Noticias sobre Virus

Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com
  1. Así te ayudan los DNS de Cloudflare a proteger tu privacidad



    https://www.redeszone.net/app/uploads/2018/04/Seguruidad-DNS-DNSSEC.jpg?x=634&y=309

    Seguridad DNS DNSSEC



    El pasado 31 de marzo de 2018, el conocido CDN Cloudflare estrenaba sus nuevos servidores DNS: 1.1.1.1 y 1.0.0.1. Estos nuevos DNS buscan competir directamente con los de Google (los conocidos 8.8.8.8 y 8.8.4.4) ofreciendo a los usuarios unos servidores que realmente respeten su privacidad y, además, cuenten con las últimas herramientas de seguridad que protejan este tipo de peticiones al servidor, protegiendo a los usuarios de distintos ataques informáticos basados en la resolución de nombres de dominio.



    Simplemente por introducir una URL en nuestro navegador ya estamos poniendo en peligro nuestra seguridad y nuestra privacidad. Esto se debe a que la mayoría de los usuarios utiliza servidores DNS que no son completamente seguros y no ofrecen un cifrado de extremo a extremo, permitiendo, por ejemplo, que nuestro ISP pueda saber las páginas web que visitamos, que los gobiernos conozcan nuestros intereses, las webs que visitamos y puedan seguir nuestra actividad en la red, e incluso que grandes empresas como Google, cuya principal fuente de ingresos es la publicidad personalizada, pueda conocer nuestros intereses.



    Además de estos peligros para nuestra privacidad, las consultas DNS pueden utilizarse también fácilmente para poner en peligro a los usuarios, por ejemplo, mediante ataques MITM que pueden suplantar la respuesta del servidor para enviarnos a una IP maliciosa, u otros ataques como Snooping y Tampering.



    Por ello, es muy importante que, a la hora de elegir un DNS, elijamos uno capaz de proteger tanto nuestra privacidad como nuestra seguridad, y aquí, los DNS de Cloudflare aprueban con buena nota.



    Así protegen los DNS de Cloudflare nuestra privacidad y seguridad



    Esta compañía ha cuidado todos los detalles al crear sus nuevos servidores DNS de manera que estos sean respetuosos con los usuarios a la vez que les brinden la máxima protección frente a todo tipo de amenazas basadas en este tipo de resoluciones. Lo primero que nos garantiza Cloudflare es que sus DNS no realizan ningún tipo de seguimiento a los usuarios, por lo que sus datos no se venden ni se utilizan con fines publicitarios. Además, no guarda ningún tipo de información sobre el uso que se hace de sus DNS, y cada 24 horas borra todos los logs de los servidores, impidiendo sacar nada de información de ellos.



    La mayoría de los DNS envían la URL completa (incluida el www) para intentar resolverla a todos los servidores para intentar localizar quién puede resolverla. Estos nuevos DNS de Cloudflare solo envían la parte necesaria de la URL para resolverla, y además solo la envían al servidor raíz, siendo este el encargado de reenviar las peticiones al servidor correspondiente para resolverlas.



    Además, gracias a las tecnologías DNS over TLS y DNSSEC, las peticiones DNS viajan seguras y cifradas por la red, permitiendo a los usuarios estar seguros de que sus solicitudes no son interceptadas y están protegidos de todas las técnicas, como el Snooping y los ataques MITM que ya hemos mencionado anteriormente.



    Entonces, ¿qué servidores DNS debo utilizar?



    Siempre os hemos recomendado utilizar los DNS de Google, ya que estos DNS eran los más fáciles de recordar, su tiempo de respuesta es muy reducido y, además, tampoco teníamos muchas más opciones. Sin embargo, hoy en día tenemos más alternativas igual de fáciles de recordar, como los DNS de Cloudflare (1.1.1.1 y 1.0.0.1), así como Quad 9 (los de IBM: 9.9.9.9) que son prácticamente igual de rápidos que los de Google y nos brindan una capa de seguridad y privacidad que no tenemos al usar los conocidos servidores 8.8.8.8 y 8.8.4.4. Por ello, si queremos alejarnos un poco de Google, tanto los de Cloudflare como los de IBM son excelentes alternativas que podemos probar.



    Los DNS de Cloudflare han dado problemas con Movistar, Orange y otras compañías, pero, como nos cuentan los compañeros de ADSLZone, Orange ya ha solucionado los problemas con la IP 1.1.1.1, y tras él poco a poco los demás operadores con problemas por uso indebido de esa IP pública irán corrigiendo los problemas y haciendo que sus usuarios puedan utilizar estos DNS en sus routers.







