros mismos.

Se cumplen 28 años desde la creación de la plataforma de información más amplia de toda la historia, la World Wide Web o red informática mundial. En el marco de esta celebración y de las recientes revelaciones de WikiLeaks sobre espionaje de los servicios de Inteligencia estadounidenses, el creador de la Web nos advierte en una carta abierta de las peligrosas tendencias que se asoman desde la Red:

1. Hemos perdido control de nuestra información personal. Berners-Lee manifiesta que el modelo de negocios actual de muchos sitios web ofrece contenido gratuito a cambio de nuestra información personal. Denuncia que muchas veces no tenemos manera de decir a las empresas qué información preferiríamos no compartir, sobre todo con terceros, ya que los términos y condiciones de uso se aceptan en su totalidad o se deben rechazar.
2. Es muy fácil difundir información errónea en la Red. Hoy en día, la mayoría de personas encuentran noticias e información en sitios web, redes sociales y motores de búsqueda. Según el científico, a través del uso de las ciencias de datos y de ejércitos de bots se puede difundir masivamente información errónea y obtener beneficios económicos o políticos.
3. La publicidad política en línea necesita transparencia. El hecho de que la mayoría de la gente obtenga su información de apenas un puñado de plataformas y la creciente sofisticación de los algoritmos que sacan provecho de abundantes reservas de información personal hacen que hoy en día las campañas políticas tiendan a elaborar anuncios cada vez más personalizados que llegan directamente a los usuarios. ¿Es esto democrático?, se pregunta el pionero.

El científico británico concluye diciendo que planea continuar aportando soluciones a estos problemas de la mano de la Fundación World Wide Web que dirige, a la vez que señala que construir la Red que queremos depende de nosotros mismos.

MICROSOFT PUBLICA 18 BOLETINES Y FINALMENTE CORRIGE LA VULNERABILIDAD EN SMB

Ayer, en un nuevo martes de actualizaciones, Microsoft publicó 18 boletines de los cuales nueve corrigen vulnerabilidades críticas. El MS17-010 fue quizá el más esperado, porque resuelve un conjunto de vulnerabilidades en Windows entre las que se encuentra una particularmente severa, que podría permitir la ejecución remota de código si el atacante envía mensajes especialmente diseñados a un servidor Server Message Block 1.0.

Decimos que fue esperado porque esta solución debió haberse incluido en las actualizaciones del mes pasado, pero en ese entonces Microsoft demoró su clásico Patch Tuesday debido a un “problema de último minuto” que no se había resuelto a tiempo. Lo preocupante fue que se encontraba abierta la mencionada vulnerabilidad en el manejo de tráfico SMB, para la cual se había publicado un exploit la semana anterior.

Ahora que pasó un mes, la compañía finalmente lanzó el parche correspondiente, por lo que se recomienda a todos los administradores de sistemas actualizar cuanto antes, aplicando este y los demás parches disponibles. En total, se corrigieron 140 fallas.

Claro que se deben establecer prioridades ante la cantidad de agujeros a cubrir. El foco debería estar puesto en las vulnerabilidades críticas para las que se publicaron exploits, a las que corresponden los boletines MS17-013, MS17-006 y MS17-012; luego, en las consideradas críticas y posteriormente las señaladas como “Importantes”.

Además, en el parche MS17-013 Microsoft corrigió una docena de fallas en la interfaz de programación de aplicaciones Graphics Device Interface (o GDI), usada en Office, Skype, Lync y Silverlight. El problema radicaba en la forma en que Windows maneja ciertos archivos de imagen, falla que los atacantes podrían explotar para hacer que los usuarios visiten sitios trampa o abran un documento infectado, sin que se requiera demasiada interacción adicional.

