Topic: MALWARES VUELVEN A CREAR INSEGURIDAD (Read 802 times)

Si no es mediante un Exploit como el visto más arriba, los malhechores siguen al acecho a través de correos maliciosos con adjuntos, los cuales pueden llevar a los hackers a controlar nuestro ordenador de manera remota, explorar los archivos, hacer capturas de pantalla, y demás. Obviamente con ello, pueden llegar a acceder a información comprometida de índole personal, financiera o cripto.


Los artículos abajo describen la nueva técnica usada por los hackers son hackers, basándose en el envío de correos con un adjunto de Microsoft OneNote, algo que es propio de Office 365 y a partir de Office 2019. Total, que volvemos a tener algo similar a cuando se ejecutaba una macro maliciosa en un documento Office, pero con la variante de ejecutar un archivo VBS (Visual Basic Script), algo tremendamente potente. El sistema avisará del riesgo de abrir este tipo de archivos, pero el problema está en los que le den al OK, llevándose como regalo la instalación de un software malicioso capaz de instalar un malware de los buenos.


Ver:
https://bitcoin.es/actualidad/cuidado-con-los-documentos-adjuntos-de-microsoft-onenote-podria-tratarse-de-un-malware/
https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Tremenda cantidad de dinero para poner arriba de la mesa.

Las administraciones publicas en muchos lugares tienen que empezar a subir sensiblemente sus estandares de seguridad, en muchos casos son realmente pauperrimos y se mueven demasiado lento para dar respuesta, de ehcho sin ir mas lejos ya muchos paises han creado sus destacamento de cyberseguridad dentro de sus FFAA donde controlan los elementos mas sensibles como ser centrales nucleares, cadenas de alimentacion electricas y demas, pero lo que es registro de personas y otros ministerios siguen siendo un tembladeral.

En Italia parece que en torno a 2.100 servidores de empresas y administraciones públicas han sido víctimas en las últimas horas de un ataque masivo de ransomware, demandando … 2 BTCs (aproximadamente) por cada caso.  Como es moda, amenazan con hacer públicos datos de los clientes para agravar la situación, en caso de que sus demandas no sean atendidas en el plazo de 3 días.

El método de acceso parece haber sido la explotación de una vulnerabilidad del VMare ESXi.En algunos medios he leído que estaba parcheada desde hace tiempo, y que habrían logrado atacar a servidores que no habían procedido a aplicar los parches, pero no he visto oficializado este hecho.

Tirando largo, el objetivo máximo de los atacantes sería: 2.100 servidores x 2 BTC/Servidor = 4.200 BTCs (95.799.900 $).

Ver: https://es.italy24.press/noticias/349635.html

A mí particularmente los móviles me dan un poco de grima en términos de seguridad, por lo que intento minimizar y seleccionar las apps que me instalo. No obstante, siempre queda la sensación de que es más fácil encontrarse con alguna sorpresa que con un pc, si bien también depende mucho de las prácticas y hábitos de cada cual.

En cuanto a tener lo justo en la wallet del móvil, concuerdo con la idea de tener pocos fondos y durante poco tiempo, y aun así voy con todas las cautelas.

La verdad es que esta muy bien pensado, es muy simple pero efectivo y literal que cumple con su definicion de troyano.

A mi en particular no me gusta para naa tener wallets en el celular, pero.... si admito que son MUY comodas de usar mas que nada por el tema del qr y demas, por lo tanto tengo una sola en la cual si se que voy a usar tengo pocos fondos en la misma y le envio fondos antes de realizar la operatoria minimizando los riesgos por asi decirlo.

Pero bueno aparte de las cryptos si hoy en dia es muy util usar las apps de los bancos en el celular.

El artículo abajo referenciado versa sobre un troyano que está haciendo de las suyas en entornos Android, con foco en la obtención de datos bancarios y de criptomonedas. El troyano, bautizado como Godfather, y basado en el antiguo Anubis. Lleva rondando por lo menos desde marzo 2022 con cierto sigilo, y se instala principalmente al intentar bajarse las apps Currency Converter Plus y Google Protect (instalado desde webs terceras).

