Los investigadores de seguridad del equipo Mobile Threat de CheckPoint han descubierto una nueva campaña de adware en la plataforma Google Play Store. El malware, llamado SimBad, fue encontrado en más de 200 aplicaciones del market y ha recibido casi 150 millones de descargas entre todas ellas.

Al parecer sería el SDK o kit de desarrollo de software RXDrioder, proporcionado por addroider[.]com como un SDK relacionado con anuncios, el que incorporaría el código malicioso a las aplicaciones desarrolladas con él. De este modo ha logrado estar presente en un gran número de aplicaciones de diferentes desarrolladores, los cuales habrían sido engañados y desconocían que sus creaciones incluirían algún comportamiento malicioso.

Una vez instalada una de estas aplicaciones, SimBad se conecta al servidor de Comando y Control (C&C) desde el que recibe instrucciones. Entre sus funcionalidades se encuentran la de eliminar el ícono del lanzador (dificultando su desinstalación por parte del usuario), mostrar anuncios de fondo (fuera de la aplicación), abrir un navegador con una URL determinada (facilitando ataques de phishing), o abrir las aplicaciones de markets como Google Play o 9Apps para mostrar búsquedas por palabras clave específicas o la página concreta de una app, e incluso realizar descargas de nuevas apps desde un servidor remoto.



Google ha eliminado de su tienda todas las aplicaciones afectadas tras recibir el aviso. Sin embargo es posible que estas aplicaciones maliciosas se encuentren disponibles en otros markets.

Se recomienda consultar el listado de las aplicaciones afectadas, gran parte de ellas juegos de simulación, que está disponible en el reporte de CheckPoint.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola Underc0ders, hoy les traigo un cliente con todas las funciones de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Comparta archivos y directorios de forma fácil y segura desde la línea de comandos a través de un enlace seguro, privado y cifrado mediante un comando simple. Los archivos se comparten mediante el servicio de Send y pueden ser de hasta 2 GB. Otros pueden descargar estos archivos con esta herramienta, o a través de su navegador web.



Entre las características podemos encontrar:

• Herramienta de línea de comandos completa y amigable.
• Sube y descarga archivos y directorios de forma segura.
• Siempre encriptado en el cliente.
• Protección de contraseña adicional, generación y límites de descarga configurables.
• Historial de seguimiento de sus archivos para una fácil gestión.
• Posibilidad de utilizar hosts Send personalizados.
• Inspeccionar o borrar archivos compartidos.
• Informe de errores precisos.

Por ejemplo, para subir un archivo:

ffsend upload my-file.txt

Nos devolverá un link compartido, 'https://send(.)firefox(.)com/#sample-share-url'

Para subir un archivo con opciones avanzadas:

ffsend upload --downloads 10 --password --copy --open my-file.txt

- Especifica limite de descarga a 10.
- Solicita una contraseña para encriptar el archivo.
- Copia el link compartido al portapapeles.
- Abre el link compartido en el navegador.

Sin más, para el que desee puede visitar GitHub.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!
K A I L

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta bienvenido a Underc0de!

Espero que te sientas a gusto con nosotros, puedas encontrar lo que buscas y nos ayudes con tus aportes

Saludos!

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no estas mostrando el código que utilizas para realizar el reinicio, pero por si las dudas te recomiendo el siguiente:

shutdown -r -f -t 5

-r : Reinicia el sistema.
-f : Cierra a la fuerza todos los procesos activos.
-t X : Cantidad de segundos "X" que espera para ejecutar el reinicio.

En donde lo pongas al código es indiferente, es decir, si esta dentro del else, y el if no cumple la condición, debería ejecutarse cuando entre al else.

Saludos!

K A I L

Se ha descubierto una vulnerabilidad que permite la ejecución remota de código en la utilidad apt-get del gestor de paquetes APT, usada por distribuciones Debian, Ubuntu y otras distribuciones Linux.

La falla, con identificador CVE-2019-3462, demuestra cómo si se usase HTTPS por parte de APT se podría evitar completamente este tipo de ataques.