Tal como señala The Hacker News, el equipo Project Zero de Google había revelado esta falla con una prueba de concepto de un exploit el mes pasado, antes de que Microsoft pudiera corregirla. Lo mismo hizo con otro bug en los navegadores Internet Explorer y Edge, que ocasionaba que si el usuario visitaba un sitio malicioso el programa colapsara y luego ejecutara código.

Sin embargo, todos estos problemas parecerían estar resueltos con el nuevo paquete de actualizaciones.

MICROSOFT NO ES LA ÚNICA QUE PUBLICÓ ACTUALIZACIONES

Por su parte, Adobe también publicó actualizaciones para sus productos Adobe Flash Player y Shockwave Player; en el primero se corrigieron al menos siete vulnerabilidades. Según la compañía, se trata de fallas críticas que podrían permitir a un atacante tomar el control del sistema afectado.

Nuevamente, se recomienda a usuarios y administradores que apliquen los parches APSB17-07 y APSB17-08 para evitar que sus sistemas Windows, macOS, Linux y Chrome OS queden expuestos.

Finalmente, VMware puso a disposición el boletín VMSA-2017-0005 para corregir una vulnerabilidad en Workstation y Fusion.

Biometría de voz: Seguridad y efectividad a la hora de elegir un método de identificación bancaria

Cerca del 18% de los usuarios de cuentas virtuales se ha enfrentado a un intento de hackeo en sus cuentas. El último estudio realizado por de Kaspersky Lab reveló que las personas ponen en peligro su seguridad en Internet al hacer malas elecciones de contraseñas y erróneamente seleccionar aquellas que son simples, lo que puede traer consecuencias de gran trascendencia. 

A esto se le agrega, que cerca de un 17% de los usuarios utiliza los primeros seis números del teclado, es decir, “123456" para acceder a su mail, a sus redes sociales y hasta sus cuentas bancarias online. Este fenómeno se produce debido a que las personas utilizan en promedio 22 contraseñas, las cuales se repiten con el fin de no olvidarlas, trayendo como consecuencia que experimenten uso fraudulento de sus datos personales y robo de identidad. 

Un recurso novedoso y de alta efectividad, utilizado últimamente por las instituciones bancarias del mundo, es la Biometría de voz, un sistema de última generación que permite validar la identidad de la persona que desea hacer una transacción, con un nivel de certeza muy cercano al 100%.

La biometría de voz tiene múltiples aplicaciones. En el mundo bancario se puede utilizar en dos formatos. El primero, y el más rápido, se realiza mediante la grabación y codificación de una frase única, que, al momento de realizar una transacción, es contrastada con la voz real de la persona que se desea identificar. La segunda opción es igual de efectiva pero un poco más lenta y consiste en mantener una conversación con un ejecutivo y mientras ésta se desarrolla, el sistema identifica al cliente.

En muchas partes del mundo se ha implementado este sistema; USA, Taiwán, Israel, Australia, Hong Kong y Singapur son algunos de los países en los que se ha utilizado este método antifraude. En Latinoamérica también se está poniendo en marcha este sistema con resultados favorables. En México, por ejemplo, Sixbell ya implementó esta tecnología con éxito en varios bancos y otro tipo de instituciones, siendo el primer país de América Latina en disponer de este servicio, contando a la fecha con más de 5 millones de usuarios.

Según el último estudio realizado por la empresa de seguridad Gemalto, en la banca en línea las contraseñas siguen siendo el método de autenticación más común: son utilizadas por el 84 % de los usuarios para banca en línea y por el 82 % para banca móvil. Lo que últimamente se ha vuelto problemático debido al aumento de fraudes bancarios. Durante el año 2015, en Chile, las denuncias por este delito subieron de 17.683 a 34.359, es decir, que hubo un incremento del 94%.

Para Rodrigo Strauss, Gerente de Marketing y Productos de Sixbell, la implementación de Biometría de voz en México ha significado una mejora en la seguridad junto a la disminución de los delitos bancarios, provocados por el uso de contraseñas de identificación.