    Ver información original al respecto en Fuente:

    https://www.redeszone.net/2018/04/21/dns-cloudflare-proteger-privacidad/
  2. Así te ayudan los DNS de Cloudflare a proteger tu privacidad





    Seguridad DNS DNSSEC



    El pasado 31 de marzo de 2018, el conocido CDN Cloudflare estrenaba sus nuevos servidores DNS: 1.1.1.1 y 1.0.0.1. Estos nuevos DNS buscan competir directamente con los de Google (los conocidos 8.8.8.8 y 8.8.4.4) ofreciendo a los usuarios unos servidores que realmente respeten su privacidad y, además, cuenten con las últimas herramientas de seguridad que protejan este tipo de peticiones al servidor, protegiendo a los usuarios de distintos ataques informáticos basados en la resolución de nombres de dominio.



    Simplemente por introducir una URL en nuestro navegador ya estamos poniendo en peligro nuestra seguridad y nuestra privacidad. Esto se debe a que la mayoría de los usuarios utiliza servidores DNS que no son completamente seguros y no ofrecen un cifrado de extremo a extremo, permitiendo, por ejemplo, que nuestro ISP pueda saber las páginas web que visitamos, que los gobiernos conozcan nuestros intereses, las webs que visitamos y puedan seguir nuestra actividad en la red, e incluso que grandes empresas como Google, cuya principal fuente de ingresos es la publicidad personalizada, pueda conocer nuestros intereses.



    Además de estos peligros para nuestra privacidad, las consultas DNS pueden utilizarse también fácilmente para poner en peligro a los usuarios, por ejemplo, mediante ataques MITM que pueden suplantar la respuesta del servidor para enviarnos a una IP maliciosa, u otros ataques como Snooping y Tampering.



    Por ello, es muy importante que, a la hora de elegir un DNS, elijamos uno capaz de proteger tanto nuestra privacidad como nuestra seguridad, y aquí, los DNS de Cloudflare aprueban con buena nota



    Así protegen los DNS de Cloudflare nuestra privacidad y seguridad



    Esta compañía ha cuidado todos los detalles al crear sus nuevos servidores DNS de manera que estos sean respetuosos con los usuarios a la vez que les brinden la máxima protección frente a todo tipo de amenazas basadas en este tipo de resoluciones. Lo primero que nos garantiza Cloudflare es que sus DNS no realizan ningún tipo de seguimiento a los usuarios, por lo que sus datos no se venden ni se utilizan con fines publicitarios. Además, no guarda ningún tipo de información sobre el uso que se hace de sus DNS, y cada 24 horas borra todos los logs de los servidores, impidiendo sacar nada de información de ellos.



    La mayoría de los DNS envían la URL completa (incluida el www) para intentar resolverla a todos los servidores para intentar localizar quién puede resolverla. Estos nuevos DNS de Cloudflare solo envían la parte necesaria de la URL para resolverla, y además solo la envían al servidor raíz, siendo este el encargado de reenviar las peticiones al servidor correspondiente para resolverlas.



    Además, gracias a las tecnologías DNS over TLS y DNSSEC, las peticiones DNS viajan seguras y cifradas por la red, permitiendo a los usuarios estar seguros de que sus solicitudes no son interceptadas y están protegidos de todas las técnicas, como el Snooping y los ataques MITM que ya hemos mencionado anteriormente.



    Entonces, ¿qué servidores DNS debo utilizar?



    Siempre os hemos recomendado utilizar los DNS de Google, ya que estos DNS eran los más fáciles de recordar, su tiempo de respuesta es muy reducido y, además, tampoco teníamos muchas más opciones. Sin embargo, hoy en día tenemos más alternativas igual de fáciles de recordar, como los DNS de Cloudflare (1.1.1.1 y 1.0.0.1), así como Quad 9 (los de IBM: 9.9.9.9) que son prácticamente igual de rápidos que los de Google y nos brindan una capa de seguridad y privacidad que no tenemos al usar los conocidos servidores 8.8.8.8 y 8.8.4.4. Por ello, si queremos alejarnos un poco de Google, tanto los de Cloudflare como los de IBM son excelentes alternativas que podemos probar.