El problema reside en la falta de comprobación de ciertos parámetros durante las redirecciones HTTP, permitiendo a un atacante en un escenario de hombre en el medio (MiTM) inyectar contenido malicioso en los paquetes descargados por APT y engañar así al sistema para que instale paquetes alterados.

Las redirecciones HTTP en este caso sirven para encontrar servidores espejos cercanos a la ubicación del cliente que solicita un paquete determinado. Si el primer servidor falla por alguna razón, devuelve una redirección con la localización del siguiente servidor que el cliente puede usar para la descarga.

El problema reside en el proceso de extracción de las URL. A la hora de decodificar la cabecera HTTP Location, se añade el código de respuesta 103 (indicando al cliente que el servidor enviará la respuesta final junto con las cabeceras incluidas).

En el siguiente video, se demuestra cómo el atacante intercepta el tráfico entre apt-get y el servidor espejo (o simplemente sólo un servidor espejo) para servir paquetes maliciosos y ejecutar código arbitrario como root.



Por defecto, Debian y Ubuntu usan repositorios HTTP. Para poder usar repositorios HTTPS se requiere la instalación del paquete apt-transport-https.

Para solucionar esta falla, se ha liberado la versión 1.4.9 de APT y como es habitual, se recomienda actualizar a la mayor brevedad posible.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta muy buenas opciones la de los compañeros.

Por mi parte utilizo un Software (Active File Recovery) que viene junto a Active Boot, Active Boot es un Windows Live con poderosas herramientas, parecido a Hiren's Boot CD.

El Active File Recovery, te permite recuperar información y te ordena todo en carpetas y subcarpetas tal cual existía en el disco duro antes de ser formateado.

Espero te sea útil.

Saludos!
K A I L

El concepto de anonimato no viene ligado al de Bitcoin. Esto se debe a que, dado que tenemos un registro contable público (la cadena de bloques), requiere de muy poco esfuerzo dar con el origen de una transacción. Es por ello que nace Wasabi, un llavero o cartera de bitcoins que permite conservar el anonimato sin sacrificar ninguna otra de las ventajas ofrecidas por esta criptomoneda.

Wasabi ofrece su anonimato por medio de la tecnología del No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Este, básicamente, une 100 transacciones diferentes en una sola, haciendo que el proceso de rastreo se vuelva muy difícil, sino imposible. Por otro lado, dicho protocolo también incluye la implementación de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que aumenta aún más la privacidad.

Aunado a las características ya mencionadas, y para elevar aún más el nivel de anonimato en las transacciones, Wasabi integra el protocolo de red TOR. Este tipo de red tiene la particularidad de que el IP público no será compartido, debido a una serie de saltos que ella crea y que permiten ocultar nuestra conexión; lo que brinda una navegación segura.

Como se pueden dar cuenta, el anonimato resulta vital para esta cartera. Quizás se pregunten si el proceso de mezclado conlleva algún tipo de comisión, y la respuesta es: sí, pero con la particularidad que la comisión manejada es de apenas un 0.3% por envío, bastante bajo en comparación con lo que cargan otros servicios similares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta creo que modificando la linea 12 de tu cliente deberia quedar listo, algo asi:

cliente.send(comando);

Ya que en la variable 'comando' estas almacenando tu raw_input

Saludos!
K A I L

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en Internet encontraras varios diccionarios, el famoso "RockYou", o varios creados por distintas personas, en mi experiencia, esos no sirven ya que son generados en Ingles, por lo que contienen nombres como Paul James etc...

Lo mejor es crear tu propio diccionario, y si conoces información personal del dueño de la red incluso mejor, ya que podrás incluir nombres, apodos, edad, año de nacimiento y varias cosas que la gente suele utilizar para generar su contraseña.

Para darte algo de luz sobre como crear tu diccionario, hay mucha información en el foro, puedes usar el buscador, te dejo algunos post importantes:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!
K A I L

Hola Underc0ders! Acá les traigo esta herramienta que me pareció bastante buena.