“Nuestros clientes que han implementado la solución de Biometría han disminuido considerablemente los fraudes, generando importantes ahorros, además de generar una experiencia de verificación agradable, sin preguntas, lo que se traduce en un aumento del NPS (Net Promoter Score). Tener una “clave” vocal dificulta el fraude y baja considerablemente las posibilidades de sufrir un delito bancario”.

Nuevo centro de ciberseguridad de Microsoft protegerá a todos los latinoamericanos

Para reforzar su compromiso de ayudar a las personas, empresas y países de la Región a continuar su camino hacia la transformación digital, Microsoft lanza en México el Centro de Ciberseguridad, el cual es parte de la iniciativa global que tiene como propósito presentar la perspectiva única de la compañía en materia de seguridad informática, resultado no sólo de varias décadas de experiencia en el desarrollo y mejora continua de software, sino además, de la operación de una de las plataformas de cómputo en la nube más robusta y confiable de la industria.

Es por ello que en Microsoft se tiene la fuerte creencia de que el punto de partida es tener una postura permanente frente a la seguridad operacional, lo que además implica un ejercicio constante de la misma. Esto se concreta en un esquema en que se enfoca la empresa de proteger, detectar y responder ante las amenazas de seguridad.

“En Microsoft tenemos el compromiso de invertir para acercar nuestras capacidades de ciberseguridad a los clientes, identificando amenazas actuales que afecten la prosperidad de la economía. Con la apertura de este Centro de Ciberseguridad ofreceremos protección, detección y solución contra ataques y riesgos de seguridad a empresas y gobiernos”, explicó Jorge Silva, Director General de Microsoft México.

Este centro dará servicio a México y países de América Latina, mismo que brindará funciones como:

• Aprovechar el papel proactivo de Microsoft en materia de combate al cibercrimen, en particular en el desmantelamiento de las organizaciones criminales que operan a través de esquemas de Botnet.

• Permitir a expertos en seguridad cibernética de México y América Latina trabajar con especialistas de Microsoft para combatir en conjunto el cibercrimen.

• Fungir como sede para desarrollar actividades de capacitación, dirigidas a autoridades y sector público en general, para apoyar la generación y fortalecimiento de capacidades técnicas.

“Este nuevo espacio trabajará en conjunto con la Unidad de Crímenes Cibernéticos de Microsoft, ubicada en Redmond, Washington. El objetivo es apoyar a las compañías y gobiernos con soluciones de seguridad, que los ayuden en su transformación digital, con el respaldo internacional de inteligencia, análisis de datos, forenses de vanguardia y estrategias legales que ofrecemos”, agregó Jean-Phillipe Courtois, Vicepresidente Ejecutivo y Presidente de Operaciones, Ventas y Mercadotecnia Microsoft Corp, durante su visita al Centro de Ciberseguridad en la Ciudad de México.

Aunado a la apertura de este espacio, Microsoft y el gobierno mexicano, a través de la Policía Federal, firman un Programa de Seguridad Gubernamental, el cual refuerza la labor de Microsoft con la Policía Federal para realizar acciones enfocadas en investigación tecnológica, con el fin de promover la seguridad informática, así como la prevención y combate de delitos a través de la red.

“Con la apertura del centro acercamos cada vez más a clientes la oferta de seguridad de Microsoft, para ser parte estratégica de su transformación digital y logremos en conjunto un país y una región más próspera, productiva y sobre todo segura”, finalizó Jorge Silva Luján, Director General de Microsoft México.

Google fortificará la seguridad en la navegación de Chrome para Mac

Google está haciendo más robusta su protección en Chrome contra el malware que afecta a terminales Mac. durante varios años Google ha estado restringiendo tentativas de cambiar la configuración de Chrome en Windows y ahora hará lo mismo en la plataforma de escritorio de Apple como parte de un esfuerzo por acabar con el malware y los inyectores de anuncios. Para llevar a cabo estos cambios  Google cuenta con un plan conformado por dos pasos. El primero de ellos se basa en una API de ajustes de Chrome para Mac y el segundo paso se centre en la realización de una búsqueda segura, avisando al usuario de cuándo podría estar entrando en una página no segura.