    Los DNS de Cloudflare han dado problemas con Movistar, Orange y otras compañías, pero, como nos cuentan los compañeros de ADSLZone, Orange ya ha solucionado los problemas con la IP 1.1.1.1, y tras él poco a poco los demás operadores con problemas por uso indebido de esa IP pública irán corrigiendo los problemas y haciendo que sus usuarios puedan utilizar estos DNS en sus routers.







    Ver información original al respecto en Fuente:
  3. Cómo podemos utilizar el modo noche al navegar y por qué es recomendable



    https://www.redeszone.net/app/uploads/2018/04/modo-noche-chrome.jpg?x=634&y=309

    Modo noche en los navegadores



    Cada vez son más los sistemas operativos y programas que emplean el modo noche o modo nocturno. Las razones para son diversas. Recientemente vimos el caso de YouTube, que había introducido también el modo noche en su versión para móviles. Otro caso más para añadir a la lista y que, visto lo visto, triunfa. Hoy vamos a hablar de cómo utilizar el modo noche tanto en Google Chrome como en Mozilla Firefox. Vamos a explicar también las razones por las que es una buena idea utilizarlo.



    Modo noche en los navegadores



    Como sabemos, tanto Google Chrome como Mozilla Firefox son dos de los navegadores más utilizados. Es por eso por lo que cuentan con tantos complementos y opciones muy útiles para los usuarios. Una de estas opciones que no podía faltar es la de modo noche. Para ello, eso sí, hacen falta instalar extensiones en ambos casos.



    Modo noche en Google Chrome



    En el caso de Google Chrome encontramos varias extensiones. Su uso es muy similar y el objetivo el mismo: poder utilizar el navegador en modo nocturno. Esto, como explicaremos más adelante, tiene varios aspectos positivos de cara a los usuarios.



    Una de estas extensiones es Deluminate. Su función es reducir la luminosidad de las páginas por las que naveguemos. Está disponible en la tienda oficial y es gratuita. Su uso es muy sencillo y funciona de forma automática. En cuanto abrimos una nueva pestaña, automáticamente activa el modo nocturno. Así con cualquier página que visitemos.



    Otra extensión es Turn Off the Lights. Es muy similar a la anterior. El objetivo es que las páginas se vean en modo nocturno, más oscuro. Hay que mencionar que funciona muy bien con los diferentes portales de vídeos. Pasar del modo nocturno a normal es rápido y fácil. Basta con hacer clic en un icono.



    Estas dos extensiones no afectan al buen funcionamiento del navegador. No ralentiza la carga de páginas ni perjudica en modo alguno la navegación.



    Una extensión más también para Google Chrome es Morpheon Dark. Funciona en Windows, Mac, Linux o Chrome OS.



    Como vemos, hay varias opciones para elegir. El funcionamiento y la utilidad es similar.



    Modo noche en los navegadores



    Modo noche en Mozilla Firefox



    Los usuarios que utilicen Mozilla Firefox también tendrán la oportunidad de navegar en modo noche. Para ello requieren, nuevamente, de instalar una extensión. En este caso hablamos de Dark Mode, que se encuentra también de forma gratuita en la tienda oficial de Firefox



    Una vez la instalemos, veremos que viene desactivada de forma predeterminada. Tendremos que entrar en el complemento y activar el modo noche. A partir de ahí, cuando naveguemos por las diferentes páginas veremos que lo hacemos en modo nocturno.



    Un segundo complemento, también para Firefox, es Dark Background. El funcionamiento es similar.



    Por qué utilizar el modo nocturno



    La primera razón por la que puede ser interesante utilizar el modo nocturno es para evitar que se canse la vista. Cuando pasamos muchas horas delante de la pantalla, especialmente con la luz apagada, toda iluminación adicional puede afectar a la hora de trabajar. El modo nocturno ayuda a aliviar un poco el cansancio visual.



    También sirve para evitar distracciones. En un momento dado puede ser interesante centrarnos únicamente en el texto que estamos leyendo.



    Y una última razón, por la cual muchos usuarios optan por aplicarlo, es para ahorrar batería. Como sabemos, la batería de los móviles y portátiles disminuye considerablemente cuando la pantalla está encendida. Especialmente si todos los píxeles están activos.



    Al tener el modo noche activado, muchos de estos píxeles están apagados (se ven en negro). Esto ayuda a ahorrar batería mientras navegamos.