El troyano es capaz de redirigir al usuario a webs fraudulentas mediante supuestas notificaciones, que sirven de base para hacer phishing de las credenciales. En cuanto a las wallets de criptomonedas, parece que cuanto menos es capaz de realizar capturas de pantallas al interactuar con las mismas.

Ver:
https://www.criptonoticias.com/tecnologia/troyano-android-afecta-cerca-100-wallets-bitcoin-criptomonedas/

Parece que este tipo de estafa sigue sucediendo en Australia, al punto que la policía ha emitido avisos esta semana en sus redes sociales avisando a la gente del proceder de la estafa realizada a través de supuestas paper wallets de bitcoin.

Lo curioso es que la imagen mostrada en una de las redes sociales del a policía australiana muestra el código QR de un caso, y si lo intentas escanear con un lector QR, se lee sin demasiados problemas (no hay que seguir con el experimento a partir de ese punto).

Ver: https://coinnounce.com/australians-warned-not-to-use-fake-cryptocurrency-paper-wallets/

No se si alguien lo tiene más claro, pero he mirado por encima la documentación de las API de Trading de 3 Exchanges, y los únicos límites que he visto son los relativos a su uso (número de llamadas por unidad de tiempo), pero no he visto nada respecto de cómo delimitar los importes sobre los cuales cedes el control a las API a partir de tus saldos en la cuenta asociada en el Exchange.

Está claro que deben aplicar los límites diarios/semanales/mensuales de la cuenta, pero si alguien, pongamos por ejemplo, tiene 10 BTCs en el Exchange (por ser trader activo o despistado con su seguridad), si su cuenta pudiese pulirse los 10 BTCs en trading en un día, ¿la API también?

Parecería lógico que uno pudiese "ceder" el control a la API sobre cantidades delimitadas del saldo en las monedas, pero me ha parecido que no, que va sobre lo que tengamos (conforme a los límites de la cuenta).
Ojo, no hablo sobre los límites propios del bot de trading, que se puede parametrizar por diferentes conceptos, estableciendo límites de trading, sino de la API en sí.

Ver por ejemplo: https://www.binance.com/en-NZ/support/faq/api-frequently-asked-questions-360004492232

Eso siempre fue una cosa que me llamo muchisimo la atencion.

Si bien no me dedico a eso, ver gente que descarga cualquier bot para que opere con todo control..... es casi pedir que te roben.

Pero bueno digamos que hoy en dia uno nunca sabe cuando esta a salvo ya con nada.

La guerra cybernetica nos puede afectar a todos

No sé si alguien por aquí usará bots de trading para los cuales se les otorgue permisos sobre las API Keys de nuestras cuentas en Exchanges (los que tengan), pero citar que esta es otra fuente más para que las cuentas sean drenadas, sobre todo si uno se da de alta en una web de phishing en lugar de la intencionada del bot de trading …

Se ve que hay varios casos recientes de lo anterior, donde la persona quería darse de alta en bots del estilo de 3Commas y Skyrex, y acabó cediendo sus API keys de Exchanges tales como FTX (ejem…), Binance and Coinbase a los impostores. Con el control de la API keys, drenaje al canto.

Ver:
https://www.fxstreet.com/cryptocurrencies/news/binance-coinbase-and-ftx-users-hacked-by-false-trading-bot-platforms-cz-says-delete-api-keys-202211140847

Realmente es KMS (no KSM). Lo digo por si uno hace búsquedas en Google, encontrará más entradas de la primera forma.

A ver, estos crackeadores puede que funcionen por lo menos durante unos meses, y en mi época de usarlos, recuerdo que cada x tiempo tenías que volver a buscar uno nuevo, dado que alguna actualización de Microsoft lo hacía inservible.

El problema mayor es que frecuentemente, y más aún hoy en día, cuando te instalas el KMS, el instalador va y te instala los regalitos. Es decir, puede que te instales el KMS y estés más contento que un ocho habiéndote ahorrado el coste de la licencia, pero de manera latente, te puedes haber instalado malware, que además se va actualizando sin que te enteres.