Instalación

# clonar el repositorio

git clone https://github.com/sdushantha/sherlock.git

# cambiar el directorio de trabajo a sherlock

cd sherlock

# instalar los requisitos

pip3 install -r requirements.txt

Uso

Solo ejecuta python3 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Todas las cuentas encontradas se almacenarán en un archivo de texto con su nombre de usuario (por ejemplo, user123.txt)

Saludos!
K A I L

Nose de donde copiaste los repositorios, pero definitivamente no me hiciste caso xD

Fijate bien, en la linea del repositorio que yo te pase.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

deb http://http.kali.org/kali kali-rolling main non-free contrib

A tus 2 primeros repositorios les falta el "-rolling" luego del segundo kali. De hecho en el segundo repo deb-src fijate que luego del .org/ no va un "espacio".

Quedaría lo siguiente:

deb http://http.kali.org/kali kali-rolling main non-free contrib
deb-src http://http.kali.org/kali kali-rolling main non-free contrib

El tercer repositorio de security nose de donde lo sacaste.

Saludos!
K A I L

Puedes mandar una captura de cómo quedo el source.list? Y si, debes tener conexión a internet. Tenés salida a internet desde el navegador web?

Recomendaría que para el error que estas teniendo de internet, crearas otro post con tu duda, así mantenemos organizadas las dudas y sus soluciones. De paso, puedes subir capturas de comandos como ifconfig, mostrarnos como tenes configurada la red desde Virtual Box, si navegas a través de un proxy, y todo lo que sirva para poder ayudarte.

Puedes buscar en el foro hay muchas dudas sobre problemas de red en kali con virtual box.

Damos por solucionado el problema de repositorios.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
necesito un mentor... xD

Jajajaj lo importante es no dejarse vencer y buscar solución.

Saludos!
K A I L

Exacto bro, debes agregarlo ahí.

Ten en cuenta una cosa, no importa la distro linux que sea, siempre ten la precaución de agregar solo repositorios oficiales de la distro.

Saludos!
K A I L

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me resulta raro que no este ya presente el repositorio, así me figura a mi también en una maquina virtual.



De cualquier forma, la linea que deberías agregar al source.list es la siguiente:

deb http://http.kali.org/kali kali-rolling main non-free contrib

Puedes revisar los repositorios oficiales de Kali en la siguiente pagina, pero con el anterior ya debería ser suficiente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!
K A I L

El FBI, Google, WhiteOps (compañía de lucha contra el fraude en publicidades) y una colección de empresas de seguridad, trabajaron juntos para cerrar uno de los esquemas de fraude de anuncio más grandes y más sofisticados digitales que infectaron más de 1.7 millones de ordenadores para generar clicks falsos para estafar a anunciantes en línea durante años, con ganancias millonarias.

Apodada como 3ve, la campaña de fraude de ads en línea, como se cree, ha estado activa al menos desde 2014, pero su actividad fraudulenta creció el año pasado, convirtiéndose en un negocio a gran escala y ganando más de 30 millones de dólares.



Mientras tanto, el Ministerio de Justicia de los Estados Unidos, también abrió el martes una acusación de 13 cargos contra 8 personas de Rusia, Kazajstán y Ucrania que supuestamente dirigían este enorme plan de publicidad en línea.

El esquema de la red de bots 3ve implementó diferentes tácticas, como crear sus propias redes de bots, crear versiones falsas de sitios web y visitantes, vender inventarios de anuncios fraudulentos a los anunciantes, secuestrar direcciones IP del Protocolo Border Gateway (BGP), usar proxies para ocultar direcciones IP reales, e infectar a los usuarios de PC con malware: todo para crear o generar clics falsos sobre anuncios en línea y recibir pagos.

"Los estafadores intentan producir tráfico falso e inventario de anuncios fraudulentos para engañar a los anunciantes y hacerles creer que sus anuncios están siendo vistos por usuarios reales e interesados", dijeron los investigadores de WhiteOps.

3ve involucró a 1,7 millones de computadoras infectadas, más de 80 servidores generando tráfico falso de Internet, más de 10,000 sitios web falsificados para hacerse pasar por editores web legítimos y más de 60,000 cuentas vendiendo inventario de anuncios a través de más de un millón de direcciones IP comprometidas para generar de 3 a 12 mil millones de solicitudes diarias de ofertas de anuncios.