    Ver información original al respecto en Fuente:

    https://www.redeszone.net/2018/04/21/utilizar-modo-noche-navegar-recomendable/
  4. Así puedes protegerte del malware que no se ve



    https://www.redeszone.net/app/uploads/2018/04/malware-no-se-ve.jpg?x=634&y=309

    Protegerse del malware que no se ve



    Como sabemos, existen muchas variedades de malware. Es por ello que es importante contar con programas y herramientas de seguridad. Nuestro equipo puede ser infectado por virus, troyanos, ransomware, mineros de criptomonedas ocultos… Por desgracia la variedad es muy amplia y los ciberdelincuentes no cesan en su empeño de perfeccionar las técnicas. De ahí que una de las variedades más difíciles de hacer frente es la conocida como fileless o el malware que no se ve. En este artículo vamos a explicar cómo podemos defendernos del malware que no se ve.



    El malware sin archivos



    Como podemos imaginar, un malware que no se ve o fileless, es aquella infección que no utiliza ningún archivo. Esto lo logran al atacar directamente a la memoria RAM, evitando así que los antivirus y herramientas de seguridad puedan detectarlo.



    Al no haber fichero físico, archivo que pueda ser detectado, los antivirus tienen problemas para protegernos. De ahí que los ciberdelincuentes trabajen en este tipo de amenazas para aumentar las opciones de éxito. Esto, para los usuarios, es una mala noticia.



    Un malware sin fichero puede llegar a convertirse en un programa, ejecutable o cualquier otro archivo malicioso. Primero entra silenciosamente en nuestro equipo y luego ejecuta las órdenes que le hayan programado. Carga en la memoria RAM y acaba por descargar aplicaciones que inunden nuestro equipo de publicidad, por ejemplo.



    Dentro de este tipo de amenazas hay diferentes variedades. Algunas tienen como objetivo el robo de información. Otras pueden actuar obligando al equipo a realizar visitas a una web determinada, además de abrir la puerta a otras amenazas.



    Recientemente, como informan en Techradar, el malware sin fichero se ha convertido en una de las principales amenazas para las empresas.



    Ahora bien, ¿cómo podemos defendernos de esto? Como hemos indicado, al no haber archivos, los antivirus tienen más complicado encontrar la manera de crear protección.



    El malware que no se ve



    Cómo defenderse del malware que no se ve



    La detección es más compleja y también menos automática. Existe una manera sencilla de poder comprobar si hay algo extraño en nuestro sistema. Para ello tenemos que entrar en el administrador de tareas de Windows, ir a procesos y comprobar todo lo que se está ejecutando. Si vemos algo raro, que esté consumiendo más recursos de lo normal, ahí puede haber una pista de que puede haber algún tipo de malware en nuestro equipo.



    Dentro de los tipos de malware que podemos descubrir de esta manera se encuentran los mineros ocultos de criptomonedas. Es cierto que estos también pueden ser detectados por antivirus y suelen contener ficheros.



    Si hablamos de vías de entrada de este tipo de malware, una de las principales es mediante el PowerShell de Windows. Una buena solución pasa por deshabilitar ciertas funciones. En un artículo anterior hablábamos de ello.



    Algo también recomendable para evitar este tipo de malware que no se ve, es restringir las macros.



    Pero ninguna de estas medidas es suficiente si nuestro equipo no está actualizado. Esto es importante para poder protegernos de las últimas amenazas. Los ciberdelincuentes perfeccionan las técnicas, pero también lo hacen los programas y herramientas de seguridad. Contar con ellos actualizados es clave para nuestra seguridad.







    Ver información original al respecto en Fuente:

    https://www.redeszone.net/2018/04/21/asi-puedes-protegerte-del-malware-no-se-ve/
  5. La popular plataforma de internet ofrece a sus más de 500 millones de usuarios establecer una red de contactos y servir de escaparate en el que dar visibilidad a su currículum y experiencia laboral.



    También permite compartir contenidos, seguir a empresas y reclutadores y recibir ofertas personalizadas.



    Pero tiene algunos riesgos: es el escenario perfecto para llevar a cabo estafas, pues es habitual agregar a contactos completamente desconocidos.



    Algunos estafadores utilizan la red social para hacerse pasar por reclutadores y obtener los datos de los usuarios.



    Y esos datos -como tu correo electrónico, tu número de teléfono o direcciones profesionales- pueden usarse después para ser vendidos a terceras personas… o para cometer fraudes de suplantación de identidad (phishing).



    Así como los solicitantes de empleo utilizan LinkedIn para conectarse con excolegas y empleadores potenciales, los estafadores también usan el servicio para encontrar posibles víctimas, explican desde la organización Better Business Bureau (BBB), conocida por calificar empresas con base en su calidad de servicio al cliente.