Tal como explica Google, su API de ajustes ofrece una alternativa para anular la modificación en los ajustes del navegador que algunas extensiones provocan, esto tiene como objetivo que los usuarios tengan un absoluto control sobre los ajustes de su navegador. En un futuro la API desarrollada por Google será la única autorizada para realizar cambios en la configuración de Chrome para Mac OS X, esto no es ninguna novedad para los usuarios de Windows ya que la API se implementó en sus sistemas en 2014. Google recuerda a los desarrolladores que las únicas extensiones que podrán realizar cambios en la configuración serán aquellas que se puedan encontrar en la Chrome Web Store y estén verificadas.

Figura 1: mensaje mostrado por Chrome en Windows
La navegación segura que Google tiene como finalidad detectar cualquier intento de inyectar anuncios en páginas web, evitar los intentos de modificar la página de inicio de Chrome y su navegador por defecto. Esta nueva medida de seguridad comenzará a ser efectiva a partir del 31 de marzo de 2017 cuando Chrome comenzará a advertir a los usuarios de que se están llevando a cabo intentos de modificar los ajustes de Chrome sin utilizar su API. Sin duda este es un gran paso a la hora de facilitar una navegación más segura y concienciar a los usuarios del riesgo que se corre al entrar en determinadas páginas.

Según expertos habrá más malware para mcOS en 2017

Según varios estudios el malware para Mac seguirá aumentando, el sistema operativo de escritorio de Apple podría no estar preparado para afrontar la situación, tal como han afirmado algunos expertos en la conferencia RSA que tuvo lugar en San Francisco hace unos días. Amit Cybereason investigador de Serper asegura que MacOS es tan vulnerable como cualquier otro sistema operativo y que las amenazas que están llegando a Mac cada vez son más y son fáciles de explotar gracias a los avances en la ingeniería social.

Con en aumento en las medidas de seguridad también aumenta el malware, recientemente ha incrementado el número de casos en el que un malware engaña a los usuarios de macOS para que instalen herramientas gratuitas o software cuyo origen no es legítimo y podría dañar nuestros equipos, es muy importante que solo se utilicen herramientas o antivirus oficiales y de fiar.

Hoy en día abundan los scareware que por medio de anuncios y ventanas emergentes te aseguran que la seguridad de tu equipo está comprometida y que debes instalar una herramienta para solucionar el problema cuando tu equipo en realidad no está infectado. Para evitar caer en estas trampas Wardle ha creado una serie de herramientas para Mac que podréis obtener de forma gratuita en su página web, independientemente Wardle también recomienda el uso de LittleSnitch, un sistema de firewall para macOS que cuesta 35 dólares.

Figura 1: Bypass Gatekeeper
Uno de los principales problemas a los que se enfrenta Mac es que cualquiera que disponga de una tarjeta de crédito con 99$ en ella puede obtener un certificado de desarrollador de Apple y la posibilidad de firmar software, gracias a esto se podría evadir Gatekeeper e instalar software malicioso. Además de esto Wardle y el investigador alemán Stefan Esser encontraron una brecha de seguridad en XProtect, el software antivirus que incorpora Mac, el cual aseguran esta anticuado haciendo que se pueda llegar a obtener privilegios root.

El gran aumento de usuarios de Mac ha provocado un incremento en el número de atacantes que ven un mundo de posibilidades para encontrar vulnerabilidades y explotarlas en este sistema operativo. En el pasado 2016 un ramsonware fue capaz de infectar muchos equipos a través de la instalación de versiones corrompidas de BitTorrent Transmission, lo que nos recuerda el cuidado que debemos de tener al instalar cualquier programa en nuestros equipos.