De ahí que hemos visto en incontables veces como uno ve que algún tipo de malware se ha hecho con sus credenciales bancarias, de Exchange o de su correo electrónico, o bien directamente ha instalado un RAT (control remoto) para hacerse con lo que fuese (billeteras cripto, etc.), cuando no te llevas el caramelo del ransomware.

Una cosa es jugártela en un ordenador viejo sin conexión a la red, y sobre cuyo contenido no tengas nada privado ni de valor (ej/ ordenador sólo para juegos pirata), u otra cosa es instalarlo en tu ordenador doméstico desde donde accedas a bancos, comercios, Exchanges, correo, billeteras de BTC (et al) y demás.

En otro foro encontre esto.

Creo que es mas o menos el hilo indicado para pedir una recomendacion de gente mas entendida, en su momento recuerdo que se charlo aca sobre los cracks de office.




Yo no entiendo nada de programacion, ustedes que opinan? es realmente peligroso? Otros usuarios comentaban que les pelaron dos billeteras por usar Windows truchos.

De vez en cuando, alguno de los que está detrás del malware de cierto tipo es pillado. En el artículo de más abajo cita como el FBI ha pillado al responsable de Raccoon Infostealer (el cual por cierto también se alquilaba como servicio para quienes quisiesen propagarlo para su rédito propio). El software se hacía sobre todo con credenciales de acceso a correos electrónicos, cuentas bancarias, tarjetas y direcciones de criptomonedas (entiendo que se refiere realmente a credenciales de Exchanges).

El FBI ha creado una página para que uno introduzca su correo electrónico y vea si ha sido afectado por el software (si es que quiere proporcionarles datos a la agencia) ...


Ver: https://www.lavanguardia.com/tecnologia/20221104/8593577/el-fbi-resuelve-uno-de-los-casos-mas-grandes-de-cibercrimen-el-hacker-y-su-pareja-publicaban-sus-movimientos-pmv.html

El tema del código abierto es que, a la postre, para el común de los mortales, uno ha de fiarse del "criterio de revisión de otros", de que no incluya nada malicioso en la versión base ni en las actualizaciones subsiguientes. Es decir, uno puede llegar a mirarse todo el código y/o comparar versiones para ver las diferencias, partiendo de un punto considerado como bueno, pero a ver quién es el guapo que lo revisa personalmente.

Teóricamente, uno diría que es mejor que sea código abierto por principio de posibilitar la revisión por parte de terceros, pero tendríamos que ver el tiempo que realmente se tarda a nivel de comunidad en detectar algún cambio maligno en el código. Mínimo, por prudencia, probablemente no sea bueno ser de los que se actualizan las versiones a toque de pito – más que nada para que dé tiempo para que alguien pueda dar la voz de alarma (si es que lo revisan el software abierto determinado.)

Tal y como comentas, el caso del clonado con modificación es una claro punto débil, tal y como se observa en este caso.

Gracias por dar el aviso, como siempre.

Yo no había visto ese hilo, pero creo que para nosotros que llevamos ya algunos meses tenemos como una de las reglas fundamentales en tener cuidado cuando se buscan esa clase de servicios en Google o cualquier otro buscador.

Por otro lado, esto podría utilizarse para abrir un debate sobre la explotación de programas de open source para la creación de esquemas de fishing relativamente sofisticados. Aunque creo que en el ecosistema de Bitcoin el código libre es fundamental, también facilita demasiado la inserción de líneas de código maliciosas como esa.

A veces me gustaría poder tener los conocimientos técnicos y tiempo libre para poder hacer auditoría personal del código de las wallets que llegase a usar. 

Un software que se referencia frecuentemente es el de Iancoleman, el cual permite convertir nemónicos BIP39 a direcciones y claves privadas. No es algo que haya utilizado personalmente, pero de vez en cuando lo ves referenciado en un post o artículo.

Como no, desde hace años, hay sitios falsos que clonan el software a partir del repositorio en GitHub, lo modifican ligeramente, y almacenan los datos que generes o introduzcas para ver si se pueden hacer con los BTC de los incautos.

Aunque he visto que la práctica lleva sucediendo desde hace ya algunos años, la lectura de este hilo da una idea de qué nos podemos encontrar si acabamos en la URL equivocada, sea inducida a partir de un Ad de Google, bien en los resultados de una búsqueda.

Para el momento en que me pidió ayuda ya la encriptación estaba hecha y no había ningún txt pidiendo rescate, así que asumo que debió haberlo cerrado sin saber que era durante su turno en el trabajo.

Por otro lado aprendí algunas cosas interesantes, sobre esta clase de amenazas que quizá te interesen:

1. Existen páginas que recopilan herramientas de desencriptado para ransomware específicos, tengo entendido que estos se hicieron con la ayuda de hackers de sombrero blanco que descubrieron un error en el algoritmo de encriptado usando por los criminales, aquí hay un ejemplo ofrecido por avast. En mi caso, se trató del ransomware de nombre "Ako", no figuraba en los recopilados.

https://www.avast.com/ransomware-decryption-tools#pc

2. Logré rescatar todos los PDFs de mi padre que estaban en el pendrive con la ayuda de un programa llamado "Recuva". Debido a que el ransomware copia, encripta y luego elimina los archivos originales, una herramienta de recuperación de archivos borrados puede ser útil para traer algo de regreso. En el caso de las hojas de excel, archivos word e imágenes, no pude recuperar ni uno.

3. Creo que el modus operandi de este ransomware es estar seguro de que la encriptación se realiza mientras hay acceso a internet por parte de la victima.
Lo primero que hace es crear copias .exe de los archivos, con el mismo nombre e icono, de tal forma que la victima haga click en ellos y envíe la orden automática a través de la red al servidor del hacker. Probablemente esto se hace para que la llave de cada víctima sea única, así como el ID de identificación para el rescate.

Apenas noté esto, supe que lo ideal fue lidiar con el ransomware con la PC desconectada al Wi-Fi. Todo esto lo supe por un segundo pendrive, también infectado, pero donde el encriptado no se había trigerado, sin embargo estaba lleno de esos clones .exe. Ese si pude limpiarlo y conservar toda la información.

¡Joder! (con perdón) … ¿El sistema llegó a pedirle un rescate mediante BTC (o afín)?

Los USB son un foco importante potencial de entrada de virus y troyanos en nuestros ordenadores, máxime si se han utilizado en entornos compartidos (colegios, bibliotecas, etc.). Supongo que no será el caso, habiendo wallets afectadas, pero aprovechando el dichoso infortunio que comentas, y generalizando, es un motivo más para no almacenar las semillas de las carteras en un dispositivo tipo ordenador.

Tristemente la tienda de aplicaciones de Google desde ya hace mucho tiempo se se asocia a todo tipo de apps de mala calidad y virus disfrazados, a veces el disfraz es tan malo que uno se pregunta como no se le cae la cara de vergüenza al publicador; ofreciendo juegos de PC de gama relativamente alta, supuestamente optimizados para android, solo para caer en cuenta de que es un agente encriptador ransomware.

La mala fama en ese aspecto de la Play Store hace contraste con la tienda de Apple, la cual pareciera que le ponen más cuidado a sus filtros de calidad y seguridad, según lo que he leído por allí.

Por cierto, estos últimos días tuve mi primera experiencia lidiando con ransomware, una memoria USB de mi padre que sin saberlo infecto y el resultado fueron todos su archivos ilegibles por medio de un cifrado de 256 bits.

En el ámbito del malware, una de las fuentes que conocemos como una entrada frecuente son las apps falsas y las maliciosas que nos encontramos en los stores, siendo Google Play uno de los focos importantes de distribución. Por mucho que pongan nuevos controles y reglas, hay maneras de pasar cualquier control con piel de cordero.

Así es el caso de los Droppers Troyanos, los cuales se disfrazan de app de utilidad, con la capacidad de bajarse e instalar el verdadero troyano.

En este artículo habla extensamente de este tipo de apps maliciosas, cuyo foco principal suele ser la de obtener datos bancarios o de criptomonedas. Si miramos los listados de “Sharkbot/Vultur Targets” en el artículo, veremos no pocas referencias a wallets de criptomonedas …