3ve - Tipos y trabajo



Según Google y varias empresas de ciberseguridad, el esquema de fraude publicitario se ha denominado 3ve porque se basa en un conjunto de tres suboperaciones distintas, "cada una de las cuales toma medidas exclusivas para evitar la detección, y cada una se basa en arquitecturas diferentes que utilizan componentes diferentes".

"Sus operadores adoptaron constantemente nuevas formas de disfrazar los robots de 3ve, lo que permite que la operación continúe creciendo incluso después de que su tráfico estuviera en la lista negra. Cada vez que estaban bloqueados en un lugar, reaparecían en otro lugar", dijo Google.

Aquí hay una breve descripción de las tres operaciones de 3ve:

3ve.1: El esquema de malware BOAXXE, también conocido como METHBOT o MIUREF

La primera 3ve, llamadas 3ve.1 por claridad, fueron impulsadas por una red de bots que operan en centros de datos en los Estados Unidos y Europa.



Esta operación usó la botnet Boaxxe, también conocida como Miuref y Methbot, y BGP hijacking para obtener las direcciones IP utilizadas para enviar tráfico de los dispositivos infectados en los centros de datos y visitar páginas web falsas y reales.

Inicialmente, todas las solicitudes de anuncios falsos se originaron en los navegadores de escritorio, pero con el tiempo, esta operación comenzó cada vez más a depender del tráfico falso móvil de los dispositivos Android, ya que las solicitudes de anuncios parecían provenir de aplicaciones móviles o de navegadores móviles.

Entre septiembre de 2014 y diciembre de 2016, este esquema usó 1,900 servidores alojados en centros de datos comerciales para cargar publicidad de anunciantes en más de 5,000 sitios web falsificados, generando millones de dólares en ganancias para sus operadores.

3ve.2 — El Esquema de Malware KOVTER

Se utilizó dominios falsificados para vender anuncios falsos. Sin embargo, en lugar de confiar en los proxies para ocultar sus actividades, este enfoque implementó un agente de navegación personalizado y oculto (Chromium Embedded Framework) en más de 700,000 dispositivos infectadas con el malware Kovter.



Este esquema hizo uso de servidores de redirección que ordenaban a las computadoras infectadas visitar páginas web falsas específicas.

Kovter fue inicialmente una pieza de ransomware, pero la familia ha evolucionado desde entonces para convertirse en malware de fraude publicitario con su capacidad de enviar tráfico falso si detecta un monitor de red, finaliza su propio proceso si el Administrador de tareas de Windows es abierto, use la llamada persistencia "sin archivos" almacenando su payload cifrado en el registro de Windows, y más.

3ve.3 — Centros de datos de IPs como proxies

La tercera suboperación asociada a 3ve fue similar a 3ve.1. Sus bots se basaban en unos pocos centros de datos, pero para cubrir sus huellas, utilizaba las direcciones IP de otros centros de datos como proxies (capa de nodo de salida) en vez de ordenadores residenciales.

Aunque los centros de datos son mucho más sospechosos para los anunciantes que están preocupados por el tráfico de bots, la estrategia 3ve.3 todavía permitió un grado razonable de agilidad al ayudar a sus operadores a encontrar nuevos centros de datos tan pronto como se bloquearon los centros de datos antiguos.

Las autoridades eliminan la operación de fraude de publicidad "3ve"

Google descubrió las operaciones 3ve el año pasado mientras evaluaban el impacto de la operación Methbot, un operacion clandestina de fraudes publicitarios que White Ops reveló en 2016, que ESET nombró como la red de bots Boaxxe.



Sin embargo, después de que la actividad de 3ve creciera en 2017, generando miles de millones de solicitudes diarias de ofertas publicitarias, Google colaboró ​​con otras compañías de seguridad que estaban investigando de forma independiente esta importante operación de fraude publicitario para eliminar toda la red de 3ve.