    Es importante siempre tener cuidado cuando buscas trabajo porque las estafas de empleo pueden suceder en donde sea: a través de correo electrónico o texto, en los medios sociales y en los sitios de trabajo.



    Es, según el informe Índice de Riesgo de BBB, la tercera estafa más habitual.



    A veces, intentan llamar la atención de quienes buscan empleo publicando ofertas de trabajo en la plataforma. Otras, usan vínculos a sitios web fraudulentos en donde piden su información.



    Se trata de un engaño persuasivo que llevan a cabo usando cuentas falsas que les permitan reflejar una imagen creíble.



    Embaucadores



    De acuerdo con un informe elaborado por la compañía de seguridad informática Symantec, LinkedIn es un blanco principal para embaucadores que buscan conectarse con profesionales



    Otras firmas de ciberseguridad, como la finlandesa F-Secure o la estadounidense Dell SecureWorks, también han reflejado conclusiones similares en informes respecto a este tipo de fraudes.



    Pero, ¿qué puedes hacer al respecto?



    Symantec señala que es importante dudar y ser precavido a la hora de agregar a ciertos contactos o aceptar solicitudes de personas que no conoces.



    Una de las señales a las que puedes estar atento es la foto de perfil.



    Muchas veces, son sacadas de bancos de imágenes o de perfiles de otras personas en LinkedIn u otras redes sociales. Un perfil sin foto también puede dar motivos para desconfiar.



    También puedes comprobar si el texto es robado. Para verificarlo, copia y pega una sección del mismo en un motor de búsqueda y mira si ya se usó antes.



    Además, según Symantec, los falsos reclutadores suelen publicar empleos en logística o en las industrias de petróleo y gas.



    Presta atención a las oportunidades únicas, pues a menudo se traducen en peligro de estafa. Usa el sentido común: ¿Qué tipo de oferta te puede enviar una persona que no te conoce de nada? ¿Por qué insiste tanto en que deberías aceptarla?



    Por último, analiza a fondo el perfil de esa persona: a quién sigue y cuán coherente es, y pon su nombre en el buscador para saber si existe más allá de LinkedIn.



    Otra forma de protegerte es revisar tu configuración de privacidad en LinkedIn: limita quiénes pueden enviarte mensajes y ver la información que compartes.



    Y si la oferta de trabajo que te envían es muy tentativa, pero no sabes si es auténtica, solicita una conversación telefónica para salir de dudas.



    ¿Cómo denunciarlos?



    Si descubres que fuiste estafado, puedes denunciarlo a través del sitio de ayuda de LinkedIn.



    Puedes marcar perfiles inapropiados o falsos en el sitio web (como los que contienen insultos, tienen nombres falsos o suplantan a personalidades públicas), explican los responsables de la red social en su centro de ayuda.



    Para llevar a cabo la denuncia, debes seguir cinco pasos:



    Haz clic en el icono de los puntos suspensivos (Más) dentro del perfil del miembro.

    Selecciona la opción Denunciar/Bloquear.

    Escoge Denunciar este perfil en la ventana emergente ¿Qué quieres hacer?.

    Elige la razón aplicable en la ventana emergente Dinos un poco más.

    Pulsa Enviar para continuar o Atrás para revisar las opciones.





    Ver información original al respecto en Fuente:

    http://eldia.com.do/los-estafadores-que-te-ofrecen-trabajo-en-linkedin-para-robarte-los-datos/
  6. Protégete de este malware SquirtDanger que realiza capturas de pantalla y roba tus contraseñas





    https://www.redeszone.net/app/uploads/2018/04/malware-capturas-pantalla.jpg?x=634&y=309

    El nuevo malware que realiza capturas de pantalla



    Por desgracia constantemente vemos nuevas variedades de malware. Nuevos métodos para infectar equipos, robar credenciales de los usuarios o incluso pedir rescate para liberar datos. Los ciberdelincuentes perfeccionan sus técnicas, aunque por suerte también aumentan las posibilidades que tenemos de defendernos. Hoy hablamos de un nuevo malware cuyo objetivo es realizar capturas de pantalla y robar contraseñas. Pero también, especialmente para aquellos que cuenten con criptomonedas, está diseñado para robar carteras de estas monedas digitales.



    SquirtDanger, el nuevo malware que realiza capturas de pantalla



    Se trata de SquirtDanger y ha sido descubierto por la Unidad 42 de Palo Alto Networks. De momento se conoce que este malware ha infectado tanto a usuarios particulares como a empresas de todo el mundo. Entre ellos se han visto afectados una universidad y un proveedor de servicios de Internet.



    Según informan desde ZDNET, este malware está diseñado para actuar cada minuto. Esto permite entregar información muy variada y actualizada al ciberdelincuente. Como hemos mencionado, es capaz de realizar capturas de pantalla y robar las contraseñas de los usuarios a los que infecta.



    Los atacantes cuentan con un gran abanico de posibilidades. Obtienen acceso a una amplia variedad de funciones mediante este malware. Entre ellas las que hemos mencionado de crear capturas de pantalla o robar contraseñas, pero también enviar, descargar y eliminar archivos.



    Pero hay una función que quizás nos sorprenda menos: robar billeteras de criptomonedas. Como sabemos, las divisas digitales han sido objetivo de los ciberdelincuentes en los últimos tiempos. El auge de este mercado, con un gran aumento de su valor (aunque ahora esté en horas bajas) ha hecho que sean muchas las variedades de malware creadas para este fin.



    El nuevo malware que realiza capturas de pantalla



    Uno de los investigadores que han descubierto SquirtDanger afirma que representa un gran peligro para los usuarios debido a la variedad de ataques que puede realizar. Se diferencia de otros tipos de malware precisamente en eso, en el abanico de posibilidades que le ofrece al atacante.





    Cómo introducen este malware



    Según informan los investigadores, el malware se distribuye de diferentes maneras. Sin embargo la que han observado como la más utilizada es mediante la descarga de software infectado.



    Añaden también que este malware es el resultado de un largo trabajo por parte de sus creadores. Han tenido muy en cuenta las últimas tendencias en la ciberdelincuencia y también los métodos perfeccionados para robar las credenciales.





    Cómo defenderse de este malware



    Pero lo que realmente le preocupa a los usuarios es cómo poder evitar que este u otro malware similar acabe infectando sus equipos. Como hemos mencionado, una de las formas de infección más extendidas es mediante la descarga de software infectado. Por tanto, la mejor manera para evitar ser infectado es descargar software únicamente de sitios oficiales. Nunca hacerlo de terceras páginas, links que nos encontremos por Internet, etc.



    Es aquí donde radica el malware. En muchas ocasiones podemos descargarnos una aplicación legítima, pero está modificada y contiene malware. Por tanto es vital solo descargar de sitios seguros, de páginas oficiales.



    También, y esto se extiende a cualquier tipo de malware, es conveniente contar con programas y herramientas de seguridad. De esta manera podremos hacer frente a hipotéticas amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.





    Ver información original al respecto en Fuente:

    https://www.redeszone.net/2018/04/20/protegete-malware-realiza-capturas-pantalla-roba-contrasenas/
  7. Ciberdelincuentes utilizan una nueva técnica de inyección de código para evadir la detección



    https://blog.ehcgroup.io/wp-content/uploads/2018/04/innye.jpg



    Mientras realizaban análisis en profundidad de varias muestras de malware, los investigadores de seguridad de Cyberbit descubrieron que una nueva técnica de inyección de código, denominada Early Bird , era utilizada por al menos tres tipos de malware sofisticado que ayudaban a los atacantes a evitar la detección.



    https://blog.ehcgroup.io/wp-content/uploads/2018/04/bird.jpg



    Como su nombre lo indica, Early Bird es una técnica simple pero poderosa que permite a los atacantes inyectar código malicioso en un proceso legítimo antes de que comience su cadena principal, evitando así la detección de los motores hook de Windows utilizados por la mayoría de los productos antimalware.



    La técnica de inyección de código Early Bird carga el código malicioso en una etapa muy temprana de la inicialización del hilo, antes de que muchos productos de seguridad coloquen sus ganchos, lo que permite que el malware realice sus acciones maliciosas sin ser detectado, dijeron los investigadores.

    La técnica es similar a la técnica de inyección de código AtomBombing que no depende de llamadas API fáciles de detectar, lo que permite que el malware inyecte código en los procesos de una manera que ninguna herramienta antimalware puede detectar.



    El método de inyección de código Early Bird se basa en una función incorporada de Windows APC (Asynchronous Procedure Calls) que permite a las aplicaciones ejecutar código de forma asincrónica en el contexto de un hilo en particular.



    A continuación, presentamos una breve explicación paso a paso de cómo un atacante puede inyectar código malicioso en un proceso legítimo de forma que se ejecute antes de que un programa antimalware inicie el análisis.



    Crear un proceso suspendido de un proceso legítimo de Windows (p. Ej., Svchost.exe)

    Asigne memoria en ese proceso (svchost.exe) y escriba el código malicioso en la región de memoria asignada.

    Ponga en cola una llamada a procedimiento asíncrono (APC) al hilo principal de ese proceso (svchost.exe),

    Como APC puede ejecutar un proceso sólo cuando está en estado de alerta, llame a la función NtTestAlert para forzar al kernel a ejecutar el código malicioso tan pronto como se reanude el hilo principal.

    Según los investigadores, al menos tres malware mencionados a continuación se encontraron utilizando la inyección de código Early Bird en la naturaleza.



    Puerta trasera TurnedUp, desarrollada por un grupo pirata iraní (APT33)

    Una variante del malware bancario Carberp



    El malware DorkBot

    Inicialmente descubierto por FireEye en septiembre de 2017, TurnedUp es una puerta trasera que es capaz de filtrar datos del sistema de destino, crear conchas inversas, tomar capturas de pantalla y recopilar información del sistema.



    https://1.bp.blogspot.com/-RHuVaCC6lP8/WtDdFZk_jBI/AAAAAAAAwOU/7I5CJUiid-c8_ig2Sx0bZ81mFthVgzXYQCLcBGAs/s1600-e20/early-bird-malware-code-injection-technique.png

    early-bird-malware-code-injection-technique



    Data del 2012, DorBot es un malware botnet distribuido a través de enlaces en redes sociales, aplicaciones de mensajería instantánea o medios extraíbles infectados y se usa para robar credenciales de usuarios para servicios en línea, incluidos servicios bancarios, participar en denegación de servicio distribuido (DDoS) ataques, enviar spam y entregar otro malware a las computadoras de las víctimas.



    Los investigadores también han proporcionado una demostración en video, que muestra la nueva técnica de inyección de código Early Bird en acción.





    Ver información original al respecto en Fuente:

    https://blog.ehcgroup.io/index.php/2018/04/16/ciberdelincuentes-utilizan-una-nueva-tecnica-de-inyeccion-de-codigo-para-evadir-la-deteccion/
  8. Fallo de seguridad CRÍTICO sin parchear en dispositivos de almacenamiento LG



    Aviso importante: Si ha instalado un dispositivo de almacenamiento en red LG, debe desconectarlo inmediatamente.





    https://1.bp.blogspot.com/-gvzbku7oFgE/WtdrFJmOMFI/AAAAAAAAwUY/eWHWCdMverg0_4PXq8wmuCHkNWmpefhlACLcBGAs/s1600-e20/lg-network-storage-hacking.png



    Un investigador de seguridad de la empresa VPN Mentor ha descubierto una vulnerabilidad de ejecución de código remoto en varios modelos de dispositivos LG NAS. Este fallo podría permitir a un atacante comprometer los dispositivos vulnerables y robar datos almacenados en ellos.



    Los dispositivos NAS son unidades de almacenamiento de archivos conectadas a una red que permite a los usuarios almacenar y compartir datos con varios equipos.



    El fallo en cuestión, reside en la validación incorrecta del parámetro "contraseña" de la página de inicio de sesión para la administración remota del dispositivo. Explotando este campo, los atacantes pueden pasar comandos arbitrarios del sistema.



    El modo de actuar más simple para la explotación del fallo es inyectando una shell simple con la que poder ejecutar los comandos con mayor comodidad.



    https://1.bp.blogspot.com/-AOULQzoncFg/WtdrFeECtxI/AAAAAAAAwUc/aBk-x_FHRYISApkquQaroDyk8NaZTqmYgCLcBGAs/s1600-e20/nas-device-hacking.png



    Con el uso de la shell, los atacantes pueden incluso descargar la base de datos completa del dispositivo NAS, incluidos los correos electrónicos, los nombres de usuario y las contraseñas hasheadas en MD5.



    Dado que el cifrado MD5 es muy débil y se puede romper con facilidad, un atacante remoto podría obtener acceso autorizado y robar datos sensibles almacenados en los dispositivos vulnerables.



    Otra manera de actuar sería agregar un nuevo usuario al dispositivo mediante los comandos ejecutados en la shell, e iniciar sesión con esas credenciales.



    Este último modo de actuar lo vemos en el siguiente vídeo:



    https://m.youtube.com/watch?time_continue=11&ebc=ANyPxKqkAjrR4na7dAJtGr1O8iMAb9wDa37Hx9RBuQZnHV6vixgvzwCaFGZv3VWaI-YZ-vKdVl9des6PzcqPKaDhn_bqBHaYxQ&v=7RgCq5d13qk





    Dado que LG aún no ha lanzado una actualización que solucione el problema, se recomienda a los usuarios que posean alguno de estos dispositivos, que lo desconecte hasta que el fallo sea parcheado.

    Para los usuarios que no quieran prescindir del uso de su dispositivo NAS, se recomienda asegurarse de que su dispositivo no es accesible desde Internet, que estén protegidos por un firewall que solo permita el acceso a ellos por un grupo confiable de IPs y que observen periódicamente cualquier actividad sospechosa en la verificación de usuarios y contraseñas.





    Ver información original al respecto en Fuente:

    http://unaaldia.hispasec.com/2018/04/fallo-de-seguridad-critico-sin-parchear.html
  9. Para nuevas variantes de malware segun muestras recibidas para analizar, hemos desarrollado la nueva versión del ELSTARA 38.90







    ElistarA







    --v38.90-(20 de Abril del 2018) (Muestras de Malware.Extid "extiddefrag.exe",

    Malware.BrResMon "*.exe", (10)Malware.Scr "*.exe", Malware.Subti "*.exe",

    Worm.Kasidet.E "browkmgr.exe", Trojan.Totbrick "*.exe" y RiskTool.BitCoinMiner.KA

    "*.exe")







    saludos





    ms, 20-4-2018
  10. Detectan un nuevo malware en Google Play capaz de rastrearte y grabar tus llamadas







    Google Play Store Android



    Seguimos con los problemas de seguridad en Android. A pesar de que Google pone todos sus esfuerzos en hacer que su sistema operativo y su tienda de aplicaciones sean lo más seguros posibles, es evidente que sus filtros no son perfectos y que, de vez en cuando, algún listillo consigue burlarlos y abusar de los usuarios. Es el caso de la app Dardesh, una app de mensajería que, en segundo plano



    https://andro4all.com/files/2018/04/Google-Play-Store-Android.jpg



    y sin que el usuario lo supiera, instala una app capaz de hacer de todo, literalmente.



    La app fue detectada por los chicos de Lookout, que han bautizado a esta familia de malware como Desert Scorpion (escorpión del desierto). Imagino que será por su capacidad para escavar y protegerse bajo un exoesqueleto, porque es más o menos lo de que Dardesh hacía. La app se propagó a través de un perfil de Facebook que publicaba el enlace a la app de forma constante y que ha llegado a infectar a varias centenas de dispositivos.



    https://androzone.marfeel.com/statics/i/ps/andro4all.com/files/2018/04/Perfil-FB-Dardesh.jpg

    Perfil FB Dardesh



    ¿Cómo funcionaba? Dardesh, una vez instalada, descarga una segunda aplicación que camuflaba como una app de Ajustes. Dicha app se escondía al usuario y, en la sombra, rastreaba su ubicación, grababa sus llamadas, registraba el vídeo y audio de sus alrededores, descargaba y enviaba los archivos encontrados en el almacenamiento interno a un servidor de terceros, accedía a los SMS, contactos e información de la cuenta, etc. Un malware en toda regla, sin lugar a dudas.



    Por lo visto, como informan desde Help Net Security, los investigadores de Lookout creen que los miembros del grupo APT-C-23 están detrás de la app. Esto se debe a que el perfil de Facebook que publicó el enlace a Google Play también lo hizo hace un tiempo con un enlace a Google Drive que ocultaba un malware para Android que, efectivamente, se le atribuye a este mismo grupo. La app estaba enfocada a usuarios de Palestina, aunque ha afectado a varios usuarios de Medio Oriente.





    https://andro4all.com/files/2018/04/Dardesh-Google-Play.jpg

    Dardesh Google Play



    Por fortuna, Google ya ha eliminado la aplicación de Google Play Store, así que puedes estar tranquilo. Sin embargo, esto vuelve a evidenciar que siempre, siempre, siempre debes vigilar qué apps descargas, sus valoraciones y su desarrollador. ¡Que algo esté en Google Play o en una web de confianza no significa que sea perfecto !





    Ver información original al respecto en Fuente:

    https://andro4all.com/2018/04/nuevo-malware-google-play-grabar-llamadas