Google y otras firmas de seguridad trabajaron con el FBI para cerrar la operación masiva de fraude publicitario. Después de obtener las garantías el mes pasado, el FBI se apoderó de 31 dominios de Internet y 89 servidores que formaban parte de la infraestructura de 3ve.

Las compañías de seguridad cibernética en el sector privado también ayudaron a incluir en la lista negra la infraestructura de 3ve involucrada en el esquema de fraude publicitario y el tráfico hacia los dominios malos.

8 personas acusadas de fraude publicitario multimillonario

El martes, el Departamento de Justicia de EE. UU. Acusó a ocho personas presuntamente involucradas en la estafa de publicidad en línea, incluyen a cinco ciudadanos rusos, una persona de Rusia y Ucrania y dos personas de Kazajstán. Tres de ellos ya han sido arrestados.

"La Oficina también extiende su agradecimiento a Microsoft Corporation, ESET, Trend Micro Inc., Symantec Corporation, CenturyLink, Inc., F-Secure Corporation, Malwarebytes, MediaMath, National Cyber-Forensics and Training Alliance y The Shadowserver Foundation por su asistencia en el derribo de la botnet", dijo DOJ.

Los acusados ​​están acusados ​​de 13 cargos de infracciones criminales, incluido fraude electrónico, robo de identidad con agravantes, lavado de dinero y conspiración en intrusiones informáticas, entre otros delitos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un importante módulo del repositorio NPM es infectado con código malicioso con el propósito de robar Bitcoins.

La biblioteca Event-Stream es una herramienta para trabajar fácilmente con streams (flujos de datos), que tiene alrededor de dos millones de descargas semanales.

Dicha biblioteca fue creada y mantenida en un principio por Dominic Tarr. Eventualmente, el desarrollo pasó a manos de un usuario llamado right9ctrl.

El código malicioso fue añadido en la version 3.3.6 de la biblioteca, publicada el 9 de septiembre. Desde entonces ha sido descargada por unos 8 millones de usuarios. Sin embargo, el código malicioso no ha salido a la luz hasta principios de la semana pasada.

Junto con la versión 3.3.6 de la biblioteca Event-Streamer, el desarrollador malicioso incluyó una nueva dependencia llamada Flatmap-Stream, que es la que contenía el código malicioso.

Dado que el código del módulo Flatmap-Stream estaba cifrado, su comportamiento pasó inadvertido por la comunidad más de dos meses, hasta que un estudiante de la Universidad Estatal de California encontró el problema y así lo hizo constar en un No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Después de analizar el código ofuscado, se constató que el módulo Flatmap-Stream se había diseñado específicamente pensando en el robo de Bitcoins de los usuarios de la aplicación móvil Copay, que hace uso de esta misma biblioteca, para transferirlos a un servidor en Kuala Lumpur.



Copay es un monedero de Bitcoin y Bitcoin Cash en software libre desarrollado por Bitpay. Ésta última compañía, ha publicado un No tienes permitido ver los links. Registrarse o Entrar a mi cuenta indicando que las versiones de Copay desde la 5.0.2 hasta la 5.1.0 están afectadas por la biblioteca maliciosa. También indican que los usuarios de Bitpay no están afectados por este problema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por favor visita el siguiente post para visualizar la foto y poder darte ayuda.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!
K A I L

Hola!!

K A I L

Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
root@inventory-server:~# apt-key adv --recv-keys --keyserver hkp: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta: 80 0xF1656F24C74CD1D8
Executing: /tmp/apt-key-gpghome.jsgicUam6M/gpg.1.sh --recv-keys --keyserver hkp: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta: 80 0xF1656F24C74CD1D8
gpg: "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:" not a key ID: skipping
gpg: "80" not a key ID: skipping
gpg: keyserver receive failed: Invalid URI

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si te fijas bien estas dejando 2 espacios que no van, la siguiente línea es la correcta según su No tienes permitido ver los links. Registrarse o Entrar a mi cuenta:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Saludos!
K A I L

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta bienvenido a Underc0de!

Hay mucho para aprender por aquí, comenta si tienes alguna duda y nos compartas tus conocimientos 

Saludos!
K